【小ネタ】暗号化していない RDS DBの作成を拒否するポリシー | DevelopersIO
ストレージ暗号化が未設定な DB(RDS DBインスタンス、Auroraクラスター)の作成を拒否するポリシーを作成してみます。AWS環境の予防的ガードレールとして、AWS Organizations のサービスコントロールポリシー(SCP)等で活用できると思います。 暗号化していない RDS DBの作成を拒否するポリシー 以下ポリシーを作成しました。 { "Version": "2012-10-17", "Statement": [ { "Sid": "DenyCreatingNonEncryptedDBCluster", "Effect": "Deny", "Action": [ "rds:CreateDBCluster" ], "Resource": "*", "Condition": { "Null": { "rds:StorageEncrypted": false }, "Bool
VPCの変更系APIを洗い出してCIDR周りの変更をSCPで止めたいなって思ったときに権限を洗い出す手法 | DevelopersIO
こんにちは、臼田です。 みなさん、IAM書いてますか?(挨拶 今回はちょっと調べ物をした際に良さそうなIAM権限確認方法を見つけた(半分教えてもらった)のでそれと、実際に洗い出したVPCの変更権限を紹介します。 背景 「VPCのIPアドレス(CIDR)周りの変更をさせたくないです」という要望をもらいました。 具体的にはAWS Organizationsを利用していて、一度管理側で払い出したVPCに対して、CIDR周りの操作を利用者にさせたくない、という感じです。 払い出しの作業と利用する時のOUが別なので、SCPでVPCの変更系をブロックしよう、という設計方針になりました。 さて、問題は権限の洗い出しです。 変更権限の洗い出し 僕は経験上知っています。 IAMポリシーの設定画面に行くと、かんたんに変更系の権限を洗い出すことができます。何ならそのままいっぺんに選択してポリシードキュメントの作
Control Towerのカスタマイズ(CfCT)を使ってSCPの作成・変更をやってみた | DevelopersIO
Control TowerのカスタマイズソリューションでSCPを実装してみました。結構大きな注意点があるので利用するときは気をつけましょう。 最近Control Towerのカスタマイズソリューション(CfCT)にハマっている鈴木です。 今回はCfCTを使ってSCPを実装してみました。 概要 CfCTはAWSのソリューションでCodeCommit、もしくはS3にアップロードした情報からCloudFormationスタックやSCPを指定したOUやアカウントに自動展開してくれるソリューションです。 CloudFormationスタックの展開は何度か実施していますが、SCPはまだワークショップしか試してなかったので、SCPをCfCTで実装して動作の確認をしていきます。 手軽にマルチアカウント環境にSCPを作成できるのですが、、CfCTを使ってSCPを管理するには問題となる点もあったので合わせて解
Auto Scalingの起動設定で指定できるインスタンスタイプをSCPで制限する | DevelopersIO
こんにちは。サービスグループの武田です。 Auto Scalingグループを使用する際、起動するEC2インスタンスの設定テンプレートとして、「起動設定」と「起動テンプレート」があります。今回は「起動設定」を対象として、作成する際に指定されたインスタンスタイプが含まれていた場合、拒否するようなSCPを設定してみました。 今回作成したポリシーは次のようなものです。 { "Version": "2012-10-17", "Statement": [ { "Effect": "Deny", "Action": "autoscaling:CreateLaunchConfiguration", "Resource": "*", "Condition": { "StringLike": { "autoscaling:InstanceType": "t2.*" } } } ] } T2ファミリーをインスタ
AWS OrganizationsのSCPでresourceやconditionが指定できるようになりさらに便利になりました | DevelopersIO
AWS OrganizationsのSCPでresourceやconditionが指定できるようになりさらに便利になりました AWS Organizationsに待望のアップデートがありました!SCPでresourceやconditionの指定が可能となり、柔軟によりきめ細やかなアクセス制御が可能となりました。 こんにちは。サービスグループの武田です。 AWS Organizationsに待望のアップデートがありました!AWS OrganizationsにはSCP(サービスコントロールポリシー)という機能があり、IAMポリシーと同じ文法で組織内のアカウントに対して一括で制限がかけられます。これまでSCPではresourceやconditionの指定ができず、ある操作に対してオンかオフすることしかできませんでした。今回のアップデートでそれが可能となり、柔軟によりきめ細やかなアクセス制御が可能
[小ネタ]AWS OrganizationsのSCPで特定リージョンのみ使用できるようにする | DevelopersIO
オンジー(@onzuka_muscle)です! 特定のリージョン以外ではなにもできないようにしたいという要件に対応することがあったのでSCP(サービスコントロールポリシー)を使って制限してみます。 やってみた 今回は東京リージョン以外での操作を制限してみたいと思います。 こちらのサンプルからSCPを作成しています。 { "Version": "2012-10-17", "Statement": [ { "Sid": "DenyAllOutsideEU", "Effect": "Deny", "NotAction": [ "a4b:*", "acm:*", "aws-marketplace-management:*", "aws-marketplace:*", "aws-portal:*", "awsbillingconsole:*", "budgets:*", "ce:*", "chime
[AWS Organizations] SCP(サービスコントロールポリシー)の継承の仕組みを学ぼう | DevelopersIO
はじめに 大阪オフィスの川原です。 AWS Organizations の SCP(サービスコントロールポリシー)の継承 について、 仕組みを学びましょう。 前提知識 Organizations AWS Organizationsは マルチアカウントを統率するためのサービス です。 組織単位(OU) による アカウントのグループ化や、 サービスコントロールポリシー(SCP) によるグループ単位のサービス制限が可能です。 – 画像: AWS Organizations の用語と概念 | AWSドキュメント OUとは 組織単位(Organizational Unit: OU) は AWSアカウントのグループ化 を実現する要素です。 OU 配下に他OUをぶらさげる、ツリー構造を構築できます。 SCPとは サービスコントロールポリシー(SCP)は OUまたはアカウントに指定するポリシー です。 O
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
