ユーザ用ツール

サイト用ツール


aws:organizations:scp

AWS OrganizationsのSCP(Service Control Policy)のサンプル

IP制限をかけるSCP

AWS Organizations の SCP を使って特定のIPアドレスのみで AWS が利用できるようにしてみよう #AWS - Qiita

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "Statement1",
      "Effect": "Deny",
      "Action": "*",
      "Resource": [
        "*"
      ],
      "Condition": {
        "StringLike": {
          "aws:username": [
            "*"
          ]
        },
        "NotIpAddress": {
          "aws:SourceIp": [
            "x.x.x.x/24",
            "x.x.x.x/24"
          ]
        },
        "Bool": {
          "aws:ViaAWSService": "false"
        }
      }
    }
  ]
}


AWSで利用できるリージョンを制限

参考:AWS Organizations の SCP を使ってリージョン制限をかけてみよう #AWS - Qiita
利用できるリージョンを東京リージョン(ap-northeast-1)とグローバルサービスのためにバージニア北部リージョン(us-east-1)のみに制限する

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "denyRegion",
            "Effect": "Deny",
            "Action": [
                "*"
            ],
            "Resource": [
                "*"
            ],
            "Condition": {
                "StringNotEquals": {
                    "aws:RequestedRegion": [
                        "ap-northeast-1",
                        "us-east-1"
                    ]
                }
            }
        }
    ]
}


IAMの一部操作を禁止するSCP

参考:AWS OrganizationsのSCP設計で参考になりそうなサンプルポリシーを作成してみる - サーバーワークスエンジニアブログ

  • アクセスキーの作成を禁止
  • IAMのパスワードポリシーの削除を禁止
{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "DenyIAMOperations",
      "Effect": "Deny",
      "Action": [
        "iam:CreateAccessKey",
        "iam:DeleteAccountPasswordPolicy"
      ],
      "Resource": [
        "*"
      ]
    }
  ]
}


AWSリソース構築時のストレージ暗号化を強制

参考:AWS OrganizationsのSCP設計で参考になりそうなサンプルポリシーを作成してみる - サーバーワークスエンジニアブログ

  • EBS構築時にストレージ暗号化を強制
  • RDS構築時にストレージ暗号化を強制
  • EFS構築時にストレージ暗号化を強制
{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "ForceRDSStorageEncryption",
      "Effect": "Deny",
      "Action": [
        "rds:CreateDBInstance",
        "rds:CreateDBCluster"
      ],
      "Resource": [
        "*"
      ],
      "Condition": {
        "Bool": {
            "rds:StorageEncrypted": "false"
        }
      }
    },
    {
      "Sid": "ForceEBSStorageEncryption",
      "Effect": "Deny",
      "Action": [
        "ec2:RunInstances",
        "ec2:CreateVolume"
      ],
      "Resource": [
        "*"
      ],
      "Condition": {
        "Bool": {
            "ec2:Encrypted": "false"
        }
      }
    },
    {
      "Sid": "ForceEFSStorageEncryption",
      "Effect": "Deny",
      "Action": [
        "elasticfilesystem:CreateFileSystem"
      ],
      "Resource": [
        "*"
      ],
      "Condition": {
        "Bool": {
            "elasticfilesystem:Encrypted": "false"
        }
      }
    }
  ]
}


参考

aws/organizations/scp.txt · 最終更新: 2023/11/09 23:36 by kurihara

ページ用ツール