SCPを使ってRoute 53からのドメイン購入操作を禁止してみた

はじめに

こんにちは。大阪オフィスの林です。

SCPを使ってRoute 53からのドメイン購入操作を禁止する方法を試す機会がありましたので内容をまとめておきたいと思います。

やってみた

AWS Organizationsのダッシュボードに移動し左のメニューから「ポリシー」を選択し「サービスコントロールポリシー」を選択します。

「ポリシーを作成」を選択します。

任意の「ポリシー名」と必要に応じて「ポリシーの説明」を入力します。

Route 53 Domainsというサービスの中からRegisterDomainを探しチェックを入れ、対象のリソースは全てにし「ポリシーを作成」を選択します。

下記が設定したポリシーとなります。

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "Statement1",
      "Effect": "Deny",
      "Action": [
        "route53domains:RegisterDomain"
      ],
      "Resource": [
        "*"
      ]
    }
  ]
}

作成したポリシーをOUまたはアカウントへアタッチします。

対象を選択後「ポリシーのアタッチ」を選択します。※今回は直接アカウントにアタッチしましたが、同様の手順でOUに対してもアタッチ可能です。

アタッチが完了しました。

対象のAWSアカウントにログインし動作を確認します。Route 53のダッシュボードに移動し「ドメインの登録」を選択します。

今回のポリシーの場合、ドメイン購入の抑止が掛かるのは実際に購入する操作となります。そのためこのあたりの操作は出来ますのでこのまま操作を進めてみます。適用なドメイン名をカートに入れて「続行」を選択します。

必要情報も入力します。

「続行」を選択します。

同意にチェックを入れ「注文を完了」を選択します。

「注文が正常に送信されました」と表示され購入出来てしまったと思いきや、裏側でエラーが出ていることが分かります。

「このアクションを実行するための十分なアクセス許可がありません。」と表示されておりドメインの購入が抑止できていることが確認出来ました。

「登録済みドメイン」にも表示されていないので購入出来てないことが分かります。

まとめ

今回は、SCPを使ってRoute 53からのドメイン購入操作を禁止する方法を試してみました。
ドメイン購入の最後のオペレーション（注文）で操作の抑止が掛かるので少しドキドキしましたが期待した抑止が掛かってよかったです。
この記事がどなたかの参考になりましたら幸いです。

以上、大阪オフィスの林がお送りしました！