AWS Organizations連携サービス最新情報＆セットアップのコツ 第18回 AWS Organizations関連の注目の最新アップデート

上記のコードはVPCエンドポイント経由での接続以外を全て拒否する設定としており、IAM Identity CenterのAdministratorAcessの権限セットを付与されているユーザとAWSサービス内の処理は例外として除外しています。

（3）サイドメニューのAWSアカウントをクリックします。
（4）今回は以下のようなOU構造の組織に対して適用を行うこととします。この中からSystemsManagerというOUを選択します。

（5）「ポリシー」タブを開き、リソースコントロールポリシーの「アタッチ」ボタンをクリックします。

（6）先ほど作成したリソースコントロールポリシーを選択し、「ポリシーのアタッチ」ボタンをクリックします。

リソースコントロールポリシーの動作確認

上記で設定は完了です。それでは実際の動作について確認していきましょう。まずはテスト用のS3バケットを作成します。初期状態は下記のようにバケットポリシーを何も記載していません。

例外で許可されているIAM Identity CenterのAdministratorAccessの権限セットのユーザでログインすると以下のようにS3バケットの中身が表示できます。

しかし、AmazonSSMRoleForInstancesQuickSetupがインスタンスプロファイルとして設定しているEC2インスタンスから以下のコマンドを叩くと、アクセス拒否のエラーが表示されており、正しくアクセス制御ができていることが確認できました。 ※AmazonSSMRoleForInstancesQuickSetupにはS3の操作権限も事前に付与してある前提です。

aws s3 ls s3://テスト用のバケット

An error occurred (AccessDenied) when calling the ListObjectsV2 operation: User: arn:aws:sts::アカウントID:assumed-role/AmazonSSMRoleForInstancesQuickSetup/i-0e7096f9ee1701187 is not authorized to perform: s3:ListBucket on resource: "arn:aws:s3:::テスト用のバケット" with an explicit deny in a resource control policy