SCP

特定リージョン以外の操作をSCPで制限した場合、マネジメントコンソール上のグローバルサービスの表示がどうなるのか調べてみた

こんにちは!エンタープライズクラウド部技術2課の日高です。 特定リージョン以外の操作をSCPで制限した場合、グローバルサービス(検証ではS3を利用しました)のマネジメントコンソールでの表示はどうなるのか気になったので調べてみました。 気になったこ…

AWS Organizations におけるSCP設計のポイントを整理してみる

3月よりIE課(インターナルエデュケーション課) に異動しました山﨑です。 サウナブームが到来しているせいか、毎週通っているサウナの人が徐々に増えてきて困っております さて、今回はAWS Organizations におけるSCP設計のポイントを整理してみようと思い…

SCPによるAWS IAM Access Analyzer、AWS Security Hub、Amazon Detectiveの無効化拒否設定

こんにちは! CS課でOJTをしていた日高です! AWS Organizationsを利用していてセキュリティサービスの無効化・削除を拒否したい場合ってよくあるケースだと思います。 本記事ではOJT期間中に検証する機会があった IAM Access Analyzer、AWS Security Hub、A…

AWS OrganizationsのSCP設計で参考になりそうなサンプルポリシーを作成してみる

CI2部 技術2課の山﨑です。 AWS OrganizationsのSCPを利用する際、一からポリシー設計をするのは簡単ではありません。 それはSCPはIAM Policyとは用途が異なることが多い(拒否リスト、AWSアカウント全体のアクセス統制として利用することが多い)ため、同じ…

【更新】AWSにおけるアクセスポリシーの評価ロジック

CI2部の山﨑です。 IAMドキュメントの更新履歴を見る機会があり、そこでアクセスポリシーの評価ロジックが更新されていましたので、その点について簡単にご紹介させて頂きます。 はじめに 変更点 更新前 更新後 各種アクセスポリシーについて 拒否の評価(明…

【AWS Organizationsアップデート!】SCPで柔軟な設定が可能に!- Conditionを設定して「特定のロールのみEC2の操作ができる」ようにしてみた -

こんにちは、サーバーワークスのこけしの人、坂本(@t_sakam)です。本日、Organizationsの機能アップデートが発表されました。このアップデートで、いままでざっくりとした設定しかできなかったSCP(サービスコントロールポリシー)で「Resource」や「Condi…