AWS Organizations連携サービス最新情報＆セットアップのコツ 第18回 AWS Organizations関連の注目の最新アップデート

それでは、リソースコントロールポリシーと宣言型ポリシーの具体的な利用方法について紹介していきましょう。
リソースコントロールポリシーの有効化

前述の通り、リソースコントロールポリシーは委任管理に対応していないため、以下の操作を管理アカウントで行います。

（1）Organizationsの画面へ遷移します。
（2）サイドメニューの「ポリシー」をクリックします。
（3）「RCPを有効にする」ボタンをクリックします。

（4）正常に有効化され、下記画面が表示されることを確認します。

リソースコントロールポリシーの具体的な設定

本稿執筆時点で、リソースコントロールポリシーで制御可能なAWSサービスは以下の5つです。

Amazon S3
AWS Security Token Service
AWS Key Management Service
Amazon SQS
AWS Secrets Manager

上記のAWSサービスの場合、まずはS3での利用を検討することが多いと思います。本稿ではエンタープライズでのセキュリティ対策の一つとして実施されることが多い「S3へのアクセスはVPCエンドポイントに限定する」という制御を行う例を説明します。

これまで、このような制御をする際には、AWS Configのカスタムルールを実装して対処することが多かったと思います。ですが、その場合はアクセスを強制的にDenyすることはできず、あくまでルールを逸脱しているS3バケットを見つける受け身的なチェックとなってしまっていました。

リソースコントロールポリシーを利用することで、S3バケットのバケットポリシーがどのような状態であっても、VPCエンドポイント経由以外のアクセスをDenyすることが可能になります。

以下が具合的な設定手順です。

（1）リソースコントロールポリシーの画面で「ポリシーを作成」ボタンをクリックします。

（2）ポリシー名と説明を入力し、以下のjsonを入力し、「ポリシーを作成」ボタンをクリックします。

{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Deny",
"Principal": "*",
"Action": "s3:*",
"Resource": "*",
"Condition": {
"StringNotLike": {
"aws:SourceVpce": "vpce-*"
},
"ArnNotLike": {
"aws:PrincipalArn": "arn:aws:iam::*:role/aws-reserved/sso.amazonaws.com/ap-northeast-1/AWSReservedSSO_AdministratorAccess_*"
},
"BoolIfExists": {
"aws:PrincipalIsAWSService": "false"
}
}
}
]
}