1分LTで完全に理解 ポリシー界の異端児”宣言型ポリシー”の5つの特異性（JAWS-UG Osaka 2025/01/16）

Transcript

1. 1 © 2025 Japan Digital Design, Inc. Senior Solution Architect

   / Architecture Team Lead 木美 雄太（KIMI Yuta） 2025.01.16 1分LTで完全に理解 ポリシー界の異端児 ”宣言型ポリシー”の5つの特異性 JAWS-UG大阪 re:Invent re:Cap LT大会 サンバが始まったら強制終了

2. 2 © 2025 Japan Digital Design, Inc. 自己紹介 姫路市民

3. 3 © 2025 Japan Digital Design, Inc. IAM Policy Service

   Control Policy Resource Control Policy 宣言型ポリシー 望ましくないことを防ぐポリシーの中での異端っぷり5つを1分で理解する そもそもIAMポリシーとOrganizationsのポリシーが...とか 承認ポリシーと管理ポリシーが...とか、むしろSCPとRCPの方が異端では...とか、 そんな玄人のツッコミは無視します。45秒後にはサンバ隊が来てしまうので ・・・

4. 4 © 2025 Japan Digital Design, Inc. 宣言型ポリシー 洗脳する コントロールプレーンの設定を

   強制変更し変えられなくする 一時的に洗脳を解いて設定変更した内容も 洗脳し直せばまた強制変更される Service Control Policyなど 手をしばるだけ AWS APIへのリクエストを検査し 操作できなくする 一時的に手をほどいて操作した設定変更は 手をしばり直してもそのまま維持される 1

5. 5 © 2025 Japan Digital Design, Inc. 宣言型ポリシー Set once

   and forget Service Control Policyなど Set and update, update, update, update, ... アップデートでAPIが増えようと 洗脳は解けない アップデートでAPIが増えると 手がほどけていないか都度確認が必要 2

6. 6 © 2025 Japan Digital Design, Inc. 宣言型ポリシー やさしく諭せる 違反時に自社のWiki等に誘導する

   独自のエラーメッセージを出せる 例：`Restricted by Infra Team. Please confirm https://jdd-devportal.com/aws/restrictions` Service Control Policyなど 冷たく怒るだけ 違反時に `an explicit deny in a service control policy` としかエラーメッセージに出ない 3

7. 7 © 2025 Japan Digital Design, Inc. 宣言型ポリシー 自信を高めて適用 「アカウントステータスレポート」で

   影響を事前に確認してからポリシー適用できる Service Control Policyなど 怖ごわ適用 ドライランモードほしい... （適用はするけどDenyはせず違反のお知らせだけする） 1234567891012 1234567891012 1234567891012 1234567891012 1234567891012 4

8. 8 © 2025 Japan Digital Design, Inc. 宣言型ポリシー 誰にでも効く Service-linkedロールや

   管理アカウントも制限対象 Service Control Policyなど 強いやつには効かない Service-linkedロールや 管理アカウントは制限対象外（SCPとRCPは） 5

9. 9 © 2025 Japan Digital Design, Inc. 以上5つ！ （なんもワカランと思うのであとで Speaker

   Deck でゆっくり見てください）

10. 10 © 2025 Japan Digital Design, Inc. [宣伝] 来週1/22（水）Fin-JAWSやります！ 対面＋オンラインの

    ハイブリッド開催 ←申し込みページ 金融業界以外の方も たくさん参加しています！ サンバ隊はキャスティングが間に 合わず申し訳ありません…

11. Thank you. 11 © 2025 Japan Digital Design, Inc. D

    i s c l a i m e r : T h e i n fo r m a t i o n p r o v i d e d i n t h i s p re s e n t a t i o n i s f o r i n fo r m a t i o n a l p u r p o s e s o n l y a n d d o e s n o t c o n s t i t u t e l e g a l , fi n a n c i a l , o r p ro f e s s i o n a l a d v i c e . E v e r y e ff o r t h a s b e e n m a d e t o e n s u r e t h e a c c u r a c y o f t h e i n fo r m a t i o n , b u t t h e p r e s e n t e r a n d t h e c o m p a n y a c c e p t n o re s p o n s i b i l i t y f o r a n y e r r o r s o r o m i s s i o n s . T h e v i e w s e x p r e s s e d a r e t h o s e o f t h e p r e s e n t e r a n d d o n o t n e c e s s a r i l y r e fl e c t t h e v i e w s o f t h e c o m p a n y. C o n fi d e n t i a l i t y N o t i c e : T h i s p r e s e n t a t i o n c o n t a i n s i n f o r m a t i o n i n t e n d e d o n l y fo r t h e d e s i g n a t e d a u d i e n c e . U n a u t h o r i z e d d i s t r i b u t i o n o r r e p r o d u c t i o n o f t h i s c o nt e n t i s s t r i c t l y p ro h i b i t e d . 免責事項: このプレゼンテーションで提供される情報は、情報提供のみを目的としており、法的、財務的、または専門的なアドバイスを構成するものではありません。 情報の正確性を確保するために努めていますが、誤りや脱落について発表者および会社は一切の責任を負いません。 本プレゼンテーションで表明された見解は、発表者の個人的なものであり、会社の見解を必ずしも反映するものではありません。 機密性に関する注意: このプレゼンテーションには機密情報が含まれており、指定された対象者のみを対象としています。無断での配布や複製は固く禁じられています。