Lock in $30 Savings on PRO—Offer Ends Soon! ⏳
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
Control policies for AWS Organizations
Search
midnight480
February 08, 2025
Technology
0
180
Control policies for AWS Organizations
02/08/2025 JAWS-UG Fukuoka
midnight480
February 08, 2025
Tweet
Share
More Decks by midnight480
See All by midnight480
SAGA IT Community Day 2026 Winter 2025.12.20
midnight480
0
27
Kiroで実現する “Spec Driven Development”
midnight480
0
22
Kiro CLI 〜無料でここまでできる!〜
midnight480
0
48
AWS Summit Japan 2025 個人的参加レポート
midnight480
0
190
Amazon Q Developer for CLI の紹介
midnight480
0
160
Postman Flows ✖️ Backlog API で可能性を探る
midnight480
0
170
Amazon Q Developer for CLIの基本的な使い方と便利なコマンドの紹介
midnight480
0
400
20250531 JAWS-UG佐賀 生成AI
midnight480
0
130
Amazon Q Developer for CLI 〜 Blender、Backlog GitをMCPで操作してみた 〜
midnight480
0
250
Other Decks in Technology
See All in Technology
20251222_サンフランシスコサバイバル術
ponponmikankan
1
110
ハッカソンから社内プロダクトへ AIエージェント「ko☆shi」開発で学んだ4つの重要要素
sonoda_mj
6
960
2025-12-18_AI駆動開発推進プロジェクト運営について / AIDD-Promotion project management
yayoi_dd
0
140
年間40件以上の登壇を続けて見えた「本当の発信力」/ 20251213 Masaki Okuda
shift_evolve
PRO
1
150
「図面」から「法則」へ 〜メタ視点で読み解く現代のソフトウェアアーキテクチャ〜
scova0731
0
430
AI駆動開発の実践とその未来
eltociear
1
420
20251219 OpenIDファウンデーション・ジャパン紹介 / OpenID Foundation Japan Intro
oidfj
0
330
会社紹介資料 / Sansan Company Profile
sansan33
PRO
11
390k
Connection-based OAuthから学ぶOAuth for AI Agents
flatt_security
0
180
AWS re:Invent 2025~初参加の成果と学び~
kubomasataka
0
160
AI駆動開発における設計思想 認知負荷を下げるフロントエンドアーキテクチャ/ 20251211 Teppei Hanai
shift_evolve
PRO
2
460
MySQLとPostgreSQLのコレーション / Collation of MySQL and PostgreSQL
tmtms
1
1.1k
Featured
See All Featured
Money Talks: Using Revenue to Get Sh*t Done
nikkihalliwell
0
120
Large-scale JavaScript Application Architecture
addyosmani
515
110k
Why Your Marketing Sucks and What You Can Do About It - Sophie Logan
marketingsoph
0
40
Agile Leadership in an Agile Organization
kimpetersen
PRO
0
46
The State of eCommerce SEO: How to Win in Today's Products SERPs - #SEOweek
aleyda
2
9.1k
世界の人気アプリ100個を分析して見えたペイウォール設計の心得
akihiro_kokubo
PRO
64
35k
Balancing Empowerment & Direction
lara
5
810
The Success of Rails: Ensuring Growth for the Next 100 Years
eileencodes
47
7.9k
Jamie Indigo - Trashchat’s Guide to Black Boxes: Technical SEO Tactics for LLMs
techseoconnect
PRO
0
29
Mobile First: as difficult as doing things right
swwweet
225
10k
How to Align SEO within the Product Triangle To Get Buy-In & Support - #RIMC
aleyda
1
1.3k
GraphQLとの向き合い方2022年版
quramy
50
14k
Transcript
Copyright © Tetsuya Shibao #jawsugfuk 2025-02-08 JAWS-UG福岡 AWS Organizationsに対する制御ポリシー Control
policies for AWS Organizations
Copyright © Tetsuya Shibao #jawsugfuk 自己紹介 大分(22年) → 東京(11年) →
福岡(2年)→ 佐賀(現 在) 柴尾 哲也(しばお てつや) Tetsuya Shibao JAWS-UG佐賀 AWS Startup Community 福岡 JAWS-UG 佐賀 運営 AWS Startup Community 運営(最近は... SAGA IT Community Day企画中 Coder Dojoさが(メンター) HAGAKURE PROGRAMMING塾 etc…
Copyright © Tetsuya Shibao #jawsugfuk ・ 熊本での復習 ・ 個人で運用するユースケース ・ハンズオンイベントの運営
・ 貸し出すときに注意したいこと ・ 先人たちの紹介 ・ 現在利用可能なポリシー ・ まとめ お話すること
Copyright © Tetsuya Shibao #jawsugfuk 熊本での復習 ・ JAWS-UG熊本(2025/1/25)では、AWS OrganizationsとIAM Identity
Centerについて話しました ・ OU(組織単位)にポリシーが適用できることについて話しました https://speakerdeck.com/midnight480/reintroduction-to-aws-multiple-account-management
Copyright © Tetsuya Shibao #jawsugfuk ハンズオンイベントの運営 ・ JAWS-UGをはじめとして各勉強会でハンズオンに参加する機会が提供されています ・その際にAWSアカウントをどのように取り扱うかが運営で悩ましいです (松)AWSさんにご協力をいただき、Workshop環境を用意いただく
or クレジットを頂く (竹)参加者各自でAWSアカウントを保有していただく (梅)運営側でハンズオン用アカウントを展開する
Copyright © Tetsuya Shibao #jawsugfuk ハンズオンイベントの運営 ・ JAWS-UGをはじめとして各勉強会でハンズオンに参加する機会が提供されています ・その際にAWSアカウントをどのように取り扱うかが運営で悩ましいです (松)AWSさんにご協力をいただき、Workshop環境を用意いただく
or クレジットを頂く (竹)参加者各自でAWSアカウントを保有していただく (梅)運営側でハンズオン用アカウントを展開する
Copyright © Tetsuya Shibao #jawsugfuk ハンズオンイベントの運営 ・ JAWS-UGをはじめとして各勉強会でハンズオンに参加する機会が提供されています ・その際にAWSアカウントをどのように取り扱うかが運営で悩ましいです (松)AWSさんにご協力をいただき、Workshop環境を用意いただく
or クレジットを頂く (竹)参加者各自でAWSアカウントを保有していただく (梅)運営側でハンズオン用アカウントを展開する ・ ハンズオンアカウントを貸し出すケース ・参加者が学生などクレジットカードを保有しておらずAWSアカウントを作成できない → Vプリカ(AWSは大手クラウドの中で唯一利用できるクラウドサービス[2022年柴尾調べ]) https://vpc.lifecard.co.jp/ ・課金が発生するためクレジット(≒クーポン)保有者から提供する
Copyright © Tetsuya Shibao #jawsugfuk 貸し出すときに注意したいこと ・イベントに参加する方に悪意を持って参加者はいない前提でいる ex. 重課金して貸出元のクレジットを溶かしてしまおう
・初心者が誤って高額、月額課金に関わるサービスを選択しないようにする ex. AWSサポート、Sheild Advanced(DDoS攻撃を人的にチェック)...etc
Copyright © Tetsuya Shibao #jawsugfuk 先人たちの紹介 ・SCPに関する記事を書いている先人の一例です https://qiita.com/hirosys-biz/items/ecc34f8574094dc6be15 https://qiita.com/hirosys-biz/items/48d1db5fcce3bf6547ce https://www.yamamanx.com/scp-policy/
Copyright © Tetsuya Shibao #jawsugfuk 現在利用可能なポリシー ・SCPs (Service Control Policy)
サービスに対する制限 ( (SCPsで制限できない機能) で制限できない機能) ・管理アカウントによって実行されるすべてのアクション ・サービスにリンクされたロールにアタッチされたアクセス許可を使用して実行されるすべてのアクション。 ・root ユーザーとして Enterprise サポートプランに登録する ・CloudFront プライベートコンテンツに信頼された署名者機能を提供する ・Amazon Lightsail E メールサーバーと Amazon EC2インスタンスDNSをルートユーザーとしてリバースを設定する 一部の AWS関連サービスのタスク: ・Alexa Top Sites ・Alexa Web Information Service ・Amazon Mechanical Turk ・Amazon 製品マーケティング API ・RCPs (Resource Control Policy) リソースに対する制限 ( (RCPsで制限できるリソース) で制限できるリソース) Amazon S3、AWS Security Token Service、AWS Key Management Service、Amazon SQS、AWS Secrets Manager ・DP(Declarative Policy) 新機能でAPIが追加されても永続的に制限 ( (DPで制限できるリソース) で制限できるリソース) シリアルコンソールアクセス、インスタンスメタデータのデフォルト、AMIの公開、 スナップショットのパブリックアクセス、インターネットゲートウェイからのパブリックアクセス
Copyright © Tetsuya Shibao #jawsugfuk まとめ ・ AWS Organizationsは従来SCPsでのみ制限を掛けられるものでしたが、 2024年11月のRCPs、12月のDPの登場によりAWSアカウントに統制を掛ける幅が広がりました。
・ AWS Organizationsで利用できるポリシーのサンプルを作成しています。 SCPs、RCPs、DPをそれぞれ適用できるようにしています。 https://github.com/midnight480/sample-aws-organization-policy SCPs RCPs DP 対象 IAM User/Roleなど アクセス制御 リソースに対する アクセス制御 予め定義された リソースベースライン サービスロールに対する 制御 対象外 対象外 対象 エラーメッセージの カスタム 不可 不可 可能
Copyright © Tetsuya Shibao #jawsugfuk https://sitcd.vercel.app/ 全国的に珍しい佐賀県のITコミュニティ運営支援施策を中心に、 佐賀県の方から話をいただいたり、コミュニティ間のコラボレーションを目的に、 イベントを企画、準備中です。 セッションの様子はYouTubeで配信予定ですのでよかったら見てみてください
おしらせ
Copyright © Tetsuya Shibao #jawsugfuk 2025-02-08 JAWS-UG福岡 Thanks for your
time. :) https://speakerdeck.com/midnight480 https://www.docswell.com/user/midnight480
midnight480
ponponmikankan
sonoda_mj
yayoi_dd
shift_evolve
scova0731
eltociear
oidfj
sansan33
flatt_security
kubomasataka
tmtms
nikkihalliwell
addyosmani
marketingsoph
kimpetersen
aleyda
akihiro_kokubo
lara
eileencodes
techseoconnect
swwweet
quramy
