AWS Organizations EC2宣言型ポリシーを設定する
2024/12/1に発表されましたOrganizationsの宣言型ポリシーを設定しました。
目次
事前確認
検証対象アカウントのEC2ダッシュボードの[アカウントの属性]-[データ保護とセキュリティ]で確認しました。
IMDS(インスタンスメタデータサービス)はデフォルト設定が管理ボタンから設定可能です。
AMIへのパブリックアクセスをブロックも管理ボタンからブロックするかしないか設定変更が可能でした。
Organizations EC2宣言型ポリシーの設定
AWS Organizations組織の管理アカウントで、[ポリシー]-[EC2の宣言型ポリシー]を選択しました。
EC2の宣言型ポリシーを有効にしました。
[ポリシーの作成]ボタンをクリックしました。
ポリシー名を入力しました。
サービス属性の選択で見てみると、2024/12/13現在で6つのサービス属性がありました。
インスタンスメタデータのデフォルトを選択して、V2のみを選択しました。
サービス属性をもう一つ、画像ブロックパブリックアクセスも設定してみました。
AMI(Amazon Machine Image)のブロックパブリックアクセスです。
JSONエディタで確認すると次のようになっていました。
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 |
{ "ec2_attributes": { "instance_metadata_defaults": { "http_tokens": { "@@assign": "required" }, "http_put_response_hop_limit": { "@@assign": 2 }, "http_endpoint": { "@@assign": "enabled" }, "instance_metadata_tags": { "@@assign": "enabled" } }, "exception_message": { "@@assign": "Instance metadata only allows v2 required" }, "image_block_public_access": { "state": { "@@assign": "block_new_sharing" } } } } |
ポリシーを作成します。
作成したポリシーを選択してアタッチしました。
検証対象アカウントが子になっているOUを選択してアタッチしました。
設定後の確認
検証対象アカウントのEC2ダッシュボードの[アカウントの属性]-[データ保護とセキュリティ]で確認しました。
AMIへのパブリックアクセスをブロックで確認すると、[管理]ボタンが押せなくなっています。
AMIを新たにパブリックに設定しようとしても当然できません。
IMDSデフォルトも[管理]ボタンが押せなくなっています。
ですが、IMDSはあくまでもデフォルトですので、選択できないということではありませんでした。
最後までお読みいただきましてありがとうございました!
「AWS認定資格試験テキスト&問題集 AWS認定ソリューションアーキテクト - プロフェッショナル 改訂第2版」という本を書きました。
「AWS認定資格試験テキスト AWS認定クラウドプラクティショナー 改訂第3版」という本を書きました。
「ポケットスタディ AWS認定 デベロッパーアソシエイト [DVA-C02対応] 」という本を書きました。
「要点整理から攻略するAWS認定ソリューションアーキテクト-アソシエイト」という本を書きました。
「AWSではじめるLinux入門ガイド」という本を書きました。
開発ベンダー5年、ユーザ企業システム部門通算9年、ITインストラクター5年目でプロトタイプビルダーもやりだしたSoftware Engineerです。
質問はコメントかSNSなどからお気軽にどうぞ。
出来る限りなるべく答えます。
このブログの内容/発言の一切は個人の見解であり、所属する組織とは関係ありません。
このブログは経験したことなどの共有を目的としており、手順や結果などを保証するものではありません。
ご参考にされる際は、読者様自身のご判断にてご対応をお願いいたします。
また、勉強会やイベントのレポートは自分が気になったことをメモしたり、聞いて思ったことを書いていますので、登壇者の意見や発表内容ではありません。
ad
ad
関連記事
-
再会の日 ~re:Union 2018 Osaka by JAWS-UG~
8/5は大阪でre:Unionでした。 「再会」と名うったこのイベントは、6月に …
-
RDSインスタンスのストレージをgp2からgp3に変更しました
2022/11/9にRDSでgp3ボリュームが使用できるようになりました。 Am …
-
Amzon Linux のApacheでRedmineとWordPressをバーチャルホストで共存する
EC2とRDSを節約しようと思いまして、Redmineを動かしてるとこに検証用W …
-
ヤマムギ vol.24 API GatewayでREST API作成と直接DynamoDB登録のデモをしました
2週間ぶりのヤマムギ勉強会デモなのでなんだか久しぶりな気がしました。 今日はポケ …
-
AWS Lambda(Python3.7)でPandocを実行する
昨日まで(AWS Batch) 昨日までは、Pandocを実行して、S3バケット …
-
AWSアカウント内のすべてのS3バケットを削除するLambda(Python)
やりたいこと 特定アカウント内のS3バケットを全部削除したいです。 バケット内の …
-
ALBの重み付けルーティングでカナリアリリースをしてみました
当ブログのAMIの更新と、ALBターゲットグループのヘルスチェックを変更したかっ …
-
Backlogの実績工数をAmazon QuickSightで可視化してわかったこと
今年に入ってから、Backlogで個人タスクを登録しだして、予定工数、実績工数を …
-
EC2 Amazon Linux 2 にAmazon LinuxからWordPressを移行
このブログを新しいインスタンスに移行することにしました。 2015年5月にAma …
-
Amazon ECSサービスでAWS App Meshを使用
AWS App MeshユーザーガイドのAWS App Mesh とAmazon …