翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
サービスコントロールポリシーを使用して、アカウントレベルでのインターネットアクセスを防止する
Sergiy Shevchenko、Sean O'Sullivan、Victor Mazeo Whitaker、Amazon Web Services
概要
組織は、プライベートにしておくべきアカウントリソースのインターネットアクセスを頻繁に制限したいと考えています。これらのアカウントでは、Virtual Private Cloud (VPCs) のリソースは、いかなる方法でもインターネットにアクセスしないでください。多くの組織は、一元化された検査アーキテクチャ
このパターンでは、サービスコントロールポリシー (SCP) を使用してインターネットアクセスを防止します。この SCP は、アカウントまたは組織単位 (OU) レベルで適用できます。SCP は、以下を防止することでインターネット接続を制限します。
VPC への直接インターネットアクセスを許可する IPv4 または IPv6 インターネットゲートウェイの作成またはアタッチ
別の VPC を介した間接的なインターネットアクセスを許可する可能性のある VPC ピアリング接続を作成または受け入れる
VPC リソースへの直接インターネットアクセスを許可する可能性のあるAWS Global Accelerator設定の作成または更新
前提条件と制限
前提条件
組織として AWS アカウント 管理される 1 つ以上の AWS Organizations。
すべての機能は で有効になっています AWS Organizations。
SCPsは組織内で有効になっています。
以下のアクセス許可:
組織の管理アカウントにアクセスします。
SCPs。最小アクセス許可の詳細については、「SCP の作成」を参照してください。
SCP をターゲットアカウントまたは組織単位 (OUs。最小アクセス許可の詳細については、「サービスコントロールポリシーのアタッチとデタッチ」を参照してください。
制約事項
SCP は、管理アカウントのユーザーやロールには影響を与えません。SCP は、組織内のメンバーアカウントにのみ影響を与えます。
SCPs組織の一部であるアカウントによって管理される AWS Identity and Access Management (IAM) ユーザーとロールにのみ影響します。詳細については、「許可に対する SCP の影響」を参照してください。
ツール
AWS サービス
AWS Organizations は、作成して一元管理する AWS アカウント 組織に複数の を統合するのに役立つアカウント管理サービスです。このパターンでは、 でサービスコントロールポリシー (SCPsを使用します AWS Organizations。
Amazon Virtual Private Cloud (Amazon VPC) は、定義した仮想ネットワークに AWS リソースを起動するのに役立ちます。この仮想ネットワークは、ユーザー自身のデータセンターで運用されていた従来のネットワークと似ていますが、 AWSのスケーラブルなインフラストラクチャを使用できるという利点があります。
ベストプラクティス
組織でこの SCP を確立したら、インターネットアクセスに影響を与える AWS のサービス 可能性のある新機能に対処するために、頻繁に更新してください。
エピック
| タスク | 説明 | 必要なスキル |
|---|---|---|
SCP を作成します。 |
| AWS 管理者 |
SCP をアタッチします。 |
| AWS 管理者 |
関連リソース
