AWS Organizations のAI サービスのオプトアウトポリシーをアタッチ後、意図した通りに適用されているか確認方法を教えて下さい

AWS Organizations のAI サービスのオプトアウトポリシーをアタッチ後、意図した通りに適用されているか確認方法を教えて下さい

#AWS Organizations
#AWS
平井裕二

平井裕二

facebook logohatena logotwitter logo
Clock Icon2024.6.3

困っていること

AWS Organizations の「AI サービスのオプトアウトポリシー」をアカウントに適用後、対象のアカウントがオプトアウトされていることを確認する方法はありますでしょうか?

作成したポリシーが正しく適用されているのか確認したいです。

例えば、対象のアカウントにログイン後、AIサービスのどこかのページに表示されているなど、作成したポリシーが意図内容で適用しているか判断する方法があれば教えて下さい。

結論

執筆時点で対象アカウントがオプトアウトされているかを確認する方法は、ありません。

AI サービスのオプトアウトポリシーとは、AWS のAI サービスがお客様のコンテンツを改善のために使用することを制御できるポリシーです。

別のポリシーであるサービスコントロールポリシー(SCP)の場合、ポリシーアタッチ後、対象のアカウントで動作確認することで、ポリシーが正しく適用されているか確認できます。

AI サービスのオプトアウトポリシーは、コンソール上でオプトアウトされているかどうか表示などはされず、確認するすべがありません。

しかし、オプトアウトの状態を直接確認する方法はありませんが、ポリシー作成時には構文チェックが行われ、一定の検証がなされます。

例えば、AWSドキュメントの[AI サービスのオプトアウトポリシーの構文と例]には、子ポリシーが上書きを制御するoperators_allowed_for_child_policiesがあります。

operators_allowed_for_child_policiesの名前からわざと一文字削除した場合、以下の様にJSONエラーとなり、ポリシーが作成できません。(最後のsを削除しています)

また、キー名(opt_out_policy)やキー値(optOut)が正しく指定されていない場合、JSONエラーが発生します。

ただし、あくまでも構文チェックであり、意図したポリシーが適用されているか確認はできません。

構文例

AWSドキュメントに構文例がいくつか掲載されていますが、ドキュメントにはないパターンを1つご紹介します。

例えば、以下の要件がある場合のポリシーを説明します。

  • (親ポリシー)組織内のすべてのアカウントを対象に、全サービスをオプトアウトするポリシーを適用
  • (子ポリシー)全サービスをオプトインするポリシーを組織内のアカウントに直接適用

ルートOUに適用するAI サービスのオプトアウトポリシーは、以下のようになります。

{
    "services": {
        "default": {
            "opt_out_policy": {
                "@@assign": "optOut"
            }
        }
    }
}

@@operators_allowed_for_child_policiesを利用すると、子ポリシーは上書きできなくなりますので、使いません。

オプトインする特定アカウントに適用するAI サービスのオプトアウトポリシーは、以下のとおりです。

{
    "services": {
        "default": {
            "opt_out_policy": {
                "@@assign": "optIn"
            }
        }
    }
}

このポリシーを子ポリシーとしてOUやアカウントにアタッチすることで、対象のアカウントのみオプトインの状態になります。

エラーにならないパターン

先ほどの要件において、親ポリシーに@@operators_allowed_for_child_policiesを追加する場合を考えてみましょう。

{
    "services": {
        "@@operators_allowed_for_child_policies": ["@@none"],
        "default": {
            "@@operators_allowed_for_child_policies": ["@@none"],
            "opt_out_policy": {
                "@@operators_allowed_for_child_policies": ["@@none"],
                "@@assign": "optOut"
            }
        }
    }
}

子ポリシーは上書きできないため、子ポリシーをアタッチしているアカウントは、オプトインされず、オプトアウトされます。

この場合、意図した動作とは異なりますが、ポリシーのアタッチ自体はエラーなく行われてしまいます。

参考

この記事をシェアする

facebook logohatena logotwitter logo

関連記事

AWS Organizations 環境で SCP を使ってインターネットアクセス可能な VPC の作成を許可しない OU を作成してみた

AWS Organizations 環境で SCP を使ってインターネットアクセス可能な VPC の作成を許可しない OU を作成してみた

[アップデート]AWS Organizationsで作成出来るSCP数の上限が2,000に引き上げられました

[アップデート]AWS Organizationsで作成出来るSCP数の上限が2,000に引き上げられました

[セッションレポート] 労働力不足の現場を救う!「京セラロボティックサービス」を支えるクラウド基盤の開発ストーリー #AWSSummit

[セッションレポート] 労働力不足の現場を救う!「京セラロボティックサービス」を支えるクラウド基盤の開発ストーリー #AWSSummit

AWS Security Hub を中央設定する場合の管理アカウントについて考える

AWS Security Hub を中央設定する場合の管理アカウントについて考える

Classmethod's white logo
Facebook's logo
X's logo
YouTube's logo

© Classmethod, Inc. All rights reserved.