464-AWS SAP AWS 「理論・実践・一問道場」AWS Organizations SCP
理論
AWS OrganizationsとSCP(サービスコントロールポリシー)を活用するための重要な知識を簡潔にまとめます。
AWS Organizations
- AWS Organizationsは、複数のAWSアカウントを一元管理するサービスで、リソースのアクセス制御やポリシー適用を組織単位で管理できます。
- 組織内のアカウントに共通のポリシーを適用したり、アカウントをグループ化(OU: Organizational Units)して管理したりできます。
SCP(サービスコントロールポリシー)
- SCPは、AWS Organizationsの各アカウントに対して適用する制限を定義するポリシーです。特定のサービスやアクションを制限し、アクセス権限を管理できます。
- SCPは「許可」ではなく「拒否」ポリシーで動作します。例えば、あるアクションを拒否する設定をすると、それを許可するIAMポリシーがあっても、そのアクションは実行できません。
管理者ロールの制限
- AWS OrganizationsでIAMアクションを制限したい場合、管理者ロールを使ってアクセス制御を行います。管理者ロールにのみ特定のアクション(例: IAMユーザーの作成やポリシーの管理)を許可することで、セキュリティリスクを低減できます。
- SCPを使って、IAMアクションをすべてのユーザーに対して拒否し、管理者ロールに例外を設けることで、最小限の権限で管理できます。
最小権限の原則
- 「最小権限の原則」では、ユーザーやロールにはその業務に必要な最低限の権限のみを付与することが求められます。これにより、不正アクセスや誤操作を防ぎます。
運用負荷を最小化するための方法
- SCPを利用することで、組織全体にポリシーを一元的に適用でき、各アカウントで個別に設定する必要がなくなります。これにより、管理の負担が大幅に軽減されます。
- 一方で、IAMパーミッションバウンダリやCloudTrail+Lambdaを使う方法は、管理が複雑になりやすいため、一般的にはSCPを使った一括管理の方が望ましいです。
重要ポイント
- SCPでのポリシー適用は、アクセス制御の中心的な手段であり、アカウント間で一貫したセキュリティ管理を実現します。
- 管理者ロールにアクセスを限定することで、セキュリティを強化し、最小権限の原則を守りながら運用できます。
実践
略
一問道場
質問 #464
ある企業はAWS Organizationsを使用してAWSアカウントを管理しています。
ソリューションアーキテクトは、IAMアクションを実行できるのは管理者ロールのみとするソリューションを設計しなければなりません。
ただし、ソリューションアーキテクトは会社全体のすべてのAWSアカウントにアクセス権を持っているわけではありません。
最小の運用負荷でこれらの要件を満たすソリューションはどれですか?
A. すべてのAWSアカウントに適用されるSCP(サービスコントロールポリシー)を作成し、IAMアクションを管理者ロールにのみ許可します。このSCPをルートOU(組織単位)に適用します。
B. AWS CloudTrailを設定し、IAMアクションに関連する各イベントでAWS Lambda関数を呼び出します。この関数を設定し、アクションを実行したユーザーが管理者でない場合にアクションを拒否します。
C. すべてのAWSアカウントに適用されるSCPを作成し、IAMアクションをすべてのユーザーに拒否し、管理者ロールを持つユーザーのみ例外とします。このSCPをルートOUに適用します。
D. IAMアクションを許可するIAMパーミッションバウンダリを設定し、そのパーミッションバウンダリをすべてのAWSアカウント内の管理者ロールにアタッチします。
解説
C. すべてのAWSアカウントに適用されるSCPを作成し、IAMアクションをすべてのユーザーに拒否し、管理者ロールを持つユーザーのみ例外とします。このSCPをルートOUに適用します。
このアプローチは、要件に対して非常に適切であり、効率的です。詳細は以下の通りです:
SCP(サービスコントロールポリシー)を使用する利点
- 一貫性: SCPはAWS Organizations内のすべてのアカウントに一貫して適用されます。これにより、全てのアカウントに対して同じアクセス制限を設定でき、管理が簡素化されます。
- 中央集権的管理: SCPを利用することで、管理者はすべてのAWSアカウントに対する制御を中央で行えます。特定のIAMアクションに対してアクセスを制限し、管理者ロールにのみ例外を設けることで、不要なアクセスを防止します。
IAMアクションを制限する方法
- このポリシーでは、IAMアクションをすべてのユーザーに対して拒否し、管理者ロールのユーザーに対してのみアクセスを許可する形にします。これにより、非管理者のユーザーがIAMアクションを実行することはできなくなり、最小限の権限で運用が可能です。
- 具体的には、SCPで「iam: *」アクションを拒否するポリシーを作成し、その例外として管理者ロールに必要なアクション(例えば「iam: CreateRole」や「iam: AttachRolePolicy」など)を許可します。
適用方法
- ルートOU(組織単位)に適用することで、AWS Organizations内の全てのアカウントに対して一度に適用できます。これにより、個々のアカウントに対して個別に設定を行う必要がなく、運用負荷が大きく削減されます。
メリット
- 最小限の運用負荷: SCPはポリシーが一元管理され、すべてのアカウントに一括適用されるため、個々のアカウントやユーザーに対して別々の設定を行う必要がなく、非常に効率的です。
- セキュリティ強化: IAMアクションの制限を管理者ロールのみに絞ることで、誤った権限付与を防ぎ、セキュリティを強化します。
考慮すべき点
- SCPの「拒否」ポリシーを設定する際、管理者ロールに必要な権限を明示的に許可する必要があります。この設定が正しくないと、管理者ロール自体にもアクセス制限がかかる可能性があります。そのため、管理者ロールを正確に特定し、適切な許可を与えることが重要です。
結論
選択肢 C は、最小限の運用負荷で要件を満たす非常に効率的な方法です。AWS OrganizationsのSCPを使用することで、全アカウントに対して一貫したポリシーを適用でき、管理者ロールにのみIAMアクションを許可するという要件を簡潔に実現できます。
- Author:minami
- URL:https://www.minami.ac.cn/private-license/17bd7ae8-88e2-8063-8d1a-e9a420ff522a
- Copyright:All articles in this blog, except for special statements, adopt BY-NC-SA agreement. Please indicate the source!
Relate Posts
