SCP
こんにちは!エンタープライズクラウド部技術2課の日高です。 特定リージョン以外の操作をSCPで制限した場合、グローバルサービス(検証ではS3を利用しました)のマネジメントコンソールでの表示はどうなるのか気になったので調べてみました。 気になったこ…
3月よりIE課(インターナルエデュケーション課) に異動しました山﨑です。 サウナブームが到来しているせいか、毎週通っているサウナの人が徐々に増えてきて困っております さて、今回はAWS Organizations におけるSCP設計のポイントを整理してみようと思い…
こんにちは! CS課でOJTをしていた日高です! AWS Organizationsを利用していてセキュリティサービスの無効化・削除を拒否したい場合ってよくあるケースだと思います。 本記事ではOJT期間中に検証する機会があった IAM Access Analyzer、AWS Security Hub、A…
CI2部 技術2課の山﨑です。 AWS OrganizationsのSCPを利用する際、一からポリシー設計をするのは簡単ではありません。 それはSCPはIAM Policyとは用途が異なることが多い(拒否リスト、AWSアカウント全体のアクセス統制として利用することが多い)ため、同じ…
CI2部の山﨑です。 IAMドキュメントの更新履歴を見る機会があり、そこでアクセスポリシーの評価ロジックが更新されていましたので、その点について簡単にご紹介させて頂きます。 はじめに 変更点 更新前 更新後 各種アクセスポリシーについて 拒否の評価(明…
こんにちは、サーバーワークスのこけしの人、坂本(@t_sakam)です。本日、Organizationsの機能アップデートが発表されました。このアップデートで、いままでざっくりとした設定しかできなかったSCP(サービスコントロールポリシー)で「Resource」や「Condi…