Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
Control policies for AWS Organizations
Search
midnight480
February 08, 2025
Technology
0
130
Control policies for AWS Organizations
02/08/2025 JAWS-UG Fukuoka
midnight480
February 08, 2025
Tweet
Share
More Decks by midnight480
See All by midnight480
AWS Summit Japan 2025 個人的参加レポート
midnight480
0
100
Amazon Q Developer for CLI の紹介
midnight480
0
110
Postman Flows ✖️ Backlog API で可能性を探る
midnight480
0
130
Amazon Q Developer for CLIの基本的な使い方と便利なコマンドの紹介
midnight480
0
150
20250531 JAWS-UG佐賀 生成AI
midnight480
0
55
Amazon Q Developer for CLI 〜 Blender、Backlog GitをMCPで操作してみた 〜
midnight480
0
170
20240201_JAWS-UG_SAGA
midnight480
0
84
Reintroduction to AWS Multiple Account Management
midnight480
0
90
Try Dify self-hosted on AWS
midnight480
0
73
Other Decks in Technology
See All in Technology
[OCI Technical Deep Dive] OracleのAI戦略(2025年8月5日開催)
oracle4engineer
PRO
1
170
【新卒研修資料】数理最適化 / Mathematical Optimization
brainpadpr
27
13k
全員が手を動かす組織へ - 生成AIが変えるTVerの開発現場 / everyone-codes-genai-transforms-tver-development
tohae
0
190
Amazon Q Developerを活用したアーキテクチャのリファクタリング
k1nakayama
2
210
Foundation Model × VisionKit で実現するローカル OCR
sansantech
PRO
1
370
2時間で300+テーブルをデータ基盤に連携するためのAI活用 / FukuokaDataEngineer
sansan_randd
0
150
UDDのススメ - 拡張版 -
maguroalternative
1
550
テストを実行してSorbetのsigを書こう!
sansantech
PRO
1
100
夏休みWebアプリパフォーマンス相談室/web-app-performance-on-radio
hachi_eiji
0
180
Bet "Bet AI" - Accelerating Our AI Journey #BetAIDay
layerx
PRO
4
1.7k
生成AIによるソフトウェア開発の収束地点 - Hack Fes 2025
vaaaaanquish
29
13k
AIのグローバルトレンド 2025 / ai global trend 2025
kyonmm
PRO
1
140
Featured
See All Featured
The Straight Up "How To Draw Better" Workshop
denniskardys
235
140k
The Success of Rails: Ensuring Growth for the Next 100 Years
eileencodes
46
7.6k
個人開発の失敗を避けるイケてる考え方 / tips for indie hackers
panda_program
110
19k
GitHub's CSS Performance
jonrohan
1031
460k
Designing for Performance
lara
610
69k
Done Done
chrislema
185
16k
The Invisible Side of Design
smashingmag
301
51k
The Cost Of JavaScript in 2023
addyosmani
51
8.8k
RailsConf 2023
tenderlove
30
1.2k
CSS Pre-Processors: Stylus, Less & Sass
bermonpainter
358
30k
The Psychology of Web Performance [Beyond Tellerrand 2023]
tammyeverts
49
3k
The Illustrated Children's Guide to Kubernetes
chrisshort
48
50k
Transcript
Copyright © Tetsuya Shibao #jawsugfuk 2025-02-08 JAWS-UG福岡 AWS Organizationsに対する制御ポリシー Control
policies for AWS Organizations
Copyright © Tetsuya Shibao #jawsugfuk 自己紹介 大分(22年) → 東京(11年) →
福岡(2年)→ 佐賀(現 在) 柴尾 哲也(しばお てつや) Tetsuya Shibao JAWS-UG佐賀 AWS Startup Community 福岡 JAWS-UG 佐賀 運営 AWS Startup Community 運営(最近は... SAGA IT Community Day企画中 Coder Dojoさが(メンター) HAGAKURE PROGRAMMING塾 etc…
Copyright © Tetsuya Shibao #jawsugfuk ・ 熊本での復習 ・ 個人で運用するユースケース ・ハンズオンイベントの運営
・ 貸し出すときに注意したいこと ・ 先人たちの紹介 ・ 現在利用可能なポリシー ・ まとめ お話すること
Copyright © Tetsuya Shibao #jawsugfuk 熊本での復習 ・ JAWS-UG熊本(2025/1/25)では、AWS OrganizationsとIAM Identity
Centerについて話しました ・ OU(組織単位)にポリシーが適用できることについて話しました https://speakerdeck.com/midnight480/reintroduction-to-aws-multiple-account-management
Copyright © Tetsuya Shibao #jawsugfuk ハンズオンイベントの運営 ・ JAWS-UGをはじめとして各勉強会でハンズオンに参加する機会が提供されています ・その際にAWSアカウントをどのように取り扱うかが運営で悩ましいです (松)AWSさんにご協力をいただき、Workshop環境を用意いただく
or クレジットを頂く (竹)参加者各自でAWSアカウントを保有していただく (梅)運営側でハンズオン用アカウントを展開する
Copyright © Tetsuya Shibao #jawsugfuk ハンズオンイベントの運営 ・ JAWS-UGをはじめとして各勉強会でハンズオンに参加する機会が提供されています ・その際にAWSアカウントをどのように取り扱うかが運営で悩ましいです (松)AWSさんにご協力をいただき、Workshop環境を用意いただく
or クレジットを頂く (竹)参加者各自でAWSアカウントを保有していただく (梅)運営側でハンズオン用アカウントを展開する
Copyright © Tetsuya Shibao #jawsugfuk ハンズオンイベントの運営 ・ JAWS-UGをはじめとして各勉強会でハンズオンに参加する機会が提供されています ・その際にAWSアカウントをどのように取り扱うかが運営で悩ましいです (松)AWSさんにご協力をいただき、Workshop環境を用意いただく
or クレジットを頂く (竹)参加者各自でAWSアカウントを保有していただく (梅)運営側でハンズオン用アカウントを展開する ・ ハンズオンアカウントを貸し出すケース ・参加者が学生などクレジットカードを保有しておらずAWSアカウントを作成できない → Vプリカ(AWSは大手クラウドの中で唯一利用できるクラウドサービス[2022年柴尾調べ]) https://vpc.lifecard.co.jp/ ・課金が発生するためクレジット(≒クーポン)保有者から提供する
Copyright © Tetsuya Shibao #jawsugfuk 貸し出すときに注意したいこと ・イベントに参加する方に悪意を持って参加者はいない前提でいる ex. 重課金して貸出元のクレジットを溶かしてしまおう
・初心者が誤って高額、月額課金に関わるサービスを選択しないようにする ex. AWSサポート、Sheild Advanced(DDoS攻撃を人的にチェック)...etc
Copyright © Tetsuya Shibao #jawsugfuk 先人たちの紹介 ・SCPに関する記事を書いている先人の一例です https://qiita.com/hirosys-biz/items/ecc34f8574094dc6be15 https://qiita.com/hirosys-biz/items/48d1db5fcce3bf6547ce https://www.yamamanx.com/scp-policy/
Copyright © Tetsuya Shibao #jawsugfuk 現在利用可能なポリシー ・SCPs (Service Control Policy)
サービスに対する制限 ( (SCPsで制限できない機能) で制限できない機能) ・管理アカウントによって実行されるすべてのアクション ・サービスにリンクされたロールにアタッチされたアクセス許可を使用して実行されるすべてのアクション。 ・root ユーザーとして Enterprise サポートプランに登録する ・CloudFront プライベートコンテンツに信頼された署名者機能を提供する ・Amazon Lightsail E メールサーバーと Amazon EC2インスタンスDNSをルートユーザーとしてリバースを設定する 一部の AWS関連サービスのタスク: ・Alexa Top Sites ・Alexa Web Information Service ・Amazon Mechanical Turk ・Amazon 製品マーケティング API ・RCPs (Resource Control Policy) リソースに対する制限 ( (RCPsで制限できるリソース) で制限できるリソース) Amazon S3、AWS Security Token Service、AWS Key Management Service、Amazon SQS、AWS Secrets Manager ・DP(Declarative Policy) 新機能でAPIが追加されても永続的に制限 ( (DPで制限できるリソース) で制限できるリソース) シリアルコンソールアクセス、インスタンスメタデータのデフォルト、AMIの公開、 スナップショットのパブリックアクセス、インターネットゲートウェイからのパブリックアクセス
Copyright © Tetsuya Shibao #jawsugfuk まとめ ・ AWS Organizationsは従来SCPsでのみ制限を掛けられるものでしたが、 2024年11月のRCPs、12月のDPの登場によりAWSアカウントに統制を掛ける幅が広がりました。
・ AWS Organizationsで利用できるポリシーのサンプルを作成しています。 SCPs、RCPs、DPをそれぞれ適用できるようにしています。 https://github.com/midnight480/sample-aws-organization-policy SCPs RCPs DP 対象 IAM User/Roleなど アクセス制御 リソースに対する アクセス制御 予め定義された リソースベースライン サービスロールに対する 制御 対象外 対象外 対象 エラーメッセージの カスタム 不可 不可 可能
Copyright © Tetsuya Shibao #jawsugfuk https://sitcd.vercel.app/ 全国的に珍しい佐賀県のITコミュニティ運営支援施策を中心に、 佐賀県の方から話をいただいたり、コミュニティ間のコラボレーションを目的に、 イベントを企画、準備中です。 セッションの様子はYouTubeで配信予定ですのでよかったら見てみてください
おしらせ
Copyright © Tetsuya Shibao #jawsugfuk 2025-02-08 JAWS-UG福岡 Thanks for your
time. :) https://speakerdeck.com/midnight480 https://www.docswell.com/user/midnight480
midnight480
oracle4engineer
brainpadpr
tohae
k1nakayama
sansantech
sansan_randd
maguroalternative
hachi_eiji
layerx
vaaaaanquish
kyonmm
denniskardys
eileencodes
panda_program
jonrohan
lara
chrislema
smashingmag
addyosmani
tenderlove
bermonpainter
tammyeverts
chrisshort
