type
status
date
slug
summary
tags
category
icon
password
理論
サービスコントロールポリシー(SCP)の基本知識
- 概要
SCPはAWS Organizationsで使用されるポリシーで、組織内のアカウントで許可または拒否されるアクションを制御します。IAMポリシーのように動作しますが、アカウント全体に適用され、IAMユーザーやロールのポリシーではオーバーライドできません。
- 効果
- Allow(許可): 明示的にアクションを許可します。
- Deny(拒否): 明示的にアクションを拒否します。DenyはAllowより優先されます。
- デフォルトの動作
SCPを適用していない場合、AWSはすべてのサービスとアクションを許可します。ただし、SCPでDenyが設定されている場合、そのアクションは実行できません。
- リソーススコープ
SCPは組織単位(OU)または特定のアカウントにアタッチできます。SCP内のリソースやアクションは特定のサービスに限定できます。
- 設定上の注意点
- Allowのみを指定するSCP: アクションが明示的に許可されない限り、アカウント内で利用できません。
- Denyを含むSCP: 対象のアクションは無条件で拒否されます。特にDenyの範囲が広い場合、重要なサービスの利用が制限される可能性があります。
- トラブルシューティング SCPが原因で期待するアクションが実行できない場合、以下を確認します:
- SCPが必要なアクションを許可しているか。
- SCPにDenyが設定されている場合、影響範囲が過剰でないか。
- IAMポリシーとSCPの組み合わせによる制限。
- ベストプラクティス
- 必要最小限の許可(最小権限の原則)に基づいてSCPを設計する。
- 重要な操作を明示的にAllowする。
- テスト環境で適用を試し、問題がないことを確認する。
SCPはAWS環境のセキュリティとコンプライアンスを強化する強力なツールですが、設定ミスによる運用トラブルを防ぐために慎重な設計が必要です。
実践
一問道場
質問 #57
複数のAWSアカウントを持つ企業が、AWS Organizationsとサービスコントロールポリシー(SCP)を使用しています。管理者が以下のSCPを作成し、AWSアカウント 1111-1111-1111 を含む組織単位(OU)にアタッチしました:
アカウント 1111-1111-1111 で作業している開発者たちが、「Amazon S3バケットを作成できない」と不満を訴えています。この問題を管理者はどのように対処すべきですか?
選択肢:
A. SCPに「Effect: Allow」で
s3:CreateBucketを追加する。B. アカウントをOUから削除し、SCPをアカウント 1111-1111-1111 に直接アタッチする。
C. 開発者に、Amazon S3の権限を自分のIAMエンティティに追加するよう指示する。
D. SCPをアカウント 1111-1111-1111 から削除する。
- 作者:みなみ
- 链接:https://tangly1024.com/資格勉強/16ad7ae8-88e2-8056-aff9-d1b2f0dae53e
- 声明:本文采用 CC BY-NC-SA 4.0 许可协议,转载请注明出处。
相关文章
.png?table=block&id=021326af-6a29-487e-ac2f-560985ab23b3&t=021326af-6a29-487e-ac2f-560985ab23b3&width=800&cache=v2)
