サービスコントロールポリシーを使用して、アカウントレベルでのインターネットアクセスを防止する - AWS 規範ガイダンス
概要前提条件と制限ツールベストプラクティスエピック関連リソース

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

サービスコントロールポリシーを使用して、アカウントレベルでのインターネットアクセスを防止する

Amazon Web Services、Sergiy Shevchenko、Sean O'Sullivan、Victor Mazeo Whitaker

概要

組織は、プライベートのまま維持すべきアカウントリソースに対して、インターネットアクセスを制限したいと考えることがよくあります。これらのアカウントでは、仮想プライベートクラウド (VPC) のリソースは、いかなる方法でもインターネットにアクセスするべきではありません。多くの組織は、一元化された検査アーキテクチャを選択します。一元的な検査アーキテクチャの東西 (VPC–to–VPC) トラフィックに対しては、確実にスポークアカウントとそのリソースがインターネットにアクセスできないようにする必要があります。南北 (インターネット出力とオンプレミス) トラフィックの場合、検査 VPC を介してのみインターネットアクセスを許可する必要があります。

このパターンでは、サービスコントロールポリシー (SCP) を使用してインターネットアクセスを防止します。この SCP は、アカウントまたは組織単位 (OU) レベルで適用できます。SCP は、以下を防ぐことでインターネット接続を制限します。

  • VPC への直接インターネットアクセスを許可する IPv4 または IPv6 インターネットゲートウェイの作成またはアタッチ

  • 別の VPC を介した間接的なインターネットアクセスを許可する可能性のある VPC ピアリング接続の作成または受け入れ

  • VPC リソースへの直接インターネットアクセスを許可する可能性のある AWS Global Accelerator 設定の作成または更新

前提条件と制限

前提条件

制限事項

  • SCP は、管理アカウントのユーザーやロールには影響を与えません。SCP は、組織内のメンバーアカウントにのみ影響を与えます。

  • SCPs組織の一部であるアカウントによって管理される AWS Identity and Access Management (IAM) ユーザーとロールにのみ影響します。詳細については、「許可に対する SCP の影響」を参照してください。

ツール

AWS サービス

  • AWS Organizations は、作成して一元管理する AWS アカウント 組織に複数の を統合するのに役立つアカウント管理サービスです。このパターンでは、 AWS Organizationsでサービスコントロールポリシー (SCP) を使用します。

  • Amazon Virtual Private Cloud (Amazon VPC) は、定義した仮想ネットワークに AWS リソースを起動するのに役立ちます。この仮想ネットワークは、ユーザー自身のデータセンターで運用されていた従来のネットワークと似ていますが、 AWSのスケーラブルなインフラストラクチャを使用できるという利点があります。

ベストプラクティス

組織でこの SCP を確立したら、インターネットアクセスに影響を与える AWS のサービス 可能性のある新機能に対処するために、頻繁に更新してください。

エピック

タスク説明必要なスキル

SCP を作成します。

  1. AWS Organizations コンソール にサインインします。組織の管理アカウントにサインインします。

  2. 左のペインの [ポリシー] を選択します。

  3. [ポリシー] ページで、[サービスコントロールポリシー] を選択します。

  4. サービスコントロールポリシーページで、[Create policy] (ポリシーの作成) を選択します。

  5. [新しいサービスコントロールポリシーを作成] ページで、ポリシー名とオプションでポリシーの説明を入力します。

  6. (オプション) ポータルに AWS タグを追加します。

  7. JSON エディタで、プレースホルダーポリシーを削除します。

  8. 以下の ポリシーを JSON エディタに貼り付けます。

    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Action": [
        "ec2:AttachInternetGateway",
        "ec2:CreateInternetGateway",        
        "ec2:CreateVpcPeeringConnection",
        "ec2:AcceptVpcPeeringConnection",
        "ec2:CreateEgressOnlyInternetGateway"
      ],
      "Resource": "*",
      "Effect": "Deny"
    },
    {
      "Action": [
        "globalaccelerator:Create*",
        "globalaccelerator:Update*"
      ],
      "Resource": "*",
      "Effect": "Deny"
    }
  ]
}

  9. [Create policy] (ポリシーの作成) を選択します。

AWS 管理者

SCP をアタッチします。

  1. [サービスコントロールポリシー] ページで作成したポリシーを選択します。

  2. [Targets] (ターゲット) タブで [Attach] (アタッチ) を選択します。

  3. ポリシーをアタッチする OU またはアカウントを選択します。場合によっては、目的の OU またはアカウントを表示するため、OU を展開する必要があります。

  4. ポリシーの添付 を選択します。

AWS 管理者

関連リソース