LoginSignup
3
0

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?

AIエージェントの知見を共有しよう!
@MetaYuan(コツコツ エン)

【簡単AWS】【AWS Organizations】AWS Organizations の SCP(Service Control Policy)とは?

Posted at

✨ はじめに

AWS Organizations では、複数の AWS アカウントを統合管理できます。その中で、組織全体のアクセス制御を行うために SCP(Service Control Policy:サービスコントロールポリシー) という機能が提供されています。

本記事では、SCP の基本概念、用途、IAM ポリシーとの違い、具体的な活用例を解説します。

✨ 1. SCP とは?

SCP は AWS Organizations 内の アカウントや組織単位(OU)に対して適用されるポリシー であり、IAM ユーザー、IAM ロール、Root ユーザーを含めた AWS アカウント全体のアクセス制御を行う ための仕組みです。

✅ SCP の特徴

  • SCP 自体は権限を付与しない(制限のみを行う)
  • 組織内の AWS アカウント全体に適用される
  • Root ユーザーの操作も制限可能
  • IAM ポリシーと組み合わせて細かくアクセス制御を設定可能

SCP を適切に活用することで、組織全体のセキュリティ管理を強化できます。

✨ 2. SCP の適用シナリオ

特定の AWS サービスのみを許可する

特定の AWS アカウントでは、利用できる AWS サービスを制限したい場合があります。例えば、「EC2 と S3 のみを許可し、それ以外は禁止する」場合、以下の SCP を適用できます。

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Deny",
      "NotAction": [
        "ec2:*",
        "s3:*"
      ],
      "Resource": "*"
    }
  ]
}

重要なリソースの削除を防ぐ

例えば、誤って S3 バケットを削除するのを防ぐため、以下の SCP を設定できます。

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Deny",
      "Action": "s3:DeleteBucket",
      "Resource": "*"
    }
  ]
}

Root ユーザーのリスクを低減する

Root ユーザーによるアカウントの削除などのリスクを回避するために、SCP で制限をかけることが可能です。

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Deny",
      "Action": "aws-portal:CloseAccount",
      "Resource": "*"
    }
  ]
}

このように、SCP を活用することで、誤操作や不正アクセスのリスクを低減できます。

✨ 3. SCP の適用範囲と継承ルール

AWS Organizations の SCP は、階層構造で適用されます。

Root(組織全体)
  ├── OU A(Root の SCP を継承)
  │    ├── アカウント A1(OU A の SCP を継承)
  │    ├── アカウント A2(OU A の SCP を継承)
  │
  ├── OU B(Root の SCP を継承)
       ├── アカウント B1(OU B の SCP を継承)
       ├── アカウント B2(OU B の SCP を継承)

✅ Root に適用した SCP は、すべての OU・アカウントに影響を与えます。
✅ OU に SCP を適用すると、その配下のすべてのアカウントに継承されます。
✅ IAM ポリシーと組み合わせることで、柔軟なアクセス管理が可能です。

✨ 4. SCP と IAM ポリシーの違い

項目 SCP(サービスコントロールポリシー) IAM ポリシー
適用範囲 AWS Organizations(組織全体) AWS アカウント内
影響対象 アカウント全体(Root ユーザー含む) IAM ユーザー、IAM ロール
権限の管理 制限のみ(権限付与は不可) 権限の付与・制限が可能
Root ユーザーへの影響 ✅ 制限可能 ❌ 影響なし
主な用途 組織単位でのアクセス制御 アカウント内部の詳細な権限管理

SCP は AWS アカウント全体の最大権限を制御し、IAM は個々のリソースへのアクセスを制御するものです。

✨ 5. SCP の注意点

  1. SCP は権限を付与せず、制限のみを行う。 IAM で許可されていない操作は SCP で制限されていなくても実行できない。
  2. Root ユーザーにも適用される。 誤って Root ユーザーの操作をすべてブロックしないように注意。
  3. SCP のデフォルト設定ではすべての操作が許可される。 何も設定しない場合、制限はかからない。
  4. AWS Organizations 内でのみ利用可能。 個別の AWS アカウントでは SCP は利用不可。
  5. 適用範囲をよく確認する。 誤った SCP 設定が組織全体に影響を与える可能性があるため、事前テストを推奨。

✨ 6. まとめ

SCP(サービスコントロールポリシー)は AWS Organizations で AWS アカウントのアクセス制限を行うためのポリシー です。
✅ SCP を使うと、IAM ポリシーだけでは制御できない Root ユーザーの権限制限も可能 です。
特定の AWS サービスの利用制限、重要なリソースの削除防止、Root ユーザーのリスク低減 などに役立ちます。
✅ SCP と IAM ポリシーを組み合わせることで、より厳密なアクセス制御が可能になります。

AWS Organizations を活用する際は、ぜひ SCP を適切に設定し、セキュリティを強化しましょう!💡

3
0
0

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
  3. You can use dark theme
What you can do with signing up
Sign upLogin
3
0

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?