sandbox->Sandbox-nestに以下のSCPをアタッチしました。 この検証でSCPはEC2, S3, IAMを許可したAllowTestというSCPを作成しました。 { "Version": "2012-10-17", "Statement": [ { "Sid": "Statement1"," /> sandbox->Sandbox-nestに以下のSCPをアタッチしました。 この検証でSCPはEC2, S3, IAMを許可したAllowTestというSCPを作成しました。 { "Version": "2012-10-17", "Statement": [ { "Sid": "Statement1"," />

ヤマムギ

growing hard days.

*

AWS Organizations SCPで許可ポリシーの設定をし継承の関係を確認する

      2021/08/07

ユーザーガイドのサービスコントロールポリシーの例にはDeny(拒否)ばっかりでAllow(許可)の例がないので、一応試しておきます。

SCP 構文にも記載があるように、Allow(許可)では、NotAction、Conditionが使えません。
Resourceも”*”のみです。

これに違反すると保存時に「The provided policy document does not meet the requirements of the specified policy type.」となりました。

## 環境

検証で使用したOU

root->sandbox->Sandbox-nestに以下のSCPをアタッチしました。

この検証でSCPはEC2, S3, IAMを許可したAllowTestというSCPを作成しました。

OUのSCP継承を確認する

rootにはすべてを許可するFullAWSAccessというAWS管理SCPがアタッチされています。
配下のOUに継承されています。

sandboxには、IAMだけを許可するIAMFullをアタッチして、Sandbox-nestに継承しています。

Sandbox-nestに上記のAllowTestをアタッチして、sakenamidaアカウントを子として登録しています。

sakenamidaアカウントのIAMロールOrgRoleにはAWS管理ポリシーAdministraotrAccessを設定しています。

スイッチロールしてsakenamidaアカウントにクロスアカウントアクセスしてみます。

IAM以外はすべて拒否されました。

sandboxからの継承により、配下のOUではIAMしか許可されなくなったしまったのですね。

ありそうな継承を確認する

継承はどんどん権限が狭くなるほうが実際にありそうですね。

このような構成に変えました。
sandboxにアタッチしたIAM-S3-EC2-RDSポリシーは名前どおり、IAM, S3, EC2, RDSにフルアクセス権限を追加しました。

下にいくほど権限が絞り込まれていきます。
IAMロールは面倒なのでAdministrtorAccessのままです。

スイッチロールしてsakenamidaアカウントにクロスアカウントアクセスしてみます。

S3にアクセスできました。

RDSにはアクセスできませんでした。
想定どおりでした。


最後までお読みいただきましてありがとうございました!

「AWS認定資格試験テキスト&問題集 AWS認定ソリューションアーキテクト - プロフェッショナル 改訂第2版」という本を書きました。

「AWS認定資格試験テキスト AWS認定クラウドプラクティショナー 改訂第3版」という本を書きました。

「ポケットスタディ AWS認定 デベロッパーアソシエイト [DVA-C02対応] 」という本を書きました。

「要点整理から攻略するAWS認定ソリューションアーキテクト-アソシエイト」という本を書きました。

「AWSではじめるLinux入門ガイド」という本を書きました。

 - AWS , , ,

ad

ad

  関連記事

AWS EC2 インスタンスステータスのチェックで失敗 原因はPHP-FPMのOOM-KILLER

先週に引き続きEC2のインスタンスステータスチェックで失敗 再起動するも失敗する …

RedmineをELB(ALB)でAutoScalingグループへ負荷分散

高可用なRedmineを作るためのELBの設定です。 高可用なRedmine R …

AWS Cost Anomaly Detectionでコストモニターを作成しました

[ご利用開始にあたって]を押下しました。 このあと画面を説明してくれるツアーがあ …

Amazon CloudWatch RUMはじめました

新機能 – Amazon CloudWatch RUM をご紹介 2021年12 …

CloudFormation Lambda-backedカスタムリソースチュートリアルをやりました

チュートリアル: Amazon マシンイメージ ID を参照するの手順に従ってや …

CloudFront用のAWS管理プレフィックスリストを使用しました

このブログでは、CloudFrontのカスタムヘッダーとALBのルーティングを組 …

Kinesis Data AnalyticsをKinesis Data Streamsに接続してSQL検索する

Amazon Kinesis Data StreamsにTwitter検索データ …

LINE Bot APIのファーストステップをLambda+API Gatewayでやってみたらものすごく簡単で驚いた

トライアル当初はホワイトリストのしばりや、初回反応するまで時間がかかったりとみな …

GoogleフォームからAPI Gatewayで作成したREST APIにPOSTリクエストする

「API GatewayからLambdaを介さずにSNSトピックへ送信」の続きで …

JAWS-UG関西IoT専門支部 ✕ SORACOM UG 関西「Wio LTE + 絶対圧センサーで遊ぼう!」ワークショップにいってきた

JAWS-UG関西IoT専門支部 ✕ SORACOM UG 関西「Wio LTE …