growing hard days.

AWS Organizations EC2宣言型ポリシーを設定する

2024/12/13

2024/12/1に発表されましたOrganizationsの宣言型ポリシーを設定しました。

目次

事前確認

検証対象アカウントのEC2ダッシュボードの[アカウントの属性]-[データ保護とセキュリティ]で確認しました。

IMDS(インスタンスメタデータサービス)はデフォルト設定が管理ボタンから設定可能です。

AMIへのパブリックアクセスをブロックも管理ボタンからブロックするかしないか設定変更が可能でした。

Organizations EC2宣言型ポリシーの設定

AWS Organizations組織の管理アカウントで、[ポリシー]-[EC2の宣言型ポリシー]を選択しました。

EC2の宣言型ポリシーを有効にしました。

[ポリシーの作成]ボタンをクリックしました。

ポリシー名を入力しました。

サービス属性の選択で見てみると、2024/12/13現在で6つのサービス属性がありました。

インスタンスメタデータのデフォルトを選択して、V2のみを選択しました。

サービス属性をもう一つ、画像ブロックパブリックアクセスも設定してみました。
AMI（Amazon Machine Image）のブロックパブリックアクセスです。

JSONエディタで確認すると次のようになっていました。

{
    "ec2_attributes": {
        "instance_metadata_defaults": {
            "http_tokens": {
                "@@assign": "required"
            },
            "http_put_response_hop_limit": {
                "@@assign": 2
            },
            "http_endpoint": {
                "@@assign": "enabled"
            },
            "instance_metadata_tags": {
                "@@assign": "enabled"
            }
        },
        "exception_message": {
            "@@assign": "Instance metadata only allows v2 required"
        },
        "image_block_public_access": {
            "state": {
                "@@assign": "block_new_sharing"
            }
        }
    }
}

1

2

3

4

5

6

7

8

9

10

11

12

13

14

15

16

17

18

19

20

21

22

23

24

25

26

27

{

"ec2_attributes": {

"instance_metadata_defaults": {

"http_tokens": {

"@@assign": "required"

},

"http_put_response_hop_limit": {

"@@assign": 2

},

"http_endpoint": {

"@@assign": "enabled"

},

"instance_metadata_tags": {

"@@assign": "enabled"

}

},

"exception_message": {

"@@assign": "Instance metadata only allows v2 required"

},

"image_block_public_access": {

"state": {

"@@assign": "block_new_sharing"

}

}

}

}

ポリシーを作成します。

作成したポリシーを選択してアタッチしました。

検証対象アカウントが子になっているOUを選択してアタッチしました。

設定後の確認

検証対象アカウントのEC2ダッシュボードの[アカウントの属性]-[データ保護とセキュリティ]で確認しました。

AMIへのパブリックアクセスをブロックで確認すると、[管理]ボタンが押せなくなっています。

AMIを新たにパブリックに設定しようとしても当然できません。

IMDSデフォルトも[管理]ボタンが押せなくなっています。
ですが、IMDSはあくまでもデフォルトですので、選択できないということではありませんでした。

最後までお読みいただきましてありがとうございました！

「AWS認定資格試験テキスト＆問題集　AWS認定ソリューションアーキテクト - プロフェッショナル改訂第2版」という本を書きました。

「AWS認定資格試験テキスト AWS認定クラウドプラクティショナー改訂第3版」という本を書きました。

「ポケットスタディ AWS認定デベロッパーアソシエイト［DVA-C02対応］」という本を書きました。

「要点整理から攻略するAWS認定ソリューションアーキテクト-アソシエイト」という本を書きました。

「AWSではじめるLinux入門ガイド」という本を書きました。

開発ベンダー5年、ユーザ企業システム部門通算9年、ITインストラクター5年目でプロトタイプビルダーもやりだしたSoftware Engineerです。
質問はコメントかSNSなどからお気軽にどうぞ。
出来る限りなるべく答えます。

このブログの内容/発言の一切は個人の見解であり、所属する組織とは関係ありません。
このブログは経験したことなどの共有を目的としており、手順や結果などを保証するものではありません。
ご参考にされる際は、読者様自身のご判断にてご対応をお願いいたします。

また、勉強会やイベントのレポートは自分が気になったことをメモしたり、聞いて思ったことを書いていますので、登壇者の意見や発表内容ではありません。

- AWS AWS, organizations

Tweet

関連記事

: iPad ProのWorking CopyでAWS CodeCommitのリポジトリを使う

iPad Proを導入しましたので、原稿執筆や校正でフル活用しようと思いまして。 …

: 「Label Training Data for Machine Learning」チュートリアルの記録

Label Training Data for Machine Learning …

: Intel 82599 VF インターフェイスで拡張ネットワーキングが有効なEC2インスタンスで帯域幅を確認してみました

拡張ネットワーキングが有効なEC2インスタンスとそうではないインスタンスの2セッ …

: Amazon S3アクセスポイント経由からアクション可能なポリシー

S3アクセスポイントを使うことで、複雑で長いバケットポリシーを避け、アクセスポイ …

: AWS CodeStarで静的webサイトのテンプレートプロジェクトを作成する

執筆環境の検討中です。 CodeCommitは使うつもりで、コミットしたときにE …

: EC2 Image BuilderでRocket.ChatのAMIを作って起動テンプレートを更新しました

EC2 Image Builderの練習をしようと思い、Rocket.Chatの …

: Amazon WorkSpaces Web Accessを有効化する

仕事がら、Amazon WorkSpacesをディレクトリも含めて一時的にセット …

: kintoneで設定したスケジュールにあわせてlambda(python)からSQSへメッセージを送る

EC2の起動停止をそろそろ手動でやるのも疲れてきそうなのと、やはり停止するのを忘 …

: 静的と動的って何ですか？と営業さんに聞かれたので端的に説明してみました

AWS認定クラウドプラクティショナーの勉強をしている営業さんに、「S3で静的オブ …

: webフォームからの問い合わせをRedmineに自動登録して対応状況を管理する(API Gateway + Lambda)

先日、検証目的で作成したRedmineの冗長化の一機能として、webフォームから …

PREV: AWS Organizationsのルートユーザー管理(Root user management)でメンバーアカウントのルートユーザー認証を無効にしました
NEXT: AWS OrganizatonsのRCP(リソースコントロールポリシー)を設定しました