growing hard days.

ハンズオン目的アカウントに設定しているSCPポリシー

2020/06/19 2020/07/16

AWS Organizationsでハンズオン目的のアカウントに設定しているSCPポリシーです。
これで漏れがないとは思いませんが、少なくともすぐにできそうなやってほしくないことをSCPポリシー有効なフォーマット(*アスタリスクは末尾のみ)で書いてみたものです。
実際に設定してます。
都度見直しはしていきます。

Reserved関係、MarketPlace、プレイスメントグループ、専有テナンシーなどを拒否する目的です。

一応一部試してみて拒否されたことは確認しました。

あと、もちろん各アカウントで作成するハンズオンで使うIAMユーザーは、最小権限の原則に従います。
このSCPは念のためのお守りです。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Deny",
            "Action": [
                "route53domains:RegisterDomain",
                "ec2:AcceptReserved*",
                "ec2:CancelReserved*",
                "ec2:CreateReserved*",
                "ec2:DeleteQueuedReserved*",
                "ec2:DescribeReserved*",
                "ec2:GetReserved*",
                "ec2:ModifiyReserved*",
                "ec2:DescribeScheduled*",
                "ec2:RunScheduled*",
                "ec2:GetHostReservationPurchase*",
                "ec2:Purchase*",
                "dynamodb:PurchaseReserved*",
                "dynamodb:DescribeReserved*",
                "rds:PurchaseReserved*",
                "rds:DescribeReserved*",
                "elasticache:PurchaseReserved*",
                "elasticache:DescribeReserved*",
                "redshift:PurchaseReserved*",
                "redshift:DescribeReserved*",
                "aws-marketplace-management:*",
                "aws-marketplace:Subscribe",
                "aws-marketplace:Unsubscribe",
                "aws-portal:*",
                "s3:PutObjectLegalHold",
                "s3:PutObjectRetention",
                "glacier:CompleteVaultLock",
                "glacier:InitiateVaultLock",
                "account:Disable*",
                "snowball:Create*",
                "cloudtrail:Lookup*",
                "savingsplan:*"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Deny",
            "Action": "ec2:RunInstance*",
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "ec2:PlacementGroupStrategy": "cluster"
                }
            }
        },
        {
            "Effect": "Deny",
            "Action": "ec2:RunInstance*",
            "Resource": "arn:aws:ec2:*:*:instance/*",
            "Condition": {
                "StringNotLike": {
                    "ec2:Tenancy": "default"
                }
            }
        }
    ]
}

1

2

3

4

5

6

7

8

9

10

11

12

13

14

15

16

17

18

19

20

21

22

23

24

25

26

27

28

29

30

31

32

33

34

35

36

37

38

39

40

41

42

43

44

45

46

47

48

49

50

51

52

53

54

55

56

57

58

59

60

61

62

63

64

{

"Version": "2012-10-17",

"Statement": [

{

"Effect": "Deny",

"Action": [

"route53domains:RegisterDomain",

"ec2:AcceptReserved*",

"ec2:CancelReserved*",

"ec2:CreateReserved*",

"ec2:DeleteQueuedReserved*",

"ec2:DescribeReserved*",

"ec2:GetReserved*",

"ec2:ModifiyReserved*",

"ec2:DescribeScheduled*",

"ec2:RunScheduled*",

"ec2:GetHostReservationPurchase*",

"ec2:Purchase*",

"dynamodb:PurchaseReserved*",

"dynamodb:DescribeReserved*",

"rds:PurchaseReserved*",

"rds:DescribeReserved*",

"elasticache:PurchaseReserved*",

"elasticache:DescribeReserved*",

"redshift:PurchaseReserved*",

"redshift:DescribeReserved*",

"aws-marketplace-management:*",

"aws-marketplace:Subscribe",

"aws-marketplace:Unsubscribe",

"aws-portal:*",

"s3:PutObjectLegalHold",

"s3:PutObjectRetention",

"glacier:CompleteVaultLock",

"glacier:InitiateVaultLock",

"account:Disable*",

"snowball:Create*",

"cloudtrail:Lookup*",

"savingsplan:*"

],

"Resource": "*"

},

{

"Effect": "Deny",

"Action": "ec2:RunInstance*",

"Resource": "*",

"Condition": {

"StringEquals": {

"ec2:PlacementGroupStrategy": "cluster"

}

}

},

{

"Effect": "Deny",

"Action": "ec2:RunInstance*",

"Resource": "arn:aws:ec2:*:*:instance/*",

"Condition": {

"StringNotLike": {

"ec2:Tenancy": "default"

}

}

}

]

}

最後までお読みいただきましてありがとうございました！

「AWS認定資格試験テキスト＆問題集　AWS認定ソリューションアーキテクト - プロフェッショナル改訂第2版」という本を書きました。

「AWS認定資格試験テキスト AWS認定クラウドプラクティショナー改訂第2版」という本を書きました。

「ポケットスタディ AWS認定デベロッパーアソシエイト［DVA-C02対応］」という本を書きました。

「要点整理から攻略するAWS認定ソリューションアーキテクト-アソシエイト」という本を書きました。

「AWSではじめるLinux入門ガイド」という本を書きました。

開発ベンダー5年、ユーザ企業システム部門通算9年、ITインストラクター5年目でプロトタイプビルダーもやりだしたSoftware Engineerです。
質問はコメントかSNSなどからお気軽にどうぞ。
出来る限りなるべく答えます。

このブログの内容/発言の一切は個人の見解であり、所属する組織とは関係ありません。
このブログは経験したことなどの共有を目的としており、手順や結果などを保証するものではありません。
ご参考にされる際は、読者様自身のご判断にてご対応をお願いいたします。

また、勉強会やイベントのレポートは自分が気になったことをメモしたり、聞いて思ったことを書いていますので、登壇者の意見や発表内容ではありません。

Tweet

関連記事

: Amazon EC2(Amazon Linux 2)にRedmine3.4をインストール

久しぶりに新しい環境でRedmineを構築したくなり、せっかくなのでAmazon …

: S3インベントリ設定でインベントリファイルの作成を設定

インベントリレポートファイルはオブジェクトの一覧情報です。日次、週次で定期作成 …

: Well-Architected Tool レンズヴァージョンアップ

当ブログのWell-Architectedレビューを久しぶりにやろうと思い、We …

: 前からできましたっけ？？CloudWatch Logsの保持設定を複数まとめて設定

AWSの個人アカウントで要らなさそうなリソースの断捨離をしてます。 CloudW …

: AWS Trusted Advisorの2023/11/17発表のAPI

2023/11/17に発表されたAWS Trusted Advisor の新しい …

: AWS CodeBuildのチュートリアルをやってみました

こちらユーザーガイドの最初の方にあるチュートリアルです。コンソールを使用した …

: TuneCoreの売上データCSVをS3に格納してAthenaのクエリをRe:dashのデータソースにして可視化する

先日参加しましたAWS Summit Tokyo 2017で、 [JapanTa …

: AWS Organizations組織でCompute Optimizerを有効にしました

OrganizationsでCompute Optimizerの信頼されたアクセ …

: EC2インスタンスの起動で、–cli-input-jsonと–cli-input-yamlを使いました

AWS CloudShellから実行しました。 JSON実行 [crayon-6 …

: Amazon ECSサービスでAWS App Meshを使用

AWS App MeshユーザーガイドのAWS App Mesh とAmazon …

PREV: Rocket.ChatからOut Going Webhookを設定してみる
NEXT: 暑くなってきたのでPC冷却ファンを導入しました