[アップデート]AWS Organizationsで作成出来るSCP数の上限が2,000に引き上げられました

[アップデート]AWS Organizationsで作成出来るSCP数の上限が2,000に引き上げられました

1組織あたりのSCP上限が2,000になり、より柔軟な権限設計が可能になりました
#AWS Organizations
#SCP
#AWS
べこみん

べこみん

facebook logohatena logotwitter logo
Clock Icon2024.06.30

こんにちは、AWS事業本部@福岡オフィスのべこみん(@beco_minn)です。

re:Inforceの直前に AWS Identity からこういうpostが投稿されました。

(訳)
知ってますか?
組織内で最大2000のサービス・コントロール・ポリシー(SCP)を適用できるようになりました。このエキサイティングなアップデートにより、組織内のアクセス制御をより柔軟に管理できるようになりました。

ということで、SCPが2,000個まで作成出来るようになりました。今まで1,000が上限だったので、倍になりましたね。

既に日本語のドキュメントにも反映されていました。何故かドキュメントヒストリーにもWhat's Newにも載っていませんでしたが。

組織の各タイプのポリシーの数

AI サービスのオプトアウトポリシー: 1000
バックアップポリシー: 1000
サービスコントロールポリシー: 2000
タグポリシー: 1000

ざっくりまとめ

  • 組織内のSCP上限値が2,000になりました。
  • 今までは1,000までしか作成出来なかったので、より柔軟に組織内のアクセス権限管理が可能に

やってみた

やってみるも何も無いんですが、興味本位で2,000個SCPを作ってみました。

ちなみに実施前のSCPは3個でした。

[cloudshell-user@ip-10-134-26-2 ~]$ aws organizations list-policies --filter SERVICE_CONTROL_POLICY --query 'Policies[*].Id' --output json | jq 'length'
3

この状況でこんな感じのスクリプトを作って実行。

#!/bin/bash
for i in {1..2000}; do
    policy_name="TestPolicy_$i"
    policy_content='{
        "Version": "2012-10-17",
        "Statement": [
            {
                "Effect": "Deny",
                "Action": "*",
                "Resource": "*",
                "Condition": {
                    "StringEquals": {
                        "aws:RequestedRegion": "us-east-1"
                    }
                }
            }
        ]
    }'
    aws organizations create-policy --content "$policy_content" --description "Test Policy $i" --name "$policy_name" --type SERVICE_CONTROL_POLICY > /dev/null
    if [ $((i % 100)) -eq 0 ]; then
        echo "$i 個のSCPを作成しました"
    fi
done

2,000個出来るまでにまあまあ時間が掛かりました。

カウントしてみると

[cloudshell-user@ip-10-134-26-2 ~]$ aws organizations list-policies --filter SERVICE_CONTROL_POLICY --query 'Policies[*].Id' --output json | jq 'length'
2000

確かに2,000個まで作成出来ました。クォータは上がっているようです。

最後に

OUやアカウント単位でアタッチ出来るSCP数は5個ですが、そもそもアタッチ出来るSCPが2,000個も作成出来れば更に柔軟な権限管理を行えるはずです。ただ、作成し過ぎると管理も大変なので適度に棚卸しは行いたいですね。

本記事がどなたかのお役に立てれば幸いです。

以上、べこみんでした。

Share this article

facebook logohatena logotwitter logo

関連記事

AWS Organizations のRoot access management を使ってすべてのアクセスを拒否したS3 バケットを復旧させてみた

AWS Organizations のRoot access management を使ってすべてのアクセスを拒否したS3 バケットを復旧させてみた

User avatar
あしざわ
2024.11.18
[アップデート]待望!管理アカウントでメンバーアカウントのルートユーザ操作禁止などが設定できるRoot access managementがリリースされました!

[アップデート]待望!管理アカウントでメンバーアカウントのルートユーザ操作禁止などが設定できるRoot access managementがリリースされました!

User avatar
佐藤智樹
2024.11.16
[アップデート]Organizationsでの新たなる統制、Resource Control Policies (RCPs)がリリースされました!

[アップデート]Organizationsでの新たなる統制、Resource Control Policies (RCPs)がリリースされました!

User avatar
佐藤智樹
2024.11.15
AWS OrganizationsのOUおよび各アカウントに直接アタッチされているSCPの一覧をAWS CLIで出力する

AWS OrganizationsのOUおよび各アカウントに直接アタッチされているSCPの一覧をAWS CLIで出力する

User avatar
平井裕二
2024.10.29
Classmethod's white logo
Facebook's logo
X's logo
YouTube's logo

© Classmethod, Inc. All rights reserved.