マルチアカウント環境における組織ポリシーについて まとめてみる

Transcript

1. マルチアカウント環境における組織ポリシーについて まとめてみる NRIネットコム×シーイーシー共催ウェビナー 2025年2月26日 NRIネットコム株式会社 クラウド事業推進部 藤本 匠海

2. 1 Copyright（C） NRI Netcom, Ltd. All rights reserved. #nncstudy 

   名前：藤本匠海  出身：愛知県  経歴  2023年4月～ • NRIネットコム入社  2023年7月～現在 • クラウド事業推進部に配属 • AWSを活用したシステムの構築・支援  好きなAWSサービス  保有AWS資格 自己紹介 AWS CloudFormation AWS Organizations Amazon Bedrock https://tech.nri-net.com/archive/author/nnc-t-fujimoto

3. 2 Copyright（C） NRI Netcom, Ltd. All rights reserved. #nncstudy 1.

   はじめに

4. 3 Copyright（C） NRI Netcom, Ltd. All rights reserved. #nncstudy 

   AWS Organizationsにおけるポリシーは全部で7つ  re:Invent 2024で発表された宣言型ポリシー  2024年11月に発表されたRCP(リソースコントロールポリシー)  他にも… • オプトアウトポリシー • バックアップポリシー • チャットボットポリシー • SCP(サービスコントロールポリシー) • タグポリシー  7つのポリシーの役割は理解していますか?  本日の流れ  組織ポリシーとは  各ポリシーの概要  ポリシーの活用・運用方法 はじめに AWS Organizationsのマネジメントコンソール

5. 4 Copyright（C） NRI Netcom, Ltd. All rights reserved. #nncstudy 2.

   組織ポリシーの重要性

6. 5 Copyright（C） NRI Netcom, Ltd. All rights reserved. #nncstudy 

   セキュリティガバナンス戦略の階層を構成する要素 ① ポリシー: 特定の規制、状況に関する企業や顧客の期待を述べたドキュメント ② 統制目標 : ポリシーの意図を満たすのに役立つ、業界で認められたベストプラク ティスなどの目標 ③ 標準 : PCIコンプライアンスのようなコンプライアンス要件を満たすための標準 ④ セキュリティコントロール: 標準を実装するために導入する技術的または管理的なメカニズム  ④セキュリティコントロール  予防的, 事前対策的, 検知的の3種類のコントロール  予防的コントロール • SCP(サービスコントロールポリシー) • RCP(リソースコントロールポリシー) • 宣言型ポリシー 組織ポリシーの重要性 セキュリティ コントロール 標準 統制目標 ポリシー ガバナンスフレームワークにおけるセキュリティコントロール ※以下を参考に作図 https://docs.aws.amazon.com/ja_jp/prescriptive-guidance/latest/aws-security-controls/sec-controls-gov-model.html

7. 6 Copyright（C） NRI Netcom, Ltd. All rights reserved. #nncstudy 3.

   組織ポリシーとは

8. 7 Copyright（C） NRI Netcom, Ltd. All rights reserved. #nncstudy 組織ポリシーの種類

    AWS Organizations  複数のAWSアカウントを一元管理できるサービス  用語 • OU(Organizational Unit,組織単位) • Organizations内で複数のAWSアカウントを論理的にグループ化するための単位 • 組織ポリシー • Organizationsで管理されるアカウント群(OU)に対して、アクセス制御やリソース使用のルールを定義する • 組織全体で有効化が必要 • JSONのルールに従って構造化されたプレーンテキストファイルで記述  組織ポリシー  2つのポリシーカテゴリ：「制限する対象はなにか」  承認ポリシー • IAMプリンシパルやリソースのアクセスを一元的に管理する • SCP(サービスコントロールポリシー) • RCP(リソースコントロールポリシー)  管理ポリシー • AWSサービスの設定を一元的に管理する • 宣言型ポリシー • バックアップポリシー • タグポリシー • チャットボットポリシー • AIサービスのオプトアウトポリシー 組織ポリシーとは AWS Organizations

9. 8 Copyright（C） NRI Netcom, Ltd. All rights reserved. #nncstudy SCP

   (サービスコントロールポリシー)とRCP (リソースコントロールポリシー)  SCP(サービスコントロールポリシー)  組織内のIAMプリンシパルが利用できる最大アクセス許可を一元的に制御するポリシー  IAMポリシーはIAMプリンシパルが適用対象であるのに対して、SCPはアカウント・組織が適用対象  SCPはガバナンス設定自体を定義するものではなく、 Configなどのガバナンス設定を保護する役割  ユースケース • 外部リソースからプリンシパルへのアクセスを防ぐ • 開発者が使用できるサービスやリージョンを定義する • クラウドプラットフォームのリソースを保護する  RCP(リソースコントロールポリシー)  組織内のリソースに対して使用可能な最大アクセス許可を一元的に制御するポリシー  Amazon S3バケットポリシー・ Amazon SQSポリシー・AWS KMSポリシーなどをリソース単位で統制  RCPはデータペリメータ(境界)コントロールを行う役割  ユースケース • 外部アイデンティティからリソースへのアクセスを防ぐ • Confused Deputy Problem(混乱した代理人問題)を防止する • センシティブなリソースにアクセス制限をかける 承認ポリシー

10. 9 Copyright（C） NRI Netcom, Ltd. All rights reserved. #nncstudy SCP

    (サービスコントロールポリシー)とRCP (リソースコントロールポリシー)  S3バケットへアクセス制限をかける場合  SCP: 外部ユーザーから組織内のS3バケットへのアクセスを拒否  RCP: 組織外のユーザーが組織内のS3バケットへのアクセスを拒否 承認ポリシー

11. 10 Copyright（C） NRI Netcom, Ltd. All rights reserved. #nncstudy 宣言型ポリシー

     宣言型ポリシー  特定のAWSのサービスで必要な設定を一元的に宣言して適用するポリシー  コントロールプレーンでのAPI呼び出しを一元的に管理 • 個々の設定やサービスについて考える必要はない • 設定を保護するためのSCPを作成する必要がない • AWSのアップデート等で、ポリシーを常に更新し続ける必要がない  サポートされているサービス • Amazon VPC:VPC ブロックパブリックアクセス • Amazon EC2:シリアルコンソールアクセス, AMI ブロックパブリックアクセス,許可されたイメージの設定,インスタンスメタデータの デフォルト • Amazon EBS:スナップショットブロックパブリックアクセス  ユースケース • 組織内のすべてのアカウントとリージョンにわたってEBSスナップショットのパブリック共有をブロックする 管理ポリシー

12. 11 Copyright（C） NRI Netcom, Ltd. All rights reserved. #nncstudy その他の管理ポリシー

     バックアップポリシー  AWS BackupでAWS リソースのバックアップ方法を定義するバックアッププランを管理するポリシー  バックアップの頻度、バックアップが発生する時間枠、バックアップするリソースなどを設定  ユースケース:全てのAmazon DynamoDB テーブルをバックアップするように制御する  タグポリシー  AWSリソースにアタッチされたタグを標準化するポリシー  ユースケース:コスト配分タグが正しく設定されず、記録されないことを防ぐ  チャットボットポリシー  Slack,Microsoft Teamsなどのチャットアプリケーションから組織のアカウントへのアクセスを制御するポリシー  特定のワークスペースへの制限,チャンネルの可視性,特定のロール設定  ユースケース:社内で採用しているチャットアプリケーションのみにアクセスを制限する  AIサービスのオプトアウトポリシー  AWS AI サービス等のデータ収集を制御するポリシー • Amazon Comprehend, Amazon CodeWhisperer, Amazon Rekognitionなど  ユースケース:プライバシー保護,コンプライアンス対応 管理ポリシー

13. 12 Copyright（C） NRI Netcom, Ltd. All rights reserved. #nncstudy 4.

    ポリシーの活用方法

14. 13 Copyright（C） NRI Netcom, Ltd. All rights reserved. #nncstudy AWS

    OrganizationsのOUを用いて、管理しやすい構造を構築  AWS セキュリティリファレンスアーキテクチャ (AWS SRA）を参考  AWSのセキュリティのベストプラクティスに基づいた設計や構築ガイドラインを提供するためのフレームワーク  管理しやすい構造を構築するために役割や目的ごとにOUを分割 • セキュリティOU:セキュリティチームがセキュリティサービスを管理するためのアカウントを配置 • インフラストラクチャOU:ネットワークサービスや環境全体で共有されるサービス用のアカウントを配置 • SandBox OU:開発者がAWSサービスの検証を行うアカウントを配置 • ワークロードOU:アプリケーションを実行および運用するためのインフラストラクチャをホストするアカウントを配置  組織ポリシーはクォータがあるため注意  SCPの場合、OUにアタッチできる数は5個、ポリシーの最大サイズは5120文字 • 類似のブロックをグループ化 • JSONファイルを改行を含めずに、一行にまとめる  組織ポリシーが適用されている範囲はアクセス拒否のAPIイベントをモニタリング  アカウントの侵害を監視  自動化の設定ミスの確認 ポリシーの活用方法 AWS Organizations

15. 14 Copyright（C） NRI Netcom, Ltd. All rights reserved. #nncstudy AWS

    Control Towerによる予防的コントロール設定  AWS Control Tower  ベストプラクティスに従って、 AWS マルチアカウント環境を簡単に設定および管理するサービス  AWS Organizations、 AWS Service CatalogなどのAWSサービスをオーケストレーションし、迅速にランディングゾーンを構築  ポリシーやコントロールをすぐに導入し、環境を保護することができる  コントロールライブラリ • SCP • RCP • 宣言型ポリシー ポリシーの活用方法 AWS Control Tower AWS Control Tower マネジメントコンソール

16. 15 Copyright（C） NRI Netcom, Ltd. All rights reserved. #nncstudy 5.

    まとめ

17. 16 Copyright（C） NRI Netcom, Ltd. All rights reserved. #nncstudy 

    AWS Organizationsの組織ポリシー: 「制限する対象はなにか」  承認ポリシー:IAMプリンシパルやリソースのアクセスを一元的に管理する • SCP(サービスコントロールポリシー) • RCP(リソースコントロールポリシー)  管理ポリシー:サービスの設定を一元的に管理する • 宣言型ポリシー • バックアップポリシー • タグポリシー • チャットボットポリシー • AIサービスのオプトアウトポリシー  組織ポリシーの活用方法  AWS OrganizationsのOUを用いて、管理しやすい構造を構築  AWS Control Towerによる予防的コントロール設定 まとめ
18. None