ヤマムギ

growing hard days.

*

SCPが影響しないサービスにリンクされたロールにEC2が引き受けるIAMロールは含まれないことを確認

   

ドキュメントで確認

サービスコントロールポリシーのユーザーガイドには、「SCPはサービスにリンクされたロールに影響しません。サービスにリンクされたロールを使用して、他のAWSのサービスをAWS Organizationsと統合できます。SCPによって制限することはできません。」との記載があります。

そして、IAMユーザーガイドのサービスにリンクされたロールの使用には、「サービスにリンクされたロールの使用をサポートするサービスについては、「IAM と連携する AWS のサービス」を参照してください。これらのサービスでは、「サービスにリンクされたロール」列が「はい」になっています。」とあります。

そして、IAM と連携する AWS のサービスを見ます。

EC2は「部分的1」の注釈で「Amazon EC2 サービスリンクロールは、スポットインスタンスリクエストとスポットフリートリクエストの各機能にのみ使用できます。」と記載があります。

どうやら、AWSServiceRoleForEC2SpotとAWSServiceRoleForEC2SpotFleetがEC2関連のサービスにリンクされたロールのようで、AWSアカウントで独自に作成されるEC2向けのロールではないようです。

念のため試してみる

試してみる対象のOUでは、上記のようにS3関連のアクションのみを拒否するSCPを設定しました。
上位はrootでFullAWSAccessが適用されています。

EC2向けに作成したIAMロールにはAWS管理ポリシーのAdministratorAccessをアタッチしました。

想定通り、拒否されました。

念のためSCPを修正してみたら、拒否されませんでした。

IAMロールの一覧でもサービスにリンクされたロールは判別できるようになっていますね。

SCPが影響しないサービスにリンクされたロールにEC2が引き受けるIAMロールは含まれないことを確認しました。


最後までお読みいただきましてありがとうございました!

「AWS認定資格試験テキスト&問題集 AWS認定ソリューションアーキテクト - プロフェッショナル 改訂第2版」という本を書きました。

「AWS認定資格試験テキスト AWS認定クラウドプラクティショナー 改訂第3版」という本を書きました。

「ポケットスタディ AWS認定 デベロッパーアソシエイト [DVA-C02対応] 」という本を書きました。

「要点整理から攻略するAWS認定ソリューションアーキテクト-アソシエイト」という本を書きました。

「AWSではじめるLinux入門ガイド」という本を書きました。

 - AWS , , , ,

ad

ad

  関連記事

AWS Summit 2016 Tokyoに参加してきました (Day2)

馬込は非常に良い天気です。 泊まっている部屋が2Fでしたので窓を明けると歩いてい …

Systems Manager パブリックパラメータCLIでAWSのサービス数を出力してみました(2020/5/26)

先日のAWSのサービス数を数えてみました(2020/5/23)を見られて、お師匠 …

Amazon CloudWatch Syntheticsでハートビートモニタリングを実行

このブログに対してハートビートモニタリングのCanaryを実行してみました。 C …

AWS CloudWatch LogsエージェントでAmazon EC2上のNginxのaccess.log , error.log , php-fpm error.log , Linuxのmessages , secureログを収集する

参考ページ クイックスタート: 実行中の EC2 インスタンスに CloudWa …

kintoneでEveryoneに権限が設定されているアプリをAWS Lambdaで一括チェックする

こないだ、kintone Cafeでユーザーが自由に作成している環境だと、どんな …

ヤマムギvol.26 Amazon DynamoDBのデモをしました

今日はAWS認定クラウドプラクティショナー対策本(緑本)に関係するデモをしました …

Transit GatewayポリシーテーブルでCloud WANのコアネットワークに接続しました

「ポリシーテーブルってなんですか?」のご質問をいただいたので設定してみました。 …

Aurora Serverless Data APIを有効にしてLambdaからクエリを実行

Aurora Serverless作成 MySQLを作成しました。 作成時にDa …

AWS CLIからIAM Identity CenterへサインインしてCodeCommitのリポジトリを使用する

Macで操作しました。 AWS CLIバージョンアップ [crayon-66de …

Amazon Location Service入門ワークショップ-マップの操作

関連記事 Amazon Location Service入門ワークショップの前提 …