AWS Organizations連携サービス最新情報＆セットアップのコツ 第18回 AWS Organizations関連の注目の最新アップデート

本記事ではリソースコントロールポリシーの実例としてS3バケットへのアクセスをVPCエンドポイント経由のみとするユースケースを紹介しましたが、実案件で厳密にアクセス制御をする際にはS3バケット毎に個別のバケットポリシーを設定することも多く、今回のように横断的に同一の設定をするケースは少ないかと思います。また現時点では完全に他のサービスとの整合性も取れていないケースも散見されます。例えば筆者の環境では、リソースコントロールポリシーで「”aws:PrincipalIsAWSService”: “false”」を指定していても、リソースコントロールポリシーを適用したとたんにSecurityLakeの機能が動作しなくなるという事象も見られました。

宣言型ポリシーについても、少し片手落ち感はあり、上述したインスタンスメタデータのように、宣言型ポリシーのみで操作を禁止できないケースもあります。

ですので、現時点では積極的にこれらの機能を使うというよりも、使えそうなケースがあれば利用していくというスタンスを取るのが良いのではないかと考えています。

ただし、筆者は同時にこれらの機能に大変期待を感じています。これまではアクセス制御を行う方法として、IAMの負担が多く、様々なプロジェクト要件を満たすために、複雑怪奇なIAMポリシー（やサービスコントロールポリシー）が生み出されていることも多かったと感じています。その一部負担をリソースコントロールポリシーや宣言型ポリシーが担ってくれることに大きな期待も感じています。今後に機能追加や修正がされ、本番プロジェクトでも利用できるレベルとなれば、まずは宣言型ポリシーで制御を行い、その後はサービスコントロールポリシーやリソースコントロールポリシーで制御を行うという形がベストになるのではと感じています。
まとめ

今回は、Organizationsの新たな機能であるリソースコントロールポリシーと宣言型ポリシーの具体的な利用方法を詳しく紹介しました。本稿がOrganizations配下のAWSアカウントの運用管理のお役に立てば幸いです。

奥村康晃 おくむらやすあき NTTデータ入社以来、クラウドサービスのAPIを連携させることで効率的な管理を可能とするクラウド管理プラットフォームの開発に従事。現在では、クラウド導入の技術コンサルや組織での技術戦略立案にも携わる。 2023 Japan AWS Ambassadors受賞 この著者の記事一覧はこちら
（奥村康晃）