【AWS Organizations】SCP更新(update-policy)をメンバーアカウントに委任してみる

【AWS Organizations】SCP更新(update-policy)をメンバーアカウントに委任してみる

#AWS
#AWS Organizations
#SCP
川原征大

川原征大

facebook logohatena logotwitter logo
Clock Icon2023.11.01

この記事は公開されてから1年以上経過しています。情報が古い可能性がありますので、ご注意ください。

Service Control Policy(SCP)は AWS Organizationsの1機能です。 組織のセキュリティ統制、特に予防的ガードレールとして役立ちます。

従来、SCPは管理アカウントでのみ設定できる項目でしたが、 2022年末のアップデートで「メンバーアカウントに委任」できるようになりました。

この委任機能を使って、 SCP更新(update-policy)をメンバーアカウントで実施できるようにしてみます。

本ブログの要旨

  • 「SCP更新の委任」はOrganizationsの委任ポリシーにて指定する
  • 委任の3パターン
    • 全てのSCP更新を許可する … とりあえず全て許可
    • 特定SCP更新を許可する(リソースベース) … 対象が固定化できる場合にオススメ
    • 特定SCP更新を許可する(タグベース) … 対象が流動的である場合にオススメ

(前提) Organizations委任ポリシーとは

AWS Organizations の一部機能をメンバーアカウントに委任できます。 どのアカウントに、どの機能を委任するのかを 委任ポリシー として 管理アカウント上で設定します。

img

この機能(委任)は「管理アカウント上のタスクを最小限にする」のに役立ちます。 管理アカウントは権限が強いアカウントであり、SCPによる制御も効かないためです。 管理アカウント上の業務は最小限にするのがベストプラクティスです。

SCP更新の委任パターン

以下 3パターンを紹介します。

  • 全てのSCP更新を許可するパターン
  • 特定SCP更新を許可するパターン(リソースベース)
  • 特定SCP更新を許可するパターン(タグベース)

全てのSCP更新を許可するパターン

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "ReadAndUpdateSCP",
      "Effect": "Allow",
      "Principal": {
        "AWS": "arn:aws:iam::${MemberAccountID}:root"
      },
      "Action": [
        "organizations:Describe*",
        "organizations:List*",
        "organizations:UpdatePolicy"
      ],
      "Resource": "*",
      "Condition": {
        "StringEqualsIfExists": {
          "organizations:PolicyType": "SERVICE_CONTROL_POLICY"
}}}]}

${MemberAccountID} を委任したいメンバーアカウントのアカウントIDに置き換えてください。

この委任ポリシーでできることは以下のとおりです。

  • AWSアカウントやOU、ポリシー情報の閲覧
    • ※ただしSCP以外のポリシー (バックアップポリシーなど) 情報は見られない
  • SCPの更新

全SCPの更新を委任させたい場合には、このパターンでOKです。

特定SCP更新を許可するパターン(リソースベース)

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "ReadSCP",
      "Effect": "Allow",
      "Principal": {
        "AWS": "arn:aws:iam::${MemberAccountID}:root"
      },
      "Action": [
        "organizations:List*",
        "organizations:Describe*"
      ],
      "Resource": "*",
      "Condition": {
        "StringEqualsIfExists": {
          "organizations:PolicyType": "SERVICE_CONTROL_POLICY"
    }}},
    {
      "Sid": "UpdateSCP",
      "Effect": "Allow",
      "Principal": {
        "AWS": "arn:aws:iam::${MemberAccountID}:root"
      },
      "Action": [
        "organizations:UpdatePolicy"
      ],
      "Resource": [
        "arn:aws:organizations::${ManagementAccountID}:root/${OrganizationID}/${RootID}",
        "arn:aws:organizations::${ManagementAccountID}:ou/${OrganizationID}/*",
        "arn:aws:organizations::${ManagementAccountID}:account/${OrganizationID}/*",
        "arn:aws:organizations::${ManagementAccountID}:policy/${OrganizationID}/service_control_policy/${PolicyID_A}",
        "arn:aws:organizations::${ManagementAccountID}:policy/${OrganizationID}/service_control_policy/${PolicyID_B}"
]}]}

以下のとおり置き換えてください。

  • ${MemberAccountID} : 委任したいメンバーアカウントのアカウントID
  • ${ManagementAccountID} : 管理アカウントのアカウントID
  • ${OrganizationID} : Organizationsの組織ID ( o-xxx )
  • ${RootID} : OrganizationsのルートID ( r-xxx )
  • ${PolicyID_A/B} : SCPのポリシーID ( p-xxx )
    • 更新を許可したいSCPをここに記載します

更新を許可したいSCPのARNを、Resource句に列挙していきます(コードのハイライト部分)。

画像のように 「Resource句に指定したSCP」は更新できて、 「Resource句に無いSCP」は更新できません。

img

特定SCP更新を許可するパターン(タグベース)

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "ReadSCP",
      "Effect": "Allow",
      "Principal": {
        "AWS": "arn:aws:iam::${MemberAccountID}:root"
      },
      "Action": [
        "organizations:List*",
        "organizations:Describe*"
      ],
      "Resource": "*",
      "Condition": {
        "StringEqualsIfExists": {
          "organizations:PolicyType": "SERVICE_CONTROL_POLICY"
    }}},
    {
      "Sid": "UpdateSCP",
      "Effect": "Allow",
      "Principal": {
        "AWS": "arn:aws:iam::${MemberAccountID}:root"
      },
      "Action": [
        "organizations:UpdatePolicy"
      ],
      "Resource": "*",
      "Condition": {
        "StringEquals": {
          "organizations:PolicyType": "SERVICE_CONTROL_POLICY",
          "aws:ResourceTag/Delegate": "True"
}}}]}

${MemberAccountID} を委任したいメンバーアカウントのアカウントIDに置き換えてください。

この委任ポリシーでは Delegate=True タグが付いたSCPの更新を許可します。タグ付けは事前に管理アカウントにて実施します。

画像のように 「 Delegate=True タグが付いているSCP」は更新できて、 「 Delegate=True タグが無いSCP」は更新できません。

img

おわりに(使い分けについて)

SCP更新の委任ポリシーを3パターンを紹介しました。 以下のように使い分けると良いと思います。

  • 全SCP 更新OK → 全てのSCP更新を許可するパターン
  • 特定SCPに絞りたい + 対象を固定化できる → 特定SCP更新を許可するパターン(リソースベース)
  • 特定SCPに絞りたい + 対象が流動的に変わる → 特定SCP更新を許可するパターン(タグベース)

参考になれば幸いです。

参考

Share this article

facebook logohatena logotwitter logo

関連記事

[アップデート]CloudTrail Lake で高度なイベントセレクターがサポートされました

[アップデート]CloudTrail Lake で高度なイベントセレクターがサポートされました

User avatar
あしざわ
2024.11.17
AWS re:Invent 2024 オンライン視聴の登録方法 #reInvent

AWS re:Invent 2024 オンライン視聴の登録方法 #reInvent

User avatar
石川覚
2024.11.17
DynamoDB料金の値下げ、半額になったオンデマンド料金を試算してみた (2024年11月)

DynamoDB料金の値下げ、半額になったオンデマンド料金を試算してみた (2024年11月)

User avatar
suzuki.ryo
2024.11.17
[アップデート] Amazon QuickSight へロゴやテーマカラーを設定するための「ブランド管理機能」が追加されました

[アップデート] Amazon QuickSight へロゴやテーマカラーを設定するための「ブランド管理機能」が追加されました

User avatar
いわさ
2024.11.17
Classmethod's white logo
Facebook's logo
X's logo
YouTube's logo

© Classmethod, Inc. All rights reserved.