社内のAWSアカウント管理を行うことになりました。
標準的なSCP(サービスコントロールポリシー)を作成したので、記事にします。
サンドボックスOUに付与したSCPになります。
1はセキュリティ強化と管理を楽にするため
2~4は費用の適正化のため
1、利用リージョンの制限
以下の利用リージョンに制限する
・東京(ap-northeast-1)
・大阪(ap-northeast-3)
・バージニア北部(us-east-1)
・オハイオ(us-east-2)
・オレゴン(us-west-2)
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "denyRegion",
"Effect": "Deny",
"Action": [
"*"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"aws:RequestedRegion": [
"ap-northeast-1",
"ap-northeast-3",
"us-east-1",
"us-east-2",
"us-west-1"
]
}
}
}
]
}
2、RDSのインスタンスクラスを制限する
個別に記事にしたので、以下に記載しています rikues2012.hatenablog.com
3、EC2のインスタンスタイプを制限する
以下のインスタンスタイプに制限する
・t2:nano、micro、small
・t3:nano、micro、small
・t4g:nano、micro、small
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "RequireMicroInstanceType",
"Effect": "Deny",
"Action": "ec2:RunInstances",
"Resource": [
"arn:aws:ec2:*:*:instance/*"
],
"Condition": {
"StringNotEquals": {
"ec2:InstanceType": [
"t2.nano",
"t2.micro",
"t2.small",
"t3.nano",
"t3.micro",
"t3.small",
"t4g.nano",
"t4g.micro",
"t4g.small"
]
}
}
}
]
}
4、サービス利用を制限する
利用料が高いもの&弊社では利用しないサービスに限定しました
以下のサービスを利用不可にする
・Braket(量子アルゴリズム)
・CloudHSM
・DeepRacer、DeepComposer、DeepLens
・Shield
・Show Family
・Storage Gateway
・R53(ドメイン購入操作)
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Deny",
"Action": [
"braket:*",
"cloudhsm:*",
"deepracer:*",
"deepcomposer:*",
"deeplens:*",
"shield:*",
"snowball:*",
"snow-device-management:*",
"storagegateway:*",
"route53domains:*"
],
"Resource": "*"
}
]
}
全サービスで400以上?あるので全ては精査できていないです。
もっと利用制限した方が良いサービスはあると思いますが、まずは上記としました。
Shield(Advanced)は年契約してしまうと500万ぐらいかかるので、制限したほうが良いです。
【参考サイト】
blog.serverworks.co.jp
