Upgrade to Pro — share decks privately, control downloads, hide ads and more …

宣言型ポリシーと観る新しい景色

Sponsored · Your Podcast. Everywhere. Effortlessly. Share. Educate. Inspire. Entertain. You do you. We'll handle the rest.
Avatar for 和田響 和田響
January 20, 2025
0
280

 宣言型ポリシーと観る新しい景色

宣言型ポリシーと観る新しい景色

Avatar for 和田響

和田響

January 20, 2025
Tweet

More Decks by 和田響

See All by 和田響
AWS BuilderCards セキュリティ拡張パック完全に理解した
Avatar for 和田響 wadahibiki
1
16
AWS BuilderCards アップデート解説
Avatar for 和田響 wadahibiki
0
860
いざラスベガスへ! 〜re:Invent で必要だったもの・要らなかったもの〜
Avatar for 和田響 wadahibiki
0
930
AWS Security Hub から AWSのベストプラクティスを学びたい
Avatar for 和田響 wadahibiki
0
840
Trusted Advisorとちゃんと向き合いたい
Avatar for 和田響 wadahibiki
0
480
AWS環境におけるPCI-DSS準拠のポイント
Avatar for 和田響 wadahibiki
0
460
知られざるクラスメソッドの働き方 〜入社5ヶ月目から見るクラスメソッド〜
Avatar for 和田響 wadahibiki
0
3.6k

Featured

See All Featured
Lessons Learnt from Crawling 1000+ Websites
Avatar for Charles Meaden charlesmeaden
PRO
1
1.1k
From Legacy to Launchpad: Building Startup-Ready Communities
Avatar for Dug Song dugsong
0
140
Have SEOs Ruined the Internet? - User Awareness of SEO in 2025
Avatar for Akash Hashmi akashhashmi
0
270
Everyday Curiosity
Avatar for Cassini Nazir cassininazir
0
130
Future Trends and Review - Lecture 12 - Web Technologies (1019888BNR)
Avatar for Beat Signer signer
PRO
0
3.2k
Claude Code どこまでも/ Claude Code Everywhere
Avatar for nwiizo nwiizo
61
52k
Leveraging LLMs for student feedback in introductory data science courses - posit::conf(2025)
Avatar for Mine Cetinkaya-Rundel minecr
0
140
GraphQLの誤解/rethinking-graphql
Avatar for sonatard sonatard
74
11k
JavaScript: Past, Present, and Future - NDC Porto 2020
Avatar for David Neal reverentgeek
52
5.8k
Ethics towards AI in product and experience design
Avatar for Skipper Chong Warson skipperchong
2
190
How to Get Subject Matter Experts Bought In and Actively Contributing to SEO & PR Initiatives.
Avatar for Liv Day livdayseo
0
64
My Coaching Mixtape
Avatar for mlcsv mlcsv
0
47

Transcript

  1. 2025/1/20 クラスメソッド株式会社 和⽥響 宣⾔型ポリシーと観る新しい景⾊

  2. ⾃⼰紹介 2 • 名前:和⽥響(わだひびき) • 年齢:25歳 • 趣味:筋トレ、テニス、飲酒 • 表彰:

    ◦ 2024 Japan AWS All Certifications Engineers ◦ 2024 Japan AWS Jr. Champions • 近況: ◦ フルマラソンにエントリー ◦ Control Tower と格闘中!

  3. ⽬次 3 • 新機能「宣⾔型ポリシー」とは何か • Organizations と Control Towerでの使い分け •

    今後に期待すること

  4. ⽬次 4 • 新機能「宣⾔型ポリシー」とは何か • Organizations と Control Towerでの使い分け •

    今後に期待すること

  5. 新機能「宣⾔型ポリシー」とは何か 5 • AWS サービスの必要な設定を定義できる • Organizations や Control Towerといったマルチアカウント環境で利⽤できる

    • 現在サポートしている機能は計6つ ◦ VPC ▪ VPC のブロックパブリックアクセス ◦ EC2 ▪ シリアルコンソールアクセス ▪ AMI のブロックパブリックアクセス ▪ 許可されたAMI の利⽤ ▪ IMDS のデフォルト設定 ◦ EBS ▪ EBS スナップショットのブロックパブリックアクセス

  6. 新機能「宣⾔型ポリシー」とは何か 6 AWS サービスの必要な設定を定義できる • 設定の定義 ≠ 特定のAPI実⾏禁⽌

  7. まだよくわからん!

  8. EC2 IMDSで考える

  9. 新機能「宣⾔型ポリシー」とは何か 9 例:新しいEC2インスタンスのIMDS デフォルトをV2に定義する ×:デフォルト設定をV1を拒否する ⚪:デフォルト設定をV2に強制する 仮にIMDS V3が登場しても柔軟に対応できる!!

  10. 許可されたAMI設定はもっとすごい!

  11. 新機能「宣⾔型ポリシー」とは何か 11 例:許可されたAMI の利⽤ • こんな設定ができる ◦ 「AWSが作ったAMI」か「AWS Marketplace で検証済みのプロバイダーによって作成さ

    れた AMI」か「アカウントAが作ったAMI」は使っていいよ!

  12. こういうやつがなくなる未来!

  13. ⽬次 13 • 新機能「宣⾔型ポリシー」とは何か • Organizations と Control Towerでの使い分け •

    今後に期待すること

  14. Organizations と Control Towerでの使い分け 14 Organizations と Control Towerで使える宣⾔型ポリシーは異なる コントロール

    Organizations Control Tower VPC :ブロックパブリックアクセス有効化 ⚪ ⚪ EC2:シリアルコンソールアクセス禁止 ⚪ ⚪ EC2:AMI のブロックパブリックアクセス有効化 ⚪ ⚪ EC2:許可されたAMIの利用設定 ⚪ × EC2:IMDSのデフォルト設定 ⚪ × EBS:EBS スナップショットのブロックパブリックアクセス有効化 ⚪ ⚪

  15. どっちで使えばいいの〜??

  16. 基本的には 「Control Towerで使えるか?」 で判断して良い!

  17. Organizations と Control Towerでの使い分け 17 • Control Towerを有効にしているか? ◦ Yes:Control

    Towerで使えるか検討 ◦ No:Organizationsで使う • ランディングゾーン外のOUにも適⽤したいポリシーか? ◦ Yes: ▪ Control Towerで使いつつ、ランディングゾーン外のOUにはOrganizationsで使う ▪ Organizationsを使い対象のOUに⼀括で設定する ◦ No: ▪ Control Towerで使う • Control Towerでサポートされてるポリシーか? ◦ Yes:Control Towerで使う ◦ No:Organizationsで使う

  18. ⽬次 18 • 新機能「宣⾔型ポリシー」とは何か • Organizations と Control Towerでの使い分け •

    今後に期待すること

  19. 宣⾔型ポリシー便利だけど...

  20. まだ機能が少ない...

  21. 今後に期待すること 21 • 現在サポートされている機能 ◦ VPC ▪ VPC のブロックパブリックアクセス ◦

    EC2 ▪ シリアルコンソールアクセス ▪ AMI のブロックパブリックアクセス ▪ 許可されたAMI の利⽤ ▪ IMDS のデフォルト設定 ◦ EBS ▪ EBS スナップショットのブロックパブリックアクセス

  22. 今後に期待すること 22 個⼈的にサポートしてほしい機能 • 各種サービスのパブリックアクセス無効設定 ◦ Security Hubのcriticalのコントロールの多くが「パブリックアクセス」を指摘するもの ◦ 「VPC

    のブロックパブリックアクセス無効」が可能であれば理論上いけるはず!(知ら んけど) • 各種サービスのデフォルト暗号化設定 • IAMパスワードポリシーの強制

  23. まとめ 23 • SCPやRCP,IAMポリシーのようなAPIレベルではなく、リソースレベルで 設定できるのが良い! • Control Towerで使えるならそちの⽅がラク! • アカウント作成時にStep

    Function流す時代に終焉を!
  24. None