growing hard days.

AWS Organizations EC2宣言型ポリシーを設定する

2024/12/13

2024/12/1に発表されましたOrganizationsの宣言型ポリシーを設定しました。

目次

事前確認

検証対象アカウントのEC2ダッシュボードの[アカウントの属性]-[データ保護とセキュリティ]で確認しました。

IMDS(インスタンスメタデータサービス)はデフォルト設定が管理ボタンから設定可能です。

AMIへのパブリックアクセスをブロックも管理ボタンからブロックするかしないか設定変更が可能でした。

Organizations EC2宣言型ポリシーの設定

AWS Organizations組織の管理アカウントで、[ポリシー]-[EC2の宣言型ポリシー]を選択しました。

EC2の宣言型ポリシーを有効にしました。

[ポリシーの作成]ボタンをクリックしました。

ポリシー名を入力しました。

サービス属性の選択で見てみると、2024/12/13現在で6つのサービス属性がありました。

インスタンスメタデータのデフォルトを選択して、V2のみを選択しました。

サービス属性をもう一つ、画像ブロックパブリックアクセスも設定してみました。
AMI（Amazon Machine Image）のブロックパブリックアクセスです。

JSONエディタで確認すると次のようになっていました。

{
    "ec2_attributes": {
        "instance_metadata_defaults": {
            "http_tokens": {
                "@@assign": "required"
            },
            "http_put_response_hop_limit": {
                "@@assign": 2
            },
            "http_endpoint": {
                "@@assign": "enabled"
            },
            "instance_metadata_tags": {
                "@@assign": "enabled"
            }
        },
        "exception_message": {
            "@@assign": "Instance metadata only allows v2 required"
        },
        "image_block_public_access": {
            "state": {
                "@@assign": "block_new_sharing"
            }
        }
    }
}

1

2

3

4

5

6

7

8

9

10

11

12

13

14

15

16

17

18

19

20

21

22

23

24

25

26

27

{

"ec2_attributes": {

"instance_metadata_defaults": {

"http_tokens": {

"@@assign": "required"

},

"http_put_response_hop_limit": {

"@@assign": 2

},

"http_endpoint": {

"@@assign": "enabled"

},

"instance_metadata_tags": {

"@@assign": "enabled"

}

},

"exception_message": {

"@@assign": "Instance metadata only allows v2 required"

},

"image_block_public_access": {

"state": {

"@@assign": "block_new_sharing"

}

}

}

}

ポリシーを作成します。

作成したポリシーを選択してアタッチしました。

検証対象アカウントが子になっているOUを選択してアタッチしました。

設定後の確認

検証対象アカウントのEC2ダッシュボードの[アカウントの属性]-[データ保護とセキュリティ]で確認しました。

AMIへのパブリックアクセスをブロックで確認すると、[管理]ボタンが押せなくなっています。

AMIを新たにパブリックに設定しようとしても当然できません。

IMDSデフォルトも[管理]ボタンが押せなくなっています。
ですが、IMDSはあくまでもデフォルトですので、選択できないということではありませんでした。

最後までお読みいただきましてありがとうございました！

「AWS認定資格試験テキスト＆問題集　AWS認定ソリューションアーキテクト - プロフェッショナル改訂第2版」という本を書きました。

「AWS認定資格試験テキスト AWS認定クラウドプラクティショナー改訂第3版」という本を書きました。

「ポケットスタディ AWS認定デベロッパーアソシエイト［DVA-C02対応］」という本を書きました。

「要点整理から攻略するAWS認定ソリューションアーキテクト-アソシエイト」という本を書きました。

「AWSではじめるLinux入門ガイド」という本を書きました。

開発ベンダー5年、ユーザ企業システム部門通算9年、ITインストラクター5年目でプロトタイプビルダーもやりだしたSoftware Engineerです。
質問はコメントかSNSなどからお気軽にどうぞ。
出来る限りなるべく答えます。

このブログの内容/発言の一切は個人の見解であり、所属する組織とは関係ありません。
このブログは経験したことなどの共有を目的としており、手順や結果などを保証するものではありません。
ご参考にされる際は、読者様自身のご判断にてご対応をお願いいたします。

また、勉強会やイベントのレポートは自分が気になったことをメモしたり、聞いて思ったことを書いていますので、登壇者の意見や発表内容ではありません。

- AWS AWS, organizations

Tweet

関連記事

: Redmineの添付ファイルをS3に同期する

RedmineをAWS上で構築するデザインを考えていて、せっかくなので冗長化しよ …

: RocketChatの匿名登録時のtoo many requestsエラー対応

匿名ユーザー登録時のtoo many requestsエラー RocketCha …

: 「AWS認定資格試験テキスト AWS認定クラウドプラクティショナー」執筆裏話

今日2019/4/20発売となりました「AWS認定資格試験テキスト AWS認定ク …

: Amazon SESでメール受信

Amazon SES(Simple Email Service)にメールドメイン …

: Cloud9 Python3でpipも3にする

このブログは、2019/10/20に書いた、 Cloud9のAMIがCloud9 …

: 「ポケットスタディ AWS認定デベロッパーアソシエイト」を執筆しました

2021年3月６日に、「ポケットスタディ AWS認定デベロッパーアソシエイト」 …

: AWS WAFをSIEM on Amazon OpenSearch Serviceで可視化

SIEM on Amazon OpenSearch Serviceを構築の環境に …

: AWS Organizationsでタグポリシーを設定しようとしました

Organizationsで[タグポリシーを有効にする]ボタンを押下しました。 …

: よくあるサーバーレスアーキテクチャで質問フォーム

この記事はServerless2 Advent Calendar 2018に参加 …

: Amazon CloudSearchからAmazon Elasticsearch Serviceへ変えました

全文検索をする必要がありまして、本当はCloudSearchを使い続けたいのです …

PREV: AWS Organizationsのルートユーザー管理(Root user management)でメンバーアカウントのルートユーザー認証を無効にしました
NEXT: AWS OrganizatonsのRCP(リソースコントロールポリシー)を設定しました