社内のAWSアカウント管理を行うことになりました。
標準的なSCP(サービスコントロールポリシー)を作成したので、記事にします。
サンドボックスOUに付与したSCPになります。
1はセキュリティ強化と管理を楽にするため
2~4は費用の適正化のため
1、利用リージョンの制限
以下の利用リージョンに制限する
・東京(ap-northeast-1)
・大阪(ap-northeast-3)
・バージニア北部(us-east-1)
・オハイオ(us-east-2)
・オレゴン(us-west-2)
{ "Version": "2012-10-17", "Statement": [ { "Sid": "denyRegion", "Effect": "Deny", "Action": [ "*" ], "Resource": [ "*" ], "Condition": { "StringNotEquals": { "aws:RequestedRegion": [ "ap-northeast-1", "ap-northeast-3", "us-east-1", "us-east-2", "us-west-1" ] } } } ] }
2、RDSのインスタンスクラスを制限する
個別に記事にしたので、以下に記載しています rikues2012.hatenablog.com
3、EC2のインスタンスタイプを制限する
以下のインスタンスタイプに制限する
・t2:nano、micro、small
・t3:nano、micro、small
・t4g:nano、micro、small
{ "Version": "2012-10-17", "Statement": [ { "Sid": "RequireMicroInstanceType", "Effect": "Deny", "Action": "ec2:RunInstances", "Resource": [ "arn:aws:ec2:*:*:instance/*" ], "Condition": { "StringNotEquals": { "ec2:InstanceType": [ "t2.nano", "t2.micro", "t2.small", "t3.nano", "t3.micro", "t3.small", "t4g.nano", "t4g.micro", "t4g.small" ] } } } ] }
4、サービス利用を制限する
利用料が高いもの&弊社では利用しないサービスに限定しました
以下のサービスを利用不可にする
・Braket(量子アルゴリズム)
・CloudHSM
・DeepRacer、DeepComposer、DeepLens
・Shield
・Show Family
・Storage Gateway
・R53(ドメイン購入操作)
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Deny", "Action": [ "braket:*", "cloudhsm:*", "deepracer:*", "deepcomposer:*", "deeplens:*", "shield:*", "snowball:*", "snow-device-management:*", "storagegateway:*", "route53domains:*" ], "Resource": "*" } ] }
全サービスで400以上?あるので全ては精査できていないです。
もっと利用制限した方が良いサービスはあると思いますが、まずは上記としました。
Shield(Advanced)は年契約してしまうと500万ぐらいかかるので、制限したほうが良いです。
【参考サイト】
blog.serverworks.co.jp