理論

AWS OrganizationsとSCPの基礎知識

1. AWS Organizationsの基本構造

• ルート（Root）
組織全体のトップレベル。すべてのアカウントとOUがこのルートに属します。

• OU（Organizational Unit）
アカウントをグループ化するための単位。OUに適用したSCPは、グループ内のすべてのアカウントに適用されます。

• アカウント
実際にAWSリソースを使用するエンティティ。個々のアカウントにもポリシーが適用されます。

2. サービス制御ポリシー（SCP）

特徴

1. 許可リスト方式（Allow List SCP）
• 特定のサービスや操作を「許可」するポリシー。
• デフォルトではすべてが拒否され、明示的に許可された操作のみ実行可能。

2. 拒否リスト方式（Deny List SCP）
• すべての操作がデフォルトで許可されており、特定のサービスや操作を「拒否」するポリシー。
• 限定的な制御が必要な場合に利用される。

適用範囲

• SCPはアカウント単位ではなくOU単位で適用される。

• IAMポリシーの制約を越えてアクセスを制限可能。

• SCPで拒否された操作は、アカウントレベルのポリシーで許可されていても実行できない。

3. AWS ConfigとSCPの関係

• SCPでAWS Configのアクションが拒否されている場合、ルールの作成や更新が制限されます。

• AWS Configを利用するには、関連するアクション（例: config:PutConfigRule）がSCPで許可されている必要があります。

4. ポイント

1. SCPの仕組み
• SCPはIAMポリシーよりも優先される。
• SCPで拒否された操作は、IAMポリシーやユーザー権限で上書きできない。

2. OUの役割
• アカウントを一時的に別のOUに移動して独自のSCPを適用することで、特定のタスクを完了させられる。

3. AWS Configの動作
• AWS Configのルールを更新するためには特定の権限が必要。
• これらの権限がSCPで拒否されている場合、権限を一時的に許可する方法を検討する必要がある。

4. 組織のポリシー管理のベストプラクティス
• 長期的な管理コストを抑えるため、SCPを頻繁に変更するのではなく、構造を工夫して一時的な変更を柔軟に行う。

まとめ

• 現在のポリシーをできるだけ変更せず、一時的に必要な権限を提供する。

• 長期的な管理負荷を増やさない。

• AWS Configの要件を満たしながら、既存のセキュリティ基準を維持する。

実践

ハンズオン：費用かかる為、今後作成する予定

一問道場

問題AWS Organizationsでのアクセス制御とSCP（Service Control Policies）。

• 企業は「Production」という1つのOUで複数のAWSアカウントを管理している。

• 組織のルートに拒否リストベースのSCPを適用しており、特定サービスへのアクセスを制限している。

• 新規ビジネスユニットのアカウントを追加した際、そのアカウントではAWS Configルールを更新できない問題が発生した。

選択肢

A

• SCPからAWS Configへのアクセス制限を削除。

• AWS Service Catalogを利用して標準のAWS Configルールを全アカウントに展開。

B

• 新規一時OU「Onboarding」を作成し、新しいアカウントを移動。

• Onboarding OUにAWS Configの操作を許可するSCPを適用。

• AWS Configの調整完了後、そのアカウントをProduction OUに戻す。

選択肢C

• 拒否リストベースのSCPを許可リストベースに変更。

• 一時的にAWS Config操作を許可するSCPを新規アカウントに適用。

選択肢D

• 新規OU「Onboarding」を作成し、新しいアカウントを移動。

• Onboarding OUにAWS Config操作を許可するSCPを適用。

• 現在のSCPをProduction OUに移動し、その後アカウントをProduction OUに戻す。

解説

正解: 選択肢B

• 新規一時OU「Onboarding」を活用することで、柔軟に問題解決が可能。

• 長期的な管理負担を増やさず、現行ポリシー構造を維持できる。

• 他の選択肢よりも実施が簡単で現実的。

他の選択肢の問題点

• 選択肢A: 管理が複雑化し、長期的なコストが高くなる。

• 選択肢C: SCP全体の変更はリスクが大きい。

• 選択肢D: SCPの移動など手順が多く、非効率。

ポイント