-
AWS Organizationsのサービスコントロールポリシー(SCP)で組織内(OU)のアカウントの権限を制限する
サービスコントロールポリシー(SCP)とは OrganizationsのOU内のアカウントに対して権限を制限できる機能です。 サービスコントロールポリシーとIAMポリシーの両方で許可されたポリシーのみ実行することができます。 今回は下記リンク中の「例: リクエストされたAWSリージョンに基づいて へ[…続きを読む]
-
AWS 別アカウントのS3にアクセスする
今回のゴール 別アカウントのS3にアクセスする方法は下記の3つの方法があります。 バケットポリシーとIAMポリシー(プログラムアクセス) バケットACL+オブジェクトACLとIAMポリシー(プログラムアクセス) クロスアカウントIAMロール(プログラムとコンソールアクセス) 今回はクロスアカウントI[…続きを読む]
-
AWS Configルールの修復アクションでセキュリティグループのSSH・RDPパブリック公開ルールを自動削除する
経緯 Configルールの修復機能で使えそうなパターンなのでやってみました。 設定 IAMポリシーの作成 セキュリティポリシーから指定されたルールを削除するポリシー(RevokeSecurityGroupIngress)を作成します。 IAMサービスより、[ポリシー]メニューを選択して「ポリシーの作[…続きを読む]
-
AWS Organizationsで複数アカウントのConfigデータを集約して表示する
今回のゴール 今回はAWS Organizationの機能とConfigのアグリゲータ機能を使って全てのAWSアカウントのConfig情報を集約して表示します。 アグリゲータ機能はConfig情報を集約する機能ですので、Configルールは各アカウント内で設定する必要があります。 設定 Organi[…続きを読む]
-
AWS Configルールを使用してAWSリソースの設定がルールに準拠しているかチェックする
AWS Configルールとは Configルールを設定すると、そのルールに準拠しているかどうかチェックすることができます。(さらにそこから修復することもできます。) Configルールには、 マネージドルール(AWSであらかじめ用意されている) カスタムルール(独自に作成(Lambda関数に記述)[…続きを読む]
-
AWS Configでリソースの設定履歴を保存する
AWS Configとは AWSリソースやサーバー(EC2・オンプレサーバー)の設定内容の履歴を保存するサービスです。 また、Configルールという機能があり、設定がルールに準拠しているかチェックすることができます。(非準拠のリソースに対して修復アクションを実施することもできます。) 変更履歴・設[…続きを読む]
-
AWS S3のオブジェクトレベルのログをAthenaで解析
経緯 CloudTrailやS3のアクセスログは細かく分割されているので大量のファイルを1つずつファイルを開いて解析することは困難です。 そこで今回はAthenaを使ってCloudTrailのログをテーブル化してqueryをつかって解析していきたいと思います。 設定 Athenaテーブルの作成 Cl[…続きを読む]