ハンズオン目的アカウントに設定しているSCPポリシー

2020/06/19 2020/07/16

AWS Organizationsでハンズオン目的のアカウントに設定しているSCPポリシーです。
これで漏れがないとは思いませんが、少なくともすぐにできそうなやってほしくないことをSCPポリシー有効なフォーマット(*アスタリスクは末尾のみ)で書いてみたものです。
実際に設定してます。
都度見直しはしていきます。

Reserved関係、MarketPlace、プレイスメントグループ、専有テナンシーなどを拒否する目的です。

一応一部試してみて拒否されたことは確認しました。

あと、もちろん各アカウントで作成するハンズオンで使うIAMユーザーは、最小権限の原則に従います。
このSCPは念のためのお守りです。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Deny",
            "Action": [
                "route53domains:RegisterDomain",
                "ec2:AcceptReserved*",
                "ec2:CancelReserved*",
                "ec2:CreateReserved*",
                "ec2:DeleteQueuedReserved*",
                "ec2:DescribeReserved*",
                "ec2:GetReserved*",
                "ec2:ModifiyReserved*",
                "ec2:DescribeScheduled*",
                "ec2:RunScheduled*",
                "ec2:GetHostReservationPurchase*",
                "ec2:Purchase*",
                "dynamodb:PurchaseReserved*",
                "dynamodb:DescribeReserved*",
                "rds:PurchaseReserved*",
                "rds:DescribeReserved*",
                "elasticache:PurchaseReserved*",
                "elasticache:DescribeReserved*",
                "redshift:PurchaseReserved*",
                "redshift:DescribeReserved*",
                "aws-marketplace-management:*",
                "aws-marketplace:Subscribe",
                "aws-marketplace:Unsubscribe",
                "aws-portal:*",
                "s3:PutObjectLegalHold",
                "s3:PutObjectRetention",
                "glacier:CompleteVaultLock",
                "glacier:InitiateVaultLock",
                "account:Disable*",
                "snowball:Create*",
                "cloudtrail:Lookup*",
                "savingsplan:*"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Deny",
            "Action": "ec2:RunInstance*",
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "ec2:PlacementGroupStrategy": "cluster"
                }
            }
        },
        {
            "Effect": "Deny",
            "Action": "ec2:RunInstance*",
            "Resource": "arn:aws:ec2:*:*:instance/*",
            "Condition": {
                "StringNotLike": {
                    "ec2:Tenancy": "default"
                }
            }
        }
    ]
}

{

"Version": "2012-10-17",

"Statement": [

{

"Effect": "Deny",

"Action": [

"route53domains:RegisterDomain",

"ec2:AcceptReserved*",

"ec2:CancelReserved*",

"ec2:CreateReserved*",

"ec2:DeleteQueuedReserved*",

"ec2:DescribeReserved*",

"ec2:GetReserved*",

"ec2:ModifiyReserved*",

"ec2:DescribeScheduled*",

"ec2:RunScheduled*",

"ec2:GetHostReservationPurchase*",

"ec2:Purchase*",

"dynamodb:PurchaseReserved*",

"dynamodb:DescribeReserved*",

"rds:PurchaseReserved*",

"rds:DescribeReserved*",

"elasticache:PurchaseReserved*",

"elasticache:DescribeReserved*",

"redshift:PurchaseReserved*",

"redshift:DescribeReserved*",

"aws-marketplace-management:*",

"aws-marketplace:Subscribe",

"aws-marketplace:Unsubscribe",

"aws-portal:*",

"s3:PutObjectLegalHold",

"s3:PutObjectRetention",

"glacier:CompleteVaultLock",

"glacier:InitiateVaultLock",

"account:Disable*",

"snowball:Create*",

"cloudtrail:Lookup*",

"savingsplan:*"

"Resource": "*"

{

"Effect": "Deny",

"Action": "ec2:RunInstance*",

"Resource": "*",

"Condition": {

"StringEquals": {

"ec2:PlacementGroupStrategy": "cluster"

}

{

"Effect": "Deny",

"Action": "ec2:RunInstance*",

"Resource": "arn:aws:ec2:*:*:instance/*",

"Condition": {

"StringNotLike": {

"ec2:Tenancy": "default"

}

]

}

最後までお読みいただきましてありがとうございました！

【PR】「AWS認定試験対策 AWS クラウドプラクティショナー」という本を書きました。

【PR】「AWSではじめるLinux入門ガイド」という本を書きました。

【PR】「ポケットスタディ AWS認定デベロッパーアソシエイト」という本を書きました。

【PR】「AWS認定資格試験テキスト＆問題集　AWS認定ソリューションアーキテクト - プロフェッショナル」という本を書きました。

@yamamanx

開発ベンダー5年、ユーザ企業システム部門通算9年、ITインストラクター5年目でプロトタイプビルダーもやりだしたSoftware Engineerです。
質問はコメントかSNSなどからお気軽にどうぞ。
出来る限りなるべく答えます。

このブログの内容/発言の一切は個人の見解であり、所属する組織とは関係ありません。
このブログは経験したことなどの共有を目的としており、手順や結果などを保証するものではありません。
ご参考にされる際は、読者様自身のご判断にてご対応をお願いいたします。

また、勉強会やイベントのレポートは自分が気になったことをメモしたり、聞いて思ったことを書いていますので、登壇者の意見や発表内容ではありません。

- AWS AWS, iam

: 前からできましたっけ？？CloudWatch Logsの保持設定を複数まとめて設定

AWSの個人アカウントで要らなさそうなリソースの断捨離をしてます。 CloudW …

: Amazon LinuxのNginx+RDS MySQLにレンタルWebサーバーからWordPressを移設する(失敗、手戻りそのまま記載版)

勉強のためブログサイトを長らくお世話になったロリポップさんから、AWSに移設する …

: AWS Cost Anomaly Detectionでコストモニターを作成しました

[ご利用開始にあたって]を押下しました。このあと画面を説明してくれるツアーがあ …

: Amazon Linux2のCloud9でPython CDKのモジュールインストール

AMIがCloud9AmazonLinux2-2021-02-02T16-48の …

: ヤマムギvol.23 Amazon RDS for MySQLとAmazon Aurora Serverlessの起動のデモをしました

ゴールデンウィーク毎朝デモ勉強会は終わったのですが、土曜日にやれるときがあれば、 …

: AWS Toolkit for Eclipseをセットアップする

AWSでそろそろ課金がされつつありますので、夜中はインスタンスを自動停止して朝自 …

: 東京リージョンでAWS Control Towerランディングゾーンをセットアップする

AWS Control Towerの最初の画面で[ランディングゾーンの設定]を押 …

: AWS CloudShellでboto3(SDK for Python)使うならpython3

本の執筆をしていて、ちょっとAWS CLIやSDKのふるまいを確認したいことがあ …

: Amazon EC2(Amazon Linux 2)にRedmine3.4をインストール

久しぶりに新しい環境でRedmineを構築したくなり、せっかくなのでAmazon …

: EC2 Dedicated Hosts(専有ホスト)を起動

クォータ引き上げ新規で作成したアカウントではDedicated Hostsがソ …

PREV: Rocket.ChatからOut Going Webhookを設定してみる
NEXT: 暑くなってきたのでPC冷却ファンを導入しました

ハンズオン目的アカウントに設定しているSCPポリシー

ad

ad

関連記事

前からできましたっけ？？CloudWatch Logsの保持設定を複数まとめて設定

Amazon LinuxのNginx+RDS MySQLにレンタルWebサーバーからWordPressを移設する(失敗、手戻りそのまま記載版)

AWS Cost Anomaly Detectionでコストモニターを作成しました

Amazon Linux2のCloud9でPython CDKのモジュールインストール

ヤマムギvol.23 Amazon RDS for MySQLとAmazon Aurora Serverlessの起動のデモをしました

AWS Toolkit for Eclipseをセットアップする

東京リージョンでAWS Control Towerランディングゾーンをセットアップする

AWS CloudShellでboto3(SDK for Python)使うならpython3

Amazon EC2(Amazon Linux 2)にRedmine3.4をインストール

EC2 Dedicated Hosts(専有ホスト)を起動