growing hard days.

AWS Organizations EC2宣言型ポリシーを設定する

2024/12/13

2024/12/1に発表されましたOrganizationsの宣言型ポリシーを設定しました。

目次

事前確認

検証対象アカウントのEC2ダッシュボードの[アカウントの属性]-[データ保護とセキュリティ]で確認しました。

IMDS(インスタンスメタデータサービス)はデフォルト設定が管理ボタンから設定可能です。

AMIへのパブリックアクセスをブロックも管理ボタンからブロックするかしないか設定変更が可能でした。

Organizations EC2宣言型ポリシーの設定

AWS Organizations組織の管理アカウントで、[ポリシー]-[EC2の宣言型ポリシー]を選択しました。

EC2の宣言型ポリシーを有効にしました。

[ポリシーの作成]ボタンをクリックしました。

ポリシー名を入力しました。

サービス属性の選択で見てみると、2024/12/13現在で6つのサービス属性がありました。

インスタンスメタデータのデフォルトを選択して、V2のみを選択しました。

サービス属性をもう一つ、画像ブロックパブリックアクセスも設定してみました。
AMI（Amazon Machine Image）のブロックパブリックアクセスです。

JSONエディタで確認すると次のようになっていました。

{
    "ec2_attributes": {
        "instance_metadata_defaults": {
            "http_tokens": {
                "@@assign": "required"
            },
            "http_put_response_hop_limit": {
                "@@assign": 2
            },
            "http_endpoint": {
                "@@assign": "enabled"
            },
            "instance_metadata_tags": {
                "@@assign": "enabled"
            }
        },
        "exception_message": {
            "@@assign": "Instance metadata only allows v2 required"
        },
        "image_block_public_access": {
            "state": {
                "@@assign": "block_new_sharing"
            }
        }
    }
}

1

2

3

4

5

6

7

8

9

10

11

12

13

14

15

16

17

18

19

20

21

22

23

24

25

26

27

{

"ec2_attributes": {

"instance_metadata_defaults": {

"http_tokens": {

"@@assign": "required"

},

"http_put_response_hop_limit": {

"@@assign": 2

},

"http_endpoint": {

"@@assign": "enabled"

},

"instance_metadata_tags": {

"@@assign": "enabled"

}

},

"exception_message": {

"@@assign": "Instance metadata only allows v2 required"

},

"image_block_public_access": {

"state": {

"@@assign": "block_new_sharing"

}

}

}

}

ポリシーを作成します。

作成したポリシーを選択してアタッチしました。

検証対象アカウントが子になっているOUを選択してアタッチしました。

設定後の確認

検証対象アカウントのEC2ダッシュボードの[アカウントの属性]-[データ保護とセキュリティ]で確認しました。

AMIへのパブリックアクセスをブロックで確認すると、[管理]ボタンが押せなくなっています。

AMIを新たにパブリックに設定しようとしても当然できません。

IMDSデフォルトも[管理]ボタンが押せなくなっています。
ですが、IMDSはあくまでもデフォルトですので、選択できないということではありませんでした。

最後までお読みいただきましてありがとうございました！

「AWS認定資格試験テキスト＆問題集　AWS認定ソリューションアーキテクト - プロフェッショナル改訂第2版」という本を書きました。

「AWS認定資格試験テキスト AWS認定クラウドプラクティショナー改訂第3版」という本を書きました。

「ポケットスタディ AWS認定デベロッパーアソシエイト［DVA-C02対応］」という本を書きました。

「要点整理から攻略するAWS認定ソリューションアーキテクト-アソシエイト」という本を書きました。

「AWSではじめるLinux入門ガイド」という本を書きました。

開発ベンダー5年、ユーザ企業システム部門通算9年、ITインストラクター5年目でプロトタイプビルダーもやりだしたSoftware Engineerです。
質問はコメントかSNSなどからお気軽にどうぞ。
出来る限りなるべく答えます。

このブログの内容/発言の一切は個人の見解であり、所属する組織とは関係ありません。
このブログは経験したことなどの共有を目的としており、手順や結果などを保証するものではありません。
ご参考にされる際は、読者様自身のご判断にてご対応をお願いいたします。

また、勉強会やイベントのレポートは自分が気になったことをメモしたり、聞いて思ったことを書いていますので、登壇者の意見や発表内容ではありません。

- AWS AWS, organizations

Tweet

関連記事

: RDSの拡張モニタリングを有効にしました

RDS for MySQLです。変更メニューで、[拡張モニタリングを有効にする …

: EC2 Instance Connect エンドポイントの作成

このブログのSystems Managerは機能としてセッションマネージャーしか …

: S3インベントリ設定でインベントリファイルの作成を設定

インベントリレポートファイルはオブジェクトの一覧情報です。日次、週次で定期作成 …

: AWSアカウント内のCloudWatchアラームを削除する

やりたいこと特定アカウント特定リージョン内のCloudWatdchアラームを全 …

: CloudFormationドリフト検出

CloudFormationスタックのドリフト検出を確認しました。 CloudF …

: Amazon Aurora Serverless のログをCloudWatch Logsに出力する

WordPress W3 Total Cache のDatabaseCacheを …

: AtomエディタでEC2のファイルを直接編集する

Webページを編集していてEC2のファイルをvimエディタでさわったりしています …

: ヤマムギ vol.7 AWSアカウント作成 & 最初の設定ハンズオン手順

ヤマムギとは from Mitsuhiro Yamashita 「AWSではじめ …

: Amazon EC2 Auto ScalingのVPCは変更できる

EC2 Auto ScalingのVPCは変更できたっけ？？と思いまして試しまし …

: macOSにAWS Schema Conversion Toolをインストール

環境 macOS BigSur バージョン11.5(20G71) MacBook …

PREV: AWS Organizationsのルートユーザー管理(Root user management)でメンバーアカウントのルートユーザー認証を無効にしました
NEXT: AWS OrganizatonsのRCP(リソースコントロールポリシー)を設定しました