type
status
date
slug
summary
tags
category
icon
password
理論
AWSでのリージョン制限に関する知識
AWS環境で特定のリージョン外の操作を制御することは、セキュリティとコスト管理において重要です。以下は、このテーマに関連する主要なポイントです。
1. AWS OrganizationsとSCP(サービスコントロールポリシー)
- 概要: SCPはAWS Organizations内のすべてのアカウントで許可される操作を制御するポリシーです。
- 特徴:
- IAMポリシーとは異なり、すべてのユーザー、ロール、サービスに適用。
- 指定されたリージョン外でのリソース作成や操作を簡単に拒否可能。
- 適用例:
- 承認されたリージョン外でのリソースデプロイを防止。
- 例えば、
"aws:RequestedRegion"条件キーを使用して特定リージョンの操作を制限。
2. AWS Control Tower
- 概要: AWS環境のガバナンスとアカウント管理を簡素化するサービス。
- 利点:
- 複数のアカウントを一元管理。
- OU(組織単位)ごとにポリシー適用が可能。
- SCPの作成と管理をサポート。
- 適用例:
- 新規アカウント作成時に自動的にリージョン制限を適用。
3. IAMポリシーの制約
- 制限: IAMポリシーは個々のアカウント、ユーザー、またはロールにのみ適用され、組織全体の一貫したガバナンスには不向き。
4. AWS Security Hubの役割
- 概要: セキュリティ基準の監視とアラートを提供。
- 制約: アクセス制御や操作の強制には適していない。
重要なポイント:
- SCPを活用すると、特定リージョン外での操作を包括的に制御可能。
- AWS Control Towerは、スケーラブルなアカウント管理とポリシー適用を実現。
- IAMポリシーやSecurity Hubは、特定用途には役立つがリージョン制限には不十分。
ランディングゾーンとは?
ランディングゾーンとは、AWSで新しいアカウントやシステムを安全かつ効率的に運用するための「整った環境」のことです。
たとえるなら、 「新しい家を建てるために、最初に整備された土地」 です。
たとえ話: 家を建てるときのランディングゾーン
- 土地の整備
家を建てる前に、水道や電気の配線、地盤の整備をしますよね。
→ AWSでは、ネットワーク設定(VPCやサブネット)やセキュリティルール(IAMポリシーやSCP) がこれに当たります。
- インフラの準備
さらに、家の設計に合わせて基礎を作ります。例えば、どこにキッチンを置くか、玄関を作るかなどを決めます。
→ AWSでは、ログ管理、セキュリティ監視、共有アカウントの設定 などがこの部分です。
- テンプレートの用意
同じ設計の家を複数建てたい場合、あらかじめテンプレートを用意しておくと楽になります。
→ AWSでは、CloudFormationやService Catalog を使って新しいアカウントを簡単にセットアップできます。
- 安心して家を建て始める
土地が整備され、基礎ができていれば、安全でスムーズに家を建て始められます。
→ AWSでは、ランディングゾーンが整っていれば、新しいアカウントをすぐに運用開始できます。
AWSのランディングゾーンの主な要素
- AWS Control Tower: ランディングゾーンを簡単に作成・管理するサービス。
- VPCとネットワーク設定: 各アカウントの通信環境を整備。
- セキュリティポリシー: ガードレールとしてSCPを適用。
- ログと監視: CloudTrailやAWS Configを使った監視基盤。
要点
AWSランディングゾーンは、AWS環境で「最初に作る基盤」であり、
安全・効率的に運用するための出発点 を提供するものです。
実践
略
一問道場
質問 #270
トピック 1
ある企業が事業を拡大しています。この企業は、複数のAWSリージョンで数百の異なるAWSアカウントにリソースを分ける計画を立てています。ソリューションアーキテクトは、指定されたリージョン外での操作を拒否するソリューションを推奨する必要があります。
どのソリューションがこれらの要件を満たしますか?
A. 各アカウントにIAMロールを作成する。アカウント用に承認されたリージョンのみを含む条件付き許可のIAMポリシーを作成する。
B. AWS Organizationsで組織を作成する。各アカウント用にIAMユーザーを作成する。アカウントがインフラをデプロイできないリージョンへのアクセスをブロックするポリシーを各ユーザーにアタッチする。
C. AWS Control Towerランディングゾーンを起動する。OU(組織単位)を作成し、承認されたリージョン外でのサービス実行を拒否するSCP(サービスコントロールポリシー)をアタッチする。
D. 各アカウントでAWS Security Hubを有効にする。アカウントがインフラをデプロイできるリージョンを指定するコントロールを作成する。
解説
正解: C. AWS Control TowerとSCPの活用
理由:
- AWS OrganizationsとSCPの活用
- サービスコントロールポリシー (SCP) により、指定リージョン外での操作を確実に拒否できる。
- SCPはすべてのIAMユーザーとロールに適用されるため、漏れがない。
- AWS Control Towerのメリット
- 組織の管理を簡素化し、数百のアカウントを効率的にセットアップ。
- リージョン制限やガバナンスを一元管理可能。
他の選択肢の問題点:
- A: IAMポリシーはSCPほど包括的ではなく、IAMユーザーやロールに適用される制約が限定的。
- B: IAMユーザー管理は煩雑で、ガバナンスの適用範囲が狭い。
- D: AWS Security Hubは監視ツールであり、アクセス制御には不向き。
Cのソリューションは、スケーラブルかつ強力なリージョン制限を実現する最適な選択肢です。
- 作者:みなみ
- 链接:https://tangly1024.com/資格勉強/174d7ae8-88e2-80ff-83b6-e0cd4eedd665
- 声明:本文采用 CC BY-NC-SA 4.0 许可协议,转载请注明出处。
相关文章
.png?table=block&id=021326af-6a29-487e-ac2f-560985ab23b3&t=021326af-6a29-487e-ac2f-560985ab23b3&width=800&cache=v2)
