View a markdown version of this page

EC2 ポリシー - AWS Organizations

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

EC2 ポリシー

EC2 ポリシーを使用すると、組織全体で Amazon EC2、Amazon VPC、Amazon EBS の必要な設定を一元的に宣言して適用できます。一度接続すると、サービスに新しい機能や API が追加されても、設定は常に維持されます。

EC2 ポリシーのカスタムエラーメッセージ

EC2 ポリシーでは、カスタムエラーメッセージを作成できます。たとえば、EC2 ポリシーが原因で API オペレーションが失敗した場合、エラーメッセージを設定するか、内部 Wiki へのリンクや失敗を説明するメッセージへのリンクなどのカスタム URL を指定できます。カスタムエラーメッセージを指定しない場合、 はデフォルトのエラーメッセージ AWS Organizations を提供しますExample: This action is denied due to an organizational policy in effect

EC2 ポリシーの作成、EC2 ポリシーの更新、EC2 ポリシーの削除のプロセスも監査できます AWS CloudTrail。CloudTrail は、EC2 ポリシーによる API オペレーションの失敗にフラグを付けることができます。詳細については、「Logging and monitoring」を参照してください。

重要

カスタムエラーメッセージには、個人を特定できる情報 (PII) やその他の機密情報を含めないでください。PII には、個人を特定または所在を特定するために使用できる一般的な情報が含まれます。財務記録、医療記録、教育関連の記録、雇用に関する記録なども含まれます。PII の例には、住所、銀行口座番号、電話番号などがあります。

EC2 ポリシーのアカウントステータスレポート

アカウントステータスレポートでは、範囲内のアカウントの EC2 ポリシーでサポートされているすべての属性の現在のステータスを確認できます。レポート対象に含めるアカウントや組織単位 (OU) を選択したり、ルートを選択して組織全体を選択したりできます。

このレポートは、リージョンの内訳と、属性の現在の状態がアカウント間で統一されている (numberOfMatchedAccounts 経由) か、一貫性がない (numberOfUnmatchedAccounts 経由) かを示すため、準備状況を評価するのに役立ちます。また、最も頻繁にみられる値を表示することもできます。これは、その属性で最も頻繁に観測される設定値を指します。

図 1 には生成されたアカウントステータスレポートが示されており、次の属性にはアカウント全体で一貫性があることが確認できます: VPC Block Public Access および Image Block Public Access。これは、各属性において、範囲内のすべてのアカウントがその属性に対して同じ設定を持つことを示しています。

生成されたアカウントステータスレポートでは、次の属性に対して一貫性のないアカウントが示されています: Allowed Images Settings、Instance Metadata defaults、Serial Console Access、Snapshot Block Public Access。この例では、各属性に一貫性のないアカウントがあるのは、異なる設定値を持つアカウントが 1 つあることが原因です。

最も頻繁な値が存在する場合、その値が該当する列に表示されます。各属性が制御する内容の詳細については、EC2 ポリシー構文」と「ポリシーの例」を参照してください。

属性を展開して、リージョンの内訳を表示することもできます。この例では、Image Block Public Access が展開されており、各リージョンでアカウント間に一貫性があることも確認できます。

ベースライン設定を適用するための EC2 ポリシーをアタッチする選択は、特定のユースケースによって異なります。アカウントステータスレポートは、EC2 ポリシーをアタッチする前に準備状況を評価するのに役立ちます。

詳細については、「Generating the account status report」を参照してください。

アカウント間で VPC Block Public Access と Image Block Public Access に一貫性があることわかるアカウントステータスレポートの例。

図 1: アカウント間で VPC Block Public Access と Image Block Public Access に一貫性があることわかるアカウントステータスレポートの例。

EC2 ポリシーでサポートされている属性

次の表は、Amazon EC2 関連サービスでサポートされている属性を示しています。

EC2 ポリシー
AWS サービス 属性 ポリシーの効果 ポリシーの内容 詳細情報
Amazon VPC VPC Block Public Access Amazon VPC とサブネットのリソースがインターネットゲートウェイ (IGW) を介してインターネットにアクセスできるかどうかをコントロールします。 ポリシーを表示 詳細については、「Amazon VPC ユーザーガイド」の「VPC とサブネットへのパブリックアクセスをブロックする」を参照してください。
Amazon EC2 Serial Console Access EC2 シリアルコンソールにアクセスできるかどうかをコントロールします。 ポリシーを表示 詳細については、「Amazon Elastic Compute Cloud ユーザーガイド」の「EC2 シリアルコンソールへのアクセスを設定する」を参照してください。
Image Block Public Access Amazon マシンイメージ (AMI) がパブリックに共有可能かどうかをコントロールします。 ポリシーを表示 詳細については、「Amazon Elastic Compute Cloud ユーザーガイド」の「AMI のパブリックアクセスのブロックについて」を参照してください。
Allowed Images Settings 許可された AMI を使用して、Amazon EC2 での Amazon マシンイメージ (AMI) の検出と使用をコントロールします。 ポリシーを表示 詳細については、「Amazon Elastic Compute Cloud ユーザーガイド」の「Amazon マシンイメージ (AMI)」を参照してください。
Instance Metadata Defaults すべての新しい EC2 インスタンス起動で、IMDS のデフォルトをコントロールします。 ポリシーを表示 詳細については、「Amazon Elastic Compute Cloud ユーザーガイド」の「新規インスタンスのインスタンスメタデータオプションの設定」を参照してください。
Amazon EBS Snapshot Block Public Access Amazon EBS スナップショットがパブリックにアクセス可能かどうかをコントロールします。 ポリシーを表示 詳細については、「Amazon Elastic Block Store ユーザーガイド」の「Block public access for Amazon EBS snapshots」を参照してください。