AWS Control Tower から宣言型ポリシーを使用するためのマネージドコントロールを確認してみた#AWSreInvent
2024.12.02こんにちは、森田です。
以下のアップデートで AWS Control Tower で宣言型ポリシーを使用したマネージドコントロールのサポートが発表されました。
宣言型ポリシーとは
AWS サービスの必要な設定を定義および適用できる機能です。
「宣言型ポリシー」では、新しいAPIが公開された場合でもコントロールプレーンで制限をかけているため、SCPのように都度ポリシーを変更する必要がありません。
詳しくは以下の記事をご参照ください。
Organizations で有効化
Organizationsで有効化する手順については以下で紹介してますのでご参照ください。
本記事では、AWS Control Tower で宣言型ポリシーの有効化を実際に確認してみます。
やってみた
AWS Control Tower では以下のマネージドコントロールで宣言型ポリシーを有効化できます。
- [CT.EC2.PV.7] Disallow all public sharing of Amazon EBS snapshots
- [CT.EC2.PV.8] Disallow inbound and outbound internet connections to your VPCs through an internet gateway (IGW) or egress-only internet gateway (EIGW)
- [CT.EC2.PV.9] Disallow access to the EC2 serial console for all EC2 instances
- [CT.EC2.PV.11] Disallow public sharing of Amazon Machine Images (AMIs)
コンソールから確認
AWS Organizations で「EC2 の宣言型ポリシー」を有効化します。
有効化後、コントロールライブラリから確認しましたが、現状(2024/12/01時点)は以下のように対象のコントロールを確認できませんでした。
また、直接URL内にコントロールIDを含めて開きましたが、残念ながら確認できませんでした。
念の為、以下のように「EC2 の宣言型ポリシー」を追加も行いましたが、変わらず、AWS Control Tower では確認できませんでした。
まとめ
現状では、宣言型ポリシーのコントロールが利用できないため、Control Tower からは有効化が難しいようでした。
急ぎ宣言型ポリシーを試してみたい方は、AWS Organizations から利用することをお勧めします。
![[Tips] AWS Control Towerのコントロールが関連付けされたOUを簡単に削除する方法](https://images.ctfassets.net/ct0aopd36mqt/wp-thumbnail-fff4d7e7c3509d1ffcc67578673c5f00/056494cb8aea27071cd8ed8a870bda83/aws-control-tower)
