sandbox->Sandbox-nestに以下のSCPをアタッチしました。 この検証でSCPはEC2, S3, IAMを許可したAllowTestというSCPを作成しました。 { "Version": "2012-10-17", "Statement": [ { "Sid": "Statement1"," /> sandbox->Sandbox-nestに以下のSCPをアタッチしました。 この検証でSCPはEC2, S3, IAMを許可したAllowTestというSCPを作成しました。 { "Version": "2012-10-17", "Statement": [ { "Sid": "Statement1"," />

ヤマムギ

growing hard days.

*

AWS Organizations SCPで許可ポリシーの設定をし継承の関係を確認する

      2021/08/07

ユーザーガイドのサービスコントロールポリシーの例にはDeny(拒否)ばっかりでAllow(許可)の例がないので、一応試しておきます。

SCP 構文にも記載があるように、Allow(許可)では、NotAction、Conditionが使えません。
Resourceも”*”のみです。

これに違反すると保存時に「The provided policy document does not meet the requirements of the specified policy type.」となりました。

## 環境

検証で使用したOU

root->sandbox->Sandbox-nestに以下のSCPをアタッチしました。

この検証でSCPはEC2, S3, IAMを許可したAllowTestというSCPを作成しました。

OUのSCP継承を確認する

rootにはすべてを許可するFullAWSAccessというAWS管理SCPがアタッチされています。
配下のOUに継承されています。

sandboxには、IAMだけを許可するIAMFullをアタッチして、Sandbox-nestに継承しています。

Sandbox-nestに上記のAllowTestをアタッチして、sakenamidaアカウントを子として登録しています。

sakenamidaアカウントのIAMロールOrgRoleにはAWS管理ポリシーAdministraotrAccessを設定しています。

スイッチロールしてsakenamidaアカウントにクロスアカウントアクセスしてみます。

IAM以外はすべて拒否されました。

sandboxからの継承により、配下のOUではIAMしか許可されなくなったしまったのですね。

ありそうな継承を確認する

継承はどんどん権限が狭くなるほうが実際にありそうですね。

このような構成に変えました。
sandboxにアタッチしたIAM-S3-EC2-RDSポリシーは名前どおり、IAM, S3, EC2, RDSにフルアクセス権限を追加しました。

下にいくほど権限が絞り込まれていきます。
IAMロールは面倒なのでAdministrtorAccessのままです。

スイッチロールしてsakenamidaアカウントにクロスアカウントアクセスしてみます。

S3にアクセスできました。

RDSにはアクセスできませんでした。
想定どおりでした。


最後までお読みいただきましてありがとうございました!

「AWS認定資格試験テキスト&問題集 AWS認定ソリューションアーキテクト - プロフェッショナル 改訂第2版」という本を書きました。

「AWS認定資格試験テキスト AWS認定クラウドプラクティショナー 改訂第2版」という本を書きました。

「ポケットスタディ AWS認定 デベロッパーアソシエイト [DVA-C02対応] 」という本を書きました。

「要点整理から攻略するAWS認定ソリューションアーキテクト-アソシエイト」という本を書きました。

「AWSではじめるLinux入門ガイド」という本を書きました。

 - AWS , , ,

ad

ad

  関連記事

AWSのAmazon LinuxにGitマスターサーバをインストールしてRedmineリポジトリブラウザで見る

Amazon LinuxにGitをインストールする Gitをインストールして自動 …

S3バケットポリシーでクロスアカウントのPrincipalについて確認

確認したこと ドキュメントではこちらで確認しました。 AWS JSON ポリシー …

Backlogの実績工数をAmazon QuickSightで可視化してわかったこと

今年に入ってから、Backlogで個人タスクを登録しだして、予定工数、実績工数を …

AWS Toolkit for EclipseからLambda関数を直接作成できずにMavenでパッケージ化して作成

AWS Toolkit for EclipseからLambda関数を直接作成 チ …

Route 53で不要なドメインを削除

勢いで作ったけど結局使うのをやめたドメインがあります。 要らないので削除しました …

AWS CodeDeployからEC2 Auto Scalingにデプロイするチュートリアル

公式チュートリアルチュートリアル: アプリケーションを CodeDeployグル …

Amazon WorkSpaces Web Accessを有効化する

仕事がら、Amazon WorkSpacesをディレクトリも含めて一時的にセット …

CodeDeployでECR、ECSにデプロイするパイプラインのチュートリアル

チュートリアル: Amazon ECR ソースと、ECS と CodeDeplo …

AWS Systems Manager セッションマネージャを使用するために必要な設定

AWS Systems Manager セッションマネージャを使用するために必要 …

AWS Glueチュートリアル

AWS Glueのマネジメントコンソールの左ペインの一番下にチュートリアルがあり …