AWS Organizations連携サービス最新情報＆セットアップのコツ 第18回 AWS Organizations関連の注目の最新アップデート

画像提供：マイナビニュース

●
はじめに

今回は、昨年12月に開催されたAWS re:Invent 2024付近で発表されたアップデートのうち、AWS Organizations関連で注目すべき内容を紹介します。実のところ、re:Inventでは、注目すべきアップデートは発表されず、その直前に以下の2つの大きな機能アップデートの発表がありました。

リソースコントロールポリシー
宣言型ポリシー

これらはいずれもAWS OrganizationsレベルでAWS利用者の操作制限を行うための機能です。これまでもサービスコントロールポリシー（SCP）で操作制限が可能でしたが、新たにリソースコントロールポリシーと宣言型ポリシーが選択することが可能となりました。似たような機能であることから、AWSの公式ドキュメントにも使い分けに関する説明がされております。わかりやすく違いがまとまっているため、一部抜粋を本稿でも引用します。

ユースケースが少々イメージしにくいと思うので、よくありうると考えられるユースケースも補足します。
サービスコントロールポリシーのユースケース

利用可能なリージョンを限定する、利用可能なサービスを限定する
リソースコントロールポリシーのユースケース

S3へのアクセスはVPCエンドポイント経由に制限する、（対応済みの）AWSサービスへのアクセスはHTTPSに限定する
宣言型ポリシーのユースケース

VPC内からのインターネット接続を禁止する、AMIのパブリックアクセスを禁止する

本稿では、新たな機能であるリソースコントロールポリシーと宣言型ポリシーの具体的な利用方法を詳しく紹介します。
Organizationsのポリシー

初めに、Organizationsレベルで利用可能な7つのポリシーを紹介します。

個人的に注目した個所を太字にしました。まず、宣言型ポリシーが管理アカウントへも有効であることは1つ注目です。これまではこうしたアクセス制限に関するポリシーは誤設定への対応のためか、管理アカウントに対する制限は無効化されていました。しかし宣言型ポリシーは管理アカウントにも適用されるため、注意が必要です。

またリリースしたばかりであるからか、リソースコントロールポリシーと宣言型ポリシーはまだ委任管理には対応していません。そのため、利用時には管理アカウントでの操作が必要となってしまいます。こちらも注意が必要な点でしょう。
リソースコントロールポリシー