type
status
date
slug
summary
tags
category
icon
password
书籍
理論
AWS OrganizationsとSCP(サービスコントロールポリシー)を活用したアクセス管理は、複数のAWSアカウントを中央で管理する際に非常に有効です。SCPは、組織内のすべてのアカウントに対して一貫したポリシーを適用し、どのアクションが許可されるか、または拒否されるかを制御するための強力なツールです。
サービスコントロールポリシー(SCP)の基本概念
- SCPは、AWS Organizationsで管理するアカウント全体に適用できるポリシーで、特定のAWSサービスやアクションに対するアクセス権限を制御します。個別のアカウントに適用されるIAMポリシーとは異なり、SCPは組織レベルでアクセス制御を行うため、中央集権的な管理が可能です。
- SCPは、最上位のポリシーとして、組織内のすべてのアカウントに対して適用され、アカウントが許可する最大のアクション範囲を決定します。
S3アクセスポイントとVPCエンドポイントの連携
- S3アクセスポイントは、特に共有データセットを使用するアプリケーションに便利な機能です。各アクセスポイントには独自のアクセス許可を設定でき、データアクセスを細かく制御できます。
- VPCエンドポイントは、VPC内のリソースからインターネットに接続せずに、S3などのAWSサービスに安全にアクセスできるようにするためのサービスです。VPC内のリソースがインターネットを介さずにS3にアクセスする場合に、VPCエンドポイントポリシーを使用してアクセス制御が可能です。
SCPによるVPC限定のアクセス制御
- SCPを使用して、VPC内からのみ特定のS3アクセスポイントにアクセスできるように制限することができます。これにより、インターネット経由でのアクセスを防止し、内部リソースへのセキュアなアクセスを保証できます。
- 具体的には、
s3:CreateAccessPointアクションに対して、s3:AccessPointNetworkOriginという条件キーを使用し、その値がVPCである場合のみアクセスを許可するポリシーを適用できます。これにより、VPC外からのアクセスポイント作成を防ぎ、セキュリティを強化することができます。
運用効率とセキュリティの向上
- 組織全体で一貫したアクセス制御を行うことができ、ポリシーの管理や変更が簡素化されます。これにより、複数のアカウントにまたがるアクセス制御を効率的に維持することができます。
- AWS OrganizationsとSCPを組み合わせて使用することで、セキュリティの強化と運用の簡素化が実現でき、管理者はインフラ全体を簡単に監視・制御できるようになります。
このような管理方法により、大規模なクラウド環境におけるセキュリティとコンプライアンスを維持しつつ、運用効率を最大化することができます。
重点な設定
s3:AccessPointNetworkOrigin は、S3 アクセスポイントへのアクセスを VPC 内 に限定するための条件キーです。これを利用することで、インターネット経由でのアクセスを拒否し、VPC 内のリソースのみがアクセスポイントを通じて S3 バケットにアクセスできるように設定できます。利用手順:
- S3 アクセスポイントを作成 する。
- アクセスポイントの リソースポリシー に、
s3:AccessPointNetworkOriginを追加し、条件として"s3:AccessPointNetworkOrigin": "VPC"を指定する。
- VPC エンドポイント を作成し、VPC 内からのみアクセスできるように設定する。
この設定により、VPC 内からのみ S3 アクセスポイントにアクセス可能となります。
実践
略
一問道場
問題 #286
ある企業はAWS Organizationsで数百のAWSアカウントを中央管理しています。最近、企業は製品チームが自分のアカウントでS3アクセスポイントを作成および管理できるようにしました。S3アクセスポイントは、インターネット上ではなく、VPC内からのみアクセスできるように設定されています。
この要件を最も運用効率的に強制する方法はどれですか?
A. S3アクセスポイントリソースポリシーを設定して、s3:CreateAccessPointアクションを拒否し、s3:AccessPointNetworkOrigin条件キーがVPCに評価される場合のみ許可する。
B. 組織のルートレベルでSCPを作成し、s3:CreateAccessPointアクションを拒否し、s3:AccessPointNetworkOrigin条件キーがVPCに評価される場合のみ許可する。
C. AWS CloudFormation StackSetsを使用して、各AWSアカウントで新しいIAMポリシーを作成し、s3:CreateAccessPointアクションをs3:AccessPointNetworkOrigin条件キーがVPCに評価される場合のみ許可する。
D. S3バケットポリシーを設定して、s3:CreateAccessPointアクションを拒否し、s3:AccessPointNetworkOrigin条件キーがVPCに評価される場合のみ許可する。
解説
正解: B
- *SCP(サービスコントロールポリシー)**を使用する方法は、AWS Organizationsを使用して複数のアカウントを中央管理している場合に最も運用効率が良い方法です。具体的には、SCPは組織内のすべてのアカウントに適用できるポリシーであり、アカウント単位でアクセス制御を強制できます。
なぜBが正解なのか?
- AWS Organizationsを使って複数のアカウントを管理しているシナリオで、SCPを使って条件付きでアクセス権限を制限する方法が、組織全体で統一的に管理できるため最も効率的です。
s3:CreateAccessPointアクションを制限する条件に、s3:AccessPointNetworkOriginが VPC に評価される場合のみ許可するようにすることで、アクセスがVPC内からのものに限定されることが確保できます。
他の選択肢との比較:
- A(S3アクセスポイントリソースポリシー)も有効な方法ですが、SCPの方が全アカウントに一貫した制限を適用するため、運用効率が良いです。リソースポリシーは特定のリソースに対して個別に設定する必要があり、管理が複雑になる可能性があります。
- C(CloudFormation StackSetsを使用する方法)は、複数アカウントにポリシーを展開するための手段として使えますが、SCPを使う方がより効率的でシンプルです。
- D(S3バケットポリシーを使用)は、アクセスポイントの作成に対して制限を設けるものではなく、アクセス制御に関連しているため、適切な方法ではありません。
結論:
AWS OrganizationsのSCPを使用して、VPC内からのみにアクセスを制限する方法が、組織全体で簡潔かつ効率的に管理できるため、最適な解決策です。
- 作者:みなみ
- 链接:https://www.minami.ac.cn//%E8%B3%87%E6%A0%BC%E5%8B%89%E5%BC%B7/175d7ae8-88e2-80dd-bae4-cafa65d1a0e6
- 声明:本文采用 CC BY-NC-SA 4.0 许可协议,转载请注明出处。
相关文章
