[アップデート] AWS Organizations で宣言型ポリシー(declarative policies) が利用可能になりました #AWSreInvent

[アップデート] AWS Organizations で宣言型ポリシー(declarative policies) が利用可能になりました #AWSreInvent

AWS re:Invent 2024

AWS re:Invent 2024

#AWS
#AWS Organizations
あしざわ

あしざわ

facebook logohatena logotwitter logo
Clock Icon2024.12.02

あしざわです。

AWS Organizations の新しいガバナンス機能として、宣言型ポリシー(declarative policies) が登場しました。

https://aws.amazon.com/jp/blogs/aws/simplify-governance-with-declarative-policies/

このブログは宣言型ポリシーの機能について、概要レベルでまとめたものです。

新機能の概要

宣言型ポリシーを利用することで、特定のAWS サービスのベースライン構成を指定でき、組織全体へ適用できます。

似た機能にSCP やRCP がありますが、それらは承認ポリシーと呼ばれており、宣言型ポリシーとは異なる概念です。

承認ポリシーと宣言型ポリシーの大きな違いは『API レベルで動作するか』または『サービスのコントロールプレーンで適用されるか』という点です。

承認ポリシーはAWS API へのアクセスを制限しますが、宣言型ポリシーはAPI アクションを使用せずにAWS サービス自体に直接適用されます。

承認と宣言型とのポリシーの違い.png

宣言型ポリシーのメリットは、今後サービスに新しい機能やAPI が追加された場合でも指定したベースラインが常に適用されるという点のようです。確かに従来のSCP やRCP では新しいAPI が追加された際に抜け道ができてしまっていたため、その対策として嬉しいですね。

承認ポリシー(SCP / RCP) との比較

承認ポリシー(SCP / RCP)と宣言型ポリシーの違いを表した表がこちらです。

SCP RCP 宣言型ポリシー
目的 IAMリソースなどのプリンシパルに対する一貫したアクセス制御を定義するため AWSリソースに対する一貫したアクセス制御を定義するため AWS サービスのベースライン構成を定義するため
仕組み APIレベルでプリンシパルの利用可能な最大アクセス権限を定義する APIレベルでリソースに対する利用可能な最大のアクセス権限を定義する APIアクションを使用せず、AWSサービスに必要な構成を指定する
サービスリンクロールの利用 × ×
フィードバックの仕組み SCPエラーで拒否される、カスタマイズ不可 RCPエラーで拒否される、カスタマイズ不可 エラーメッセージがカスタマイズ可能

サービスリンクロールで動作している点、カスタムエラーメッセージの利用が承認ポリシーとの差異です。

特にカスタムエラーメッセージの利用が気になりました。続報としてのやってみた記事で検証してみたいです。

現時点でサポートしている属性

宣言型ポリシーが現在サポートしている機能は以下です。

  • VPC
    • VPC のブロックパブリックアクセス
  • EC2
    • シリアルコンソールアクセス
    • AMI のブロックパブリックアクセス
    • 許可されたAMI の利用
    • IMDS のデフォルト設定
  • EBS
    • EBS スナップショットのブロックパブリックアクセス

個人的に目新しいなと感じたのは、VPC のブロックパブリックアクセス許可されたAMI の利用です。

「VPC のブロックパブリックアクセス」はつい先日追加された比較的新しい機能です。

https://dev.classmethod.jp/articles/try-vpc-block-public-access/

また、「許可されたAMI」とはこのアップデートと同タイミングで発表された新機能でした(通りで見覚えがなかった、、

https://aws.amazon.com/jp/about-aws/whats-new/2024/12/amazon-ec2-allowed-amis-enhance-ami-governance/

ポリシーの形式

こちらはVPC ブロックパブリックアクセスの例ですが、このようなポリシーとして定義します。

"vpc_block_public_access": {
    "internet_gateway": { // (optional)
        "mode": { // (required)
            "@@assign": "block_ingress" // off | block_ingress | block_bidirectional
        },
        "exclusions_allowed": { // (required)
            "@@assign": "enabled" // enabled | disabled
        }
    }
}

IAMポリシー に似た形式のSCP やRCP とはまた違っていますね。

参考

Declarative policies - AWS Organizations

まとめ

AWS Organizations に追加された宣言型ポリシー(declarative policies)についてまとめました。

既にやってみた記事も公開されていますので、ぜひこちらの記事も併せて確認ください。

https://dev.classmethod.jp/articles/declarative-policies/

個人的に非常に熱いアップデートだと思いますが、サポート範囲は今のところVPC、EC2、EBS と限定的です。今後のサポート範囲の拡張に期待したいです。

以上です。

Share this article

facebook logohatena logotwitter logo

関連記事

リージョン制限を適用したマルチアカウント環境でAWS Resource Explorerを活用し、横断的にリソース検索を実現してみた

リージョン制限を適用したマルチアカウント環境でAWS Resource Explorerを活用し、横断的にリソース検索を実現してみた

User avatar
平井裕二
2024.12.02
[新サービス] AWS Data Transfer Terminal が一般提供されました #AWSreInvent

[新サービス] AWS Data Transfer Terminal が一般提供されました #AWSreInvent

User avatar
Takuya Shibata
2024.12.02
[アップデート] Amazon EC2 で AMI ガバナンスを強化するために 許可された AMI が導入されました #AWSreInvent

[アップデート] Amazon EC2 で AMI ガバナンスを強化するために 許可された AMI が導入されました #AWSreInvent

User avatar
板倉舞
2024.12.02
Amazon EC2 ストレージ最適化タイプの新世代インスタンス I7ie が一般提供開始されました #AWSreInvent

Amazon EC2 ストレージ最適化タイプの新世代インスタンス I7ie が一般提供開始されました #AWSreInvent

User avatar
大村 保貴
2024.12.02
Classmethod's white logo
Facebook's logo
X's logo
YouTube's logo

© Classmethod, Inc. All rights reserved.