ablog

不器用で落着きのない技術者のメモ

AWS Organizations の Service Control Policy でアカウントの権限を限定する

AWS Organizations の Service Control Policy(SCP) でAWSアカウントに対する Internet Gateway(IGW) の作成とアタッチ(ec2:AttachInternetGateway、ec2:CreateInternetGateway)を禁止し、禁止したアカウントで IGW を作成できないことを確認してみた。

Organization Unit(OU) を作成する

  • AWSマネジメントコンソールにログインする。
  • 右上のアカウント名から[自分の組織]を選択する。

  • [アカウントの整理]を選択し、[新規組織単位]をクリックする。

  • OU名を入力し、[組織単位の作成]をクリックする。

AWSアカウントを OU に所属させる

  • OUに所属させるアカウントをチェックし、[移動]をクリックする。

  • 移動先の OU を選択し、[移動]をクリックする。

  • OUをクリックすると、 アカウントが指定した OU に所属している。

Service Control Policy を作成する

  • [ポリシー]を選択し、[ポリシーの作成]をクリックする。

  • [ポリシージェネレーター]を選択し、ポリシーを定義して、[ポリシーの作成]をクリックする。

  • [組織の整理]で OU を選択し、右ペインで[サービスコトロールポリシー]を選択し、[アタッチ]をクリックする。

  • ポリシーエディタで定義を確認すると以下の通り。
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "Stmt1535819596000",
            "Effect": "Deny",
            "Action": [
                "ec2:AttachInternetGateway",
                "ec2:CreateInternetGateway"
            ],
            "Resource": [
                "*"
            ]
        }
    ]
}

Service Control Policy が効いていることを確認する

  • Internet Gateway の作成とアタッチを禁止したアカウントで、Internet Gateway を作成しようとすると失敗する。