ヤマムギ

growing hard days.

*

AWS Organizations SCPで許可ポリシーの設定をし継承の関係を確認する

      2021/07/21


ユーザーガイドのサービスコントロールポリシーの例にはDeny(拒否)ばっかりでAllow(許可)の例がないので、一応試しておきます。

SCP 構文にも記載があるように、Allow(許可)では、NotAction、Conditionが使えません。
Resourceも”*”のみです。

これに違反すると保存時に「The provided policy document does not meet the requirements of the specified policy type.」となりました。

## 環境

検証で使用したOU

root->sandbox->Sandbox-nestに以下のSCPをアタッチしました。

この検証でSCPはEC2, S3, IAMを許可したAllowTestというSCPを作成しました。

OUのSCP継承を確認する

rootにはすべてを許可するFullAWSAccessというAWS管理SCPがアタッチされています。
配下のOUに継承されています。

sandboxには、IAMだけを許可するIAMFullをアタッチして、Sandbox-nestに継承しています。

Sandbox-nestに上記のAllowTestをアタッチして、sakenamidaアカウントを子として登録しています。

sakenamidaアカウントのIAMロールOrgRoleにはAWS管理ポリシーAdministraotrAccessを設定しています。

スイッチロールしてsakenamidaアカウントにクロスアカウントアクセスしてみます。

IAM以外はすべて拒否されました。

sandboxからの継承により、配下のOUではIAMしか許可されなくなったしまったのですね。

ありそうな継承を確認する

継承はどんどん権限が狭くなるほうが実際にありそうですね。

このような構成に変えました。
sandboxにアタッチしたIAM-S3-EC2-RDSポリシーは名前どおり、IAM, S3, EC2, RDSにフルアクセス権限を追加しました。

{
“Version”: “2012-10-17”,
“Statement”: [
{
“Sid”: “Statement1”,
“Effect”: “Allow”,
“Action”: [
“EC2:“,
“S3:
“,
“IAM:“,
“RDS:
“,
],
“Resource”: “*”
}
]
}

下にいくほど権限が絞り込まれていきます。
IAMロールは面倒なのでAdministrtorAccessのままです。

スイッチロールしてsakenamidaアカウントにクロスアカウントアクセスしてみます。

S3にアクセスできました。

RDSにはアクセスできませんでした。
想定どおりでした。


最後までお読みいただきましてありがとうございました!

【PR】 「AWS認定試験対策 AWS クラウドプラクティショナー」という本を書きました。

【PR】 「AWSではじめるLinux入門ガイド」という本を書きました。

【PR】 「ポケットスタディ AWS認定 デベロッパーアソシエイト」という本を書きました。

 - AWS , , ,

ad

ad

  関連記事

API Gatewayから直接 DynamoDBに書き込む

やりたいこと WebページでOやXを押したときに、どっちを押したかをDynamo …

Organizations組織でAWS SSOを有効にする

先日AWS Control Towerで環境を作ったら、自動でAWS SSOがで …

「re:CAP ~サーバーワークス re:Invent 2018 報告会~」でre:Invent2018について思われたことを聞かせていただいた

サーバーワークスさんのre:Invent re:CAPにおじゃましました。 re …

Backlogの実績工数をAmazon QuickSightでの可視化 – 仕組み編

Backlogの実績工数をAmazon QuickSightで可視化してわかった …

このブログをAWS大阪リージョンへ移行しました

大阪リージョン爆誕!! 朝起きて寝ぼけながらリージョンを見てると。 「大阪リージ …

百聞は一見にしかず!AWSセルフペースラボの無料ラボ!

※2019年5月12日現在に試してみた記録です。 AWSセルフペースラボとは A …

Amazon LinuxにAlfresco Community Editionをインストールする

ダウンロード準備 Alfresco公式サイトで、「エンタープライズコンテンツ管理 …

API GatewayのアクセスログをCloudWatchに記録する

Amazon API GatewayのアクセスログをCloudWatchに記録で …

AWS CodeStarのプロジェクトテンプレートLambda+Pythonによって生成されるもの

勉強会のデモで、AWS CodeStarのプロジェクトテンプレートLambda+ …

AWS CloudWatch LogsエージェントでAmazon EC2上のNginxのaccess.log , error.log , php-fpm error.log , Linuxのmessages , secureログを収集する

参考ページ クイックスタート: 実行中の EC2 インスタンスに CloudWa …