Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
5分で学ぶ! 宣言型ポリシーの基礎からベストプラクティスまで
Search
Morita
December 22, 2024
1
460
5分で学ぶ! 宣言型ポリシーの基礎からベストプラクティスまで
JAWS-UG東京 ランチタイムLT会 #18
https://jawsug.connpass.com/event/337253/
Morita
December 22, 2024
Tweet
Share
More Decks by Morita
See All by Morita
FSx for Lustreを使ったAIモデル開発の始め方
ch6noota
0
55
Dify で AWS を使い倒す!
ch6noota
0
490
DeepSeek for Amazon Bedrock
ch6noota
0
48
新機能 Bedrock Model Distillation 基礎〜実践まで #regrowth_fuk
ch6noota
0
500
AWS を使った生成AIの活用
ch6noota
0
770
AWS初めての方必見!初学者でも入りやすいAWSサービス3選 #devio2022
ch6noota
0
1.3k
Security Hub のマルチアカウント 管理・運用をサーバレスでやってみる
ch6noota
0
3.6k
NITKハッカソン クラウド入門
ch6noota
0
940
Featured
See All Featured
Designing Experiences People Love
moore
142
24k
Rails Girls Zürich Keynote
gr2m
94
14k
Intergalactic Javascript Robots from Outer Space
tanoku
271
27k
VelocityConf: Rendering Performance Case Studies
addyosmani
330
24k
Understanding Cognitive Biases in Performance Measurement
bluesmoon
29
1.8k
Writing Fast Ruby
sferik
628
61k
[RailsConf 2023 Opening Keynote] The Magic of Rails
eileencodes
29
9.5k
The Art of Programming - Codeland 2020
erikaheidi
54
13k
Typedesign – Prime Four
hannesfritz
42
2.7k
The Invisible Side of Design
smashingmag
299
51k
Rebuilding a faster, lazier Slack
samanthasiow
81
9k
Building Better People: How to give real-time feedback that sticks.
wjessup
367
19k
Transcript
2024/12/23 AWS事業本部コンサルティング部 森⽥⼒ 5分で学ぶ! 宣⾔型ポリシーの基礎からベストプラクティスまで
⾃⼰紹介 森⽥ ⼒ • 所属 : AWS事業本部コンサルティング部 • 好きなサービス :
AWS Lambda • re:Invent 2024 初参加! ◦ 現地 Keynoteが良かった
• 宣⾔型ポリシーとは • SCP/RCPとの違い • 宣⾔型ポリシーのベストプラクティス ⽬次
宣⾔型ポリシーとは
AWSサービスの設定状態を定義できる機能 • ⾮準拠のアクションを組織全体で防⽌ • エラーメッセージがカスタマイズ可能 • AWS Organizations, AWS Control
Towerから利⽤可能 宣⾔型ポリシーとは
AWSサービスの設定状態を定義できる機能 • ⾮準拠のアクションを組織全体で防⽌ • エラーメッセージがカスタマイズ可能 • AWS Organizations, AWS Control
Towerから利⽤可能 宣⾔型ポリシーとは
⾮準拠のアクションを組織全体で防⽌ AMI へのパブリックアクセスをブロックするケース
⾮準拠のアクションを組織全体で防⽌ AMI へのパブリックアクセスをブロックするケース SCP, RCP でできるよね🤔
SCP/RCPとの違い
SCP/RCPとの違い 宣⾔型ポリシー AWSサービスの設定状態を定義できる機能 SCP/RCP サービス‧リソースのアクセス制御が できる機能 AWSサービスの設定状態 AMI へのパブリックアクセスをブロック {
"Version": "2012-10-17", "Statement": [ { "Sid": "Statement1", "Effect": "Deny", "Action": [ "ec2:DisableImageBlockPublicAccess" ], "Resource": "*" } ] }
今までは SCP/RCPを使って、AWSサービスのベースラインを構成 →ベースラインから逆算して、APIを拒否‧許可 →新しいAPIが公開された場合には、アクセス制御の⾒直しが必要
これからは 宣⾔型ポリシーを使って、AWSサービスのベースラインを選択して適⽤させる →APIを意識する必要がない →AWSサービスのベースライン構成に集中できる🔥
現状は EC2 • シリアルコンソールアクセス • AMI のブロックパブリックアクセス • 許可されたAMI の利⽤
• IMDS のデフォルト設定 EBS • EBS スナップショットのブロックパブリックアクセス VPC • VPC のブロックパブリックアクセス
ベストプラクティス
ベストプラクティス Leverage readiness assessments(準備状況評価を活⽤する) 組織全体の現状を確認するために、アカウントステータスレポートの作成が可能
ベストプラクティス Start small and then scale(⼩さく始めて規模を拡⼤する) まずは、宣⾔型ポリシーをテスト環境などの1アカウントから導⼊ 問題なければ、OU単位に適⽤する
ベストプラクティス Establish review processes(レビュープロセスを確⽴する) 新しい宣⾔型ポリシーのレビュー 組織のセキュリティと実運⽤との乖離がないかを確認 特に、宣⾔型ポリシーの例外設定を多⽤していないか等
ベストプラクティス Validate changes using 「DescribeEffectivePolicy」 (DescribeEffectivePolicyを使⽤した変更の検証) 宣⾔型ポリシーの変更時には、変更の検証を「DescribeEffectivePolicy API」で⾏う 意図した変更が正しく反映されているか確認 $
aws organizations describe-effective-policy --policy-type DECLARATIVE_POLICY_EC2 --target-id アカウントID { "EffectivePolicy": { "PolicyContent": "{\"ec2_attributes\":{\"snapshot_block_public_access\":{\"state\":\"block_all_sharing\"}}}", "LastUpdatedTimestamp": "2024-12-22T11:21:11.313000+00:00", "TargetId": "アカウントID", "PolicyType": "DECLARATIVE_POLICY_EC2" } }
ベストプラクティス Communicate and train(コミュニケーションとトレーニング) 組織全体に宣⾔的ポリシーの⽬的と影響を周知 期待される動作と障害時の対応について明確なガイダンスを提供
None