type
status
date
slug
summary
tags
category
icon
password
理論
1. AWS Organizationsの利用
AWS Organizationsは、複数のAWSアカウントを一元管理するためのサービスです。組織単位(OU)やサービスコントロールポリシー(SCP)を使用して、リソースやアカウントに対するアクセス制御を効率的に管理できます。AWS Organizationsを使用すると、異なる部門やプロジェクトごとにアカウントを分け、それぞれに異なる制限をかけることが可能です。
2. サービスコントロールポリシー(SCP)
SCPは、AWS Organizations内でアカウントやOUに適用できるポリシーです。SCPは、各アカウントが実行できるアクションを制御します。これにより、組織全体で統一的なセキュリティポリシーやリソース制限を設定できます。例えば、リージョン制限やインスタンスタイプ制限などが可能です。
リージョン制限:
SCPで
aws:RequestedRegionを使用して、特定のリージョンへのアクセスを制限できます。この条件は、リソースがどのリージョンに展開されるかを制御する際に非常に重要です。例えば、ap-northeast-1リージョンにリソースを集中させる場合、他のリージョンへのアクセスをブロックすることができます。インスタンスタイプ制限:
EC2インスタンスのインスタンスタイプを制限するためには、
ec2:InstanceType条件キーを使用します。これにより、指定したインスタンスタイプのみが許可され、他のタイプのインスタンスの作成がブロックされます。この制限は、コスト管理や性能要件を遵守するために有効です。3. インラインポリシーとIAMロール
IAMポリシーは、特定のリソースやアクションに対するアクセス権限を設定するために使用されます。IAMロールは、他のアカウントやサービスが特定のリソースにアクセスするために使います。インラインポリシーは、IAMロールやIAMユーザーに直接付与するポリシーで、特定の条件(例えば、インスタンスタイプやリージョン)を基にアクセス制限を行います。
4. 実行時のアクセス制御のベストプラクティス
- リージョン制限:複数のリージョンにまたがるリソース展開を防ぐために、リージョン制限をSCPやIAMポリシーで強制します。これにより、規制要件を遵守し、コンプライアンスを確保できます。
- インスタンスタイプ制限:特定のインスタンスタイプの使用を制限することで、コスト管理やパフォーマンス要件を満たすインスタンスのみを展開できます。この制限をIAMロールやSCPで適用することが推奨されます。
5. 運用効率とメンテナンスの最小化
AWS OrganizationsとSCPを活用することで、組織全体で一貫した制限を簡単に適用できます。また、IAMロールやインラインポリシーを適切に使用することで、細かい制御を各アカウントやOUに対して実施できます。これにより、運用の効率が向上し、手動によるメンテナンスの負担を最小限に抑えることができます。
まとめ
AWS Organizationsを利用して、SCPを適用することで、組織内のアカウントやOUに対して効率的に制限をかけ、運用効率を向上させることができます。リージョンやインスタンスタイプの制限を適切に設定することは、規制遵守やコスト管理、パフォーマンス最適化に重要な要素となります。
実践
略
一問道場
問題 #132
トピック 1
ある会社は、AWS Organizationsを使用して複数のAWSアカウントを管理しています。ルートOUの下に、ResearchとDataOpsという2つのOUがあります。規制要件により、会社が組織で展開するすべてのリソースは、ap-northeast-1リージョンに配置する必要があります。さらに、DataOps OUで展開されるEC2インスタンスは、あらかじめ定義されたインスタンスタイプのリストを使用する必要があります。
ソリューションアーキテクトは、これらの制限を適用するソリューションを実装する必要があります。ソリューションは、運用効率を最大化し、継続的なメンテナンスを最小限に抑える必要があります。
この要件を満たす手順の組み合わせはどれですか?(2つ選んでください。)
A. DataOps OUの1つのアカウントにIAMロールを作成します。インラインポリシーでec2:InstanceType条件キーを使用し、特定のインスタンスタイプへのアクセスを制限します。
B. ルートOUのすべてのアカウントにIAMユーザーを作成します。各ユーザーにインラインポリシーでaws:RequestedRegion条件キーを使用し、ap-northeast-1以外のすべてのAWSリージョンへのアクセスを制限します。
C. SCPを作成します。aws:RequestedRegion条件キーを使用して、ap-northeast-1以外のすべてのAWSリージョンへのアクセスを制限します。このSCPをルートOUに適用します。
D. SCPを作成します。ec2:Region条件キーを使用して、ap-northeast-1以外のすべてのAWSリージョンへのアクセスを制限します。このSCPをルートOU、DataOps OU、Research OUに適用します。
E. SCPを作成します。ec2:InstanceType条件キーを使用して、特定のインスタンスタイプへのアクセスを制限します。このSCPをDataOps OUに適用します。
解説
この問題では、複数の制限をAWS Organizationsで適用する方法を問うものです。解説は以下の通りです。
- リージョン制限:
aws:RequestedRegion条件キーを使用することで、特定のリージョン(この場合はap-northeast-1)以外のリージョンへのアクセスを制限できます。- CとDがリージョン制限を適用する選択肢です。CはルートOUに適用し、DはルートOU、DataOps OU、Research OU全体に適用する方法です。両者ともリージョン制限を強制しますが、Dは範囲を広げているため、より包括的です。
- インスタンスタイプ制限:
- EC2インスタンスに対して特定のインスタンスタイプを制限する場合、
ec2:InstanceType条件キーを使います。 - Eがこの条件を適用する選択肢で、DataOps OUに対してインスタンスタイプを制限します。
まとめ:
- C(リージョン制限、ルートOU)とE(インスタンスタイプ制限、DataOps OU)を選ぶことで、要求されている制限を最大限に効率よく適用できます。
- 作者:みなみ
- 链接:https://tangly1024.com/資格勉強/16ed7ae8-88e2-8067-afdc-fcefa3ebe7b8
- 声明:本文采用 CC BY-NC-SA 4.0 许可协议,转载请注明出处。
相关文章
.png?table=block&id=021326af-6a29-487e-ac2f-560985ab23b3&t=021326af-6a29-487e-ac2f-560985ab23b3&width=800&cache=v2)
