236-AWS SAP AWS 「理論・実践・一問道場」拒否ポリシー

type

status

date

slug

summary

理論

明示的な「拒否」ポリシーが設定されていない場合、デフォルトでは許可される。

もしSCPで**「拒否」**が設定されていれば、その拒否は組織全体に適用され、下位アカウントやリソースでもその操作は行えません。

もし 管理アカウント（ルートアカウント） で「全て拒否」のSCPを設定すると、その拒否は組織全体に適用されます。下位のメンバーアカウントやOUで許可のポリシーを設定しても、拒否ポリシーが優先されて、その操作は実行できません。

例：

ルートアカウント に「全て拒否」のSCPを設定 → すべての操作が拒否されます。

メンバーアカウント に「特定の操作を許可」のSCPを設定 → ルートアカウントの拒否が優先されるため、その操作は実行できません。

つまり、SCPで「拒否」を設定すると、それが優先され、下位での「許可」は無効になります。

AWS Organizationsにおけるタグ管理とポリシー適用の基本的な知識:

AWS Organizations:

複数のAWSアカウントを一元管理するサービス。

組織単位（OU）を使用してアカウントを階層的にグループ化し、各OUにポリシーを適用できる。

タグポリシー:

AWSリソースにタグを標準化して適用するためのルール。

タグの値や名前を指定して、リソース作成時にタグを必須にしたり、特定の値を要求することができる。

サービス制御ポリシー（SCP）:

AWS Organizations内でアカウントに適用するアクセス制御ポリシー。

リソース作成時に必要なタグが欠けている場合の制限を加えることができる。

リソース作成時のタグ要求:

リソース作成時にタグを必須にしたり、特定のタグ値を要求する場合、タグポリシーとSCPを組み合わせて設定する。

OUごとに異なるタグ値を要求する場合、各OUに対して異なるタグポリシーを適用する。

最適なアプローチ:

タグポリシーで各OUに対するタグの要件を定義し、SCPでタグなしでリソースを作成できないように制限することが最も効果的な方法です。

拒否ポリシーは常に許可ポリシーより優先されます。もしある操作を確実に禁止したい場合は、明示的に拒否するポリシーを使うことが重要です。

つまり、AWSでは「拒否」が「許可」よりも強い力を持っているということです。

実践

略

一問道場

質問 #236

トピック 1

ある会社がAWS Organizationsの構成を設計しています。この会社は、組織全体でタグを適用するプロセスを標準化したいと考えています。新しいリソースを作成する際に、特定の値を持つタグが必要になります。会社の各OU（組織単位）にはユニークなタグ値があります。

どのソリューションがこれらの要件を満たしますか？

A. SCP（サービス制御ポリシー）を使用して、必要なタグがないリソースの作成を拒否します。会社が各OUに割り当てたタグ値を含むタグポリシーを作成し、そのタグポリシーをOUに適用します。

B. SCPを使用して、必要なタグがないリソースの作成を拒否します。会社が各OUに割り当てたタグ値を含むタグポリシーを作成し、そのタグポリシーを組織の管理アカウントに適用します。

C. SCPを使用して、リソースに必要なタグがある場合のみ作成を許可します。会社が各OUに割り当てたタグ値を含むタグポリシーを作成し、そのタグポリシーをOUに適用します。

D. SCPを使用して、必要なタグがないリソースの作成を拒否します。タグのリストを定義し、そのSCPをOUに適用します。

解説

この問題では、AWS Organizationsを使って、組織内でリソース作成時に特定のタグを適用するプロセスを標準化する方法を尋ねています。目標は、ユーザーが新しいリソースを作成する際に、リソースに必ず特定のタグが付与されることを保証することです。さらに、各組織単位（OU）ごとに異なるタグの値を設定する必要があります。

選択肢の分析: