growing hard days.

AWS Organizations EC2宣言型ポリシーを設定する

2024/12/13

2024/12/1に発表されましたOrganizationsの宣言型ポリシーを設定しました。

目次

事前確認

検証対象アカウントのEC2ダッシュボードの[アカウントの属性]-[データ保護とセキュリティ]で確認しました。

IMDS(インスタンスメタデータサービス)はデフォルト設定が管理ボタンから設定可能です。

AMIへのパブリックアクセスをブロックも管理ボタンからブロックするかしないか設定変更が可能でした。

Organizations EC2宣言型ポリシーの設定

AWS Organizations組織の管理アカウントで、[ポリシー]-[EC2の宣言型ポリシー]を選択しました。

EC2の宣言型ポリシーを有効にしました。

[ポリシーの作成]ボタンをクリックしました。

ポリシー名を入力しました。

サービス属性の選択で見てみると、2024/12/13現在で6つのサービス属性がありました。

インスタンスメタデータのデフォルトを選択して、V2のみを選択しました。

サービス属性をもう一つ、画像ブロックパブリックアクセスも設定してみました。
AMI（Amazon Machine Image）のブロックパブリックアクセスです。

JSONエディタで確認すると次のようになっていました。

{
    "ec2_attributes": {
        "instance_metadata_defaults": {
            "http_tokens": {
                "@@assign": "required"
            },
            "http_put_response_hop_limit": {
                "@@assign": 2
            },
            "http_endpoint": {
                "@@assign": "enabled"
            },
            "instance_metadata_tags": {
                "@@assign": "enabled"
            }
        },
        "exception_message": {
            "@@assign": "Instance metadata only allows v2 required"
        },
        "image_block_public_access": {
            "state": {
                "@@assign": "block_new_sharing"
            }
        }
    }
}

1

2

3

4

5

6

7

8

9

10

11

12

13

14

15

16

17

18

19

20

21

22

23

24

25

26

27

{

"ec2_attributes": {

"instance_metadata_defaults": {

"http_tokens": {

"@@assign": "required"

},

"http_put_response_hop_limit": {

"@@assign": 2

},

"http_endpoint": {

"@@assign": "enabled"

},

"instance_metadata_tags": {

"@@assign": "enabled"

}

},

"exception_message": {

"@@assign": "Instance metadata only allows v2 required"

},

"image_block_public_access": {

"state": {

"@@assign": "block_new_sharing"

}

}

}

}

ポリシーを作成します。

作成したポリシーを選択してアタッチしました。

検証対象アカウントが子になっているOUを選択してアタッチしました。

設定後の確認

検証対象アカウントのEC2ダッシュボードの[アカウントの属性]-[データ保護とセキュリティ]で確認しました。

AMIへのパブリックアクセスをブロックで確認すると、[管理]ボタンが押せなくなっています。

AMIを新たにパブリックに設定しようとしても当然できません。

IMDSデフォルトも[管理]ボタンが押せなくなっています。
ですが、IMDSはあくまでもデフォルトですので、選択できないということではありませんでした。

最後までお読みいただきましてありがとうございました！

「AWS認定資格試験テキスト＆問題集　AWS認定ソリューションアーキテクト - プロフェッショナル改訂第2版」という本を書きました。

「AWS認定資格試験テキスト AWS認定クラウドプラクティショナー改訂第3版」という本を書きました。

「AWS認定資格試験テキスト　AWS認定AIプラクティショナー」という本を書きました。

「ポケットスタディ AWS認定デベロッパーアソシエイト［DVA-C02対応］」という本を書きました。

「要点整理から攻略するAWS認定ソリューションアーキテクト-アソシエイト」という本を書きました。

「AWSではじめるLinux入門ガイド」という本を書きました。

開発ベンダー5年、ユーザ企業システム部門通算9年、ITインストラクター5年目でプロトタイプビルダーもやりだしたSoftware Engineerです。
質問はコメントかSNSなどからお気軽にどうぞ。
出来る限りなるべく答えます。

このブログの内容/発言の一切は個人の見解であり、所属する組織とは関係ありません。
このブログは経験したことなどの共有を目的としており、手順や結果などを保証するものではありません。
ご参考にされる際は、読者様自身のご判断にてご対応をお願いいたします。

また、勉強会やイベントのレポートは自分が気になったことをメモしたり、聞いて思ったことを書いていますので、登壇者の意見や発表内容ではありません。

- AWS AWS, organizations

Tweet

関連記事

: AWS LambdaでS3 Select

RDSスナップショットをS3にエクスポートした、Parquetフォーマットのデー …

: WordPress、プラグインのアップデートしてBlue/Greenデプロイ

現在のブログの構成です。 WordPressとプラグインのアップデートをして、デ …

: kintoneで設定したスケジュールにあわせてlambda(python)からSQSへメッセージを送る

EC2の起動停止をそろそろ手動でやるのも疲れてきそうなのと、やはり停止するのを忘 …

: 特定AWSアカウント特定リージョンのSQSキューを削除するLambda(Python)

やりたいこと特定アカウント内特定リージョン内のSQSキューを全部削除したいです …

: LMA(amazon-transcribe-live-meeting-assistant)を海外とのインタビューミーティングで使ってみました

amazon-transcribe-live-meeting-assistant …

: Organizations対応のAWS CloudTrailのAthenaテーブルでPartition Projectionを使用しました

パーティション向けのAlterテーブルの定期実行が面倒だと思っていたら、Part …

: DynamoDB IAMポリシーで特定属性だけを許可する

検証記録です。対象テーブル書籍のサンプルで作ったこちらです。所属バンドの楽 …

: SIEM on Amazon OpenSearch Serviceを構築

このブログまわりのモニタリングをSIEM on Amazon OpenSearc …

: AWS CLIを使用せずにCodeCommitへSSHユーザーで接続する

AWS CLIやアクセスキーID、シークレットアクセスキーなどを開発環境にセット …

: JAWS FESTA 2017 Reverse X re:Birth

JAWS FESTA 2017 中四国今年はブログタイトル「JAWS FEST …

PREV: AWS Organizationsのルートユーザー管理(Root user management)でメンバーアカウントのルートユーザー認証を無効にしました
NEXT: AWS OrganizatonsのRCP(リソースコントロールポリシー)を設定しました