Control policies for AWS Organizations

Transcript

1. Copyright © Tetsuya Shibao #jawsugfuk 2025-02-08 JAWS-UG福岡 AWS Organizationsに対する制御ポリシー Control

   policies for AWS Organizations

2. Copyright © Tetsuya Shibao #jawsugfuk 自己紹介 大分（22年） → 東京（11年） →

   福岡（2年）→ 佐賀（現 在）　 柴尾　哲也（しばお　てつや） Tetsuya Shibao JAWS-UG佐賀 AWS Startup Community 福岡 JAWS-UG 佐賀 運営 AWS Startup Community 運営（最近は... SAGA IT Community Day企画中 Coder Dojoさが（メンター） HAGAKURE PROGRAMMING塾 etc…

3. Copyright © Tetsuya Shibao #jawsugfuk ・ 熊本での復習 ・ 個人で運用するユースケース 　・ハンズオンイベントの運営

   ・ 貸し出すときに注意したいこと ・ 先人たちの紹介 ・ 現在利用可能なポリシー ・ まとめ お話すること

4. Copyright © Tetsuya Shibao #jawsugfuk 熊本での復習 ・ JAWS-UG熊本（2025/1/25）では、AWS OrganizationsとIAM Identity

   Centerについて話しました ・ OU（組織単位）にポリシーが適用できることについて話しました https://speakerdeck.com/midnight480/reintroduction-to-aws-multiple-account-management

5. Copyright © Tetsuya Shibao #jawsugfuk ハンズオンイベントの運営 ・ JAWS-UGをはじめとして各勉強会でハンズオンに参加する機会が提供されています 　・その際にAWSアカウントをどのように取り扱うかが運営で悩ましいです 　　（松）AWSさんにご協力をいただき、Workshop環境を用意いただく

   or クレジットを頂く 　　（竹）参加者各自でAWSアカウントを保有していただく　 　　（梅）運営側でハンズオン用アカウントを展開する

6. Copyright © Tetsuya Shibao #jawsugfuk ハンズオンイベントの運営 ・ JAWS-UGをはじめとして各勉強会でハンズオンに参加する機会が提供されています 　・その際にAWSアカウントをどのように取り扱うかが運営で悩ましいです 　　（松）AWSさんにご協力をいただき、Workshop環境を用意いただく

   or クレジットを頂く 　　（竹）参加者各自でAWSアカウントを保有していただく　 　　（梅）運営側でハンズオン用アカウントを展開する

7. Copyright © Tetsuya Shibao #jawsugfuk ハンズオンイベントの運営 ・ JAWS-UGをはじめとして各勉強会でハンズオンに参加する機会が提供されています 　・その際にAWSアカウントをどのように取り扱うかが運営で悩ましいです 　　（松）AWSさんにご協力をいただき、Workshop環境を用意いただく

   or クレジットを頂く 　　（竹）参加者各自でAWSアカウントを保有していただく　 　　（梅）運営側でハンズオン用アカウントを展開する ・ ハンズオンアカウントを貸し出すケース 　・参加者が学生などクレジットカードを保有しておらずAWSアカウントを作成できない 　　→ Vプリカ（AWSは大手クラウドの中で唯一利用できるクラウドサービス[2022年柴尾調べ]） 　　　https://vpc.lifecard.co.jp/ 　・課金が発生するためクレジット（≒クーポン）保有者から提供する

8. Copyright © Tetsuya Shibao #jawsugfuk 貸し出すときに注意したいこと ・イベントに参加する方に悪意を持って参加者はいない前提でいる 　 ex. 重課金して貸出元のクレジットを溶かしてしまおう

   ・初心者が誤って高額、月額課金に関わるサービスを選択しないようにする 　ex. AWSサポート、Sheild Advanced（DDoS攻撃を人的にチェック）...etc

9. Copyright © Tetsuya Shibao #jawsugfuk 先人たちの紹介 ・SCPに関する記事を書いている先人の一例です https://qiita.com/hirosys-biz/items/ecc34f8574094dc6be15 https://qiita.com/hirosys-biz/items/48d1db5fcce3bf6547ce https://www.yamamanx.com/scp-policy/

10. Copyright © Tetsuya Shibao #jawsugfuk 現在利用可能なポリシー ・SCPs （Service Control Policy）

    　サービスに対する制限 　（ 　（SCPsで制限できない機能） で制限できない機能） 　・管理アカウントによって実行されるすべてのアクション 　・サービスにリンクされたロールにアタッチされたアクセス許可を使用して実行されるすべてのアクション。 　・root ユーザーとして Enterprise サポートプランに登録する 　・CloudFront プライベートコンテンツに信頼された署名者機能を提供する 　・Amazon Lightsail E メールサーバーと Amazon EC2インスタンスDNSをルートユーザーとしてリバースを設定する　 　一部の AWS関連サービスのタスク： 　　・Alexa Top Sites 　　・Alexa Web Information Service 　　・Amazon Mechanical Turk 　　・Amazon 製品マーケティング API ・RCPs （Resource Control Policy） 　リソースに対する制限 　（ （RCPsで制限できるリソース） で制限できるリソース） 　Amazon S3、AWS Security Token Service、AWS Key Management Service、Amazon SQS、AWS Secrets Manager ・DP（Declarative Policy） 　新機能でAPIが追加されても永続的に制限 　（ 　（DPで制限できるリソース） で制限できるリソース） 　シリアルコンソールアクセス、インスタンスメタデータのデフォルト、AMIの公開、 　スナップショットのパブリックアクセス、インターネットゲートウェイからのパブリックアクセス

11. Copyright © Tetsuya Shibao #jawsugfuk まとめ ・ AWS Organizationsは従来SCPsでのみ制限を掛けられるものでしたが、 　2024年11月のRCPs、12月のDPの登場によりAWSアカウントに統制を掛ける幅が広がりました。

    ・ AWS Organizationsで利用できるポリシーのサンプルを作成しています。 　SCPs、RCPs、DPをそれぞれ適用できるようにしています。 https://github.com/midnight480/sample-aws-organization-policy 　 SCPs RCPs DP 対象 IAM User/Roleなど アクセス制御 リソースに対する アクセス制御 予め定義された リソースベースライン サービスロールに対する 制御 対象外 対象外 対象 エラーメッセージの カスタム 不可 不可 可能

12. Copyright © Tetsuya Shibao #jawsugfuk https://sitcd.vercel.app/ 全国的に珍しい佐賀県のITコミュニティ運営支援施策を中心に、 佐賀県の方から話をいただいたり、コミュニティ間のコラボレーションを目的に、 イベントを企画、準備中です。 セッションの様子はYouTubeで配信予定ですのでよかったら見てみてください

    おしらせ

13. Copyright © Tetsuya Shibao #jawsugfuk 2025-02-08 JAWS-UG福岡 Thanks for your

    time. :) https://speakerdeck.com/midnight480 https://www.docswell.com/user/midnight480