サービスコントロールポリシーを使用して、アカウントレベルでのインターネットアクセスを防止する - AWS 規範ガイダンス
[概要]前提条件と制限ツールベストプラクティスエピック関連リソース

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

サービスコントロールポリシーを使用して、アカウントレベルでのインターネットアクセスを防止する

作成者: Sergiy Shevchenko (AWS)、Sean O'Sullivan (AWS)、Victor Mazeo Whitaker (AWS)

環境:PoC またはパイロット

テクノロジー: セキュリティ、アイデンティティ、コンプライアンス、ネットワーク

AWS サービス: AWS Organizations

[概要]

組織は、プライベートなままにしておくべきアカウントリソースのインターネットアクセスを制限したいと頻繁に考えています。これらのアカウントでは、仮想プライベートクラウド (VPCs) のリソースは、いかなる方法によってもインターネットにアクセスすべきではありません。多くの組織は、一元的な検査アーキテクチャ を選択します。一元的な検査アーキテクチャの東西 (VPCツーVPC) トラフィックでは、スポークアカウントとそのリソースがインターネットにアクセスできないことを確認する必要があります。南北 (インターネットエグレスおよびオンプレミス) トラフィックの場合、検査 を通じてのみインターネットアクセスを許可する必要がありますVPC。

このパターンでは、サービスコントロールポリシー (SCP) を使用してインターネットアクセスを防止します。これは、SCPアカウントまたは組織単位 (OU) レベルで適用できます。は、以下を防ぐことでインターネット接続SCPを制限します。

  • への直接インターネットアクセスを許可する またはインターネットIPv4IPv6ゲートウェイの作成またはアタッチ VPC

  • 別の を介した間接的なインターネットアクセスを許可する可能性のあるVPCピアリング接続の作成または承諾 VPC

  • VPC リソースへの直接インターネットアクセスを許可するAWS Global Accelerator設定の作成または更新

前提条件と制限

前提条件

制約事項

  • SCPs 管理アカウントのユーザーまたはロールには影響しません。SCP は、組織内のメンバーアカウントにのみ影響を与えます。

  • SCPs は、組織の一部であるアカウントによって管理されている AWS Identity and Access Management (IAM) ユーザーとロールにのみ影響します。詳細については、SCP「 アクセス許可への影響」を参照してください。

ツール

AWS サービス

  • AWS Organizations は、複数の AWS アカウント を、作成して一元管理している組織に統合するのに役立つアカウント管理サービスです。このパターンでは、 でサービスコントロールポリシー (SCPs) を使用します AWS Organizations。

  • Amazon Virtual Private Cloud (Amazon VPC) は、定義した仮想ネットワークに AWS リソースを起動するのに役立ちます。この仮想ネットワークは、ユーザー自身のデータセンターで運用されていた従来のネットワークと似ていますが、 AWSのスケーラブルなインフラストラクチャを使用できるという利点があります。

ベストプラクティス

組織SCPでこれを確立したら、インターネットアクセスに影響を与える可能性のある新機能 AWS のサービス に対処するために、頻繁に更新してください。

エピック

タスク説明必要なスキル

を作成しますSCP。

  1. AWS Organizations コンソール にサインインします。組織の管理アカウントにサインインする必要があります。

  2. 左側のペインで、ポリシー を選択します。

  3. ポリシーページで、サービスコントロールポリシー を選択します。

  4. サービスコントロールポリシーページで、[Create policy] (ポリシーの作成) を選択します。

  5. 新しいサービスコントロールポリシーの作成ページで、ポリシー名 とオプションのポリシーの説明 を入力します。

  6. (オプション) ポリシーにAWS タグを追加します。

  7. JSON エディタで、プレースホルダーポリシーを削除します。

  8. 次のポリシーをJSONエディタに貼り付けます。

    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Action": [
        "ec2:AttachInternetGateway",
        "ec2:CreateInternetGateway",        
        "ec2:CreateVpcPeeringConnection",
        "ec2:AcceptVpcPeeringConnection",
        "ec2:CreateEgressOnlyInternetGateway"
      ],
      "Resource": "*",
      "Effect": "Deny"
    },
    {
      "Action": [
        "globalaccelerator:Create*",
        "globalaccelerator:Update*"
      ],
      "Resource": "*",
      "Effect": "Deny"
    }
  ]
}

  9. [Create policy] を選択します。

AWS 管理者

をアタッチしますSCP。

  1. サービスコントロールポリシーページで、作成したポリシーを選択します。

  2. [Targets] (ターゲット) タブで [Attach] (アタッチ) を選択します。

  3. ポリシーをアタッチする OU またはアカウントを選択します。必要な OU またはアカウントを見つけるOUsには、 を展開する必要がある場合があります。

  4. Attach policy] (ポリシーのアタッチ) を選択します。

AWS 管理者

関連リソース