AWS Organizations 内のアカウントに対して、リソースやサービスのアクセス制限を定義するためのポリシーです。SCPを使用することで、組織内のアカウントが使用できるAWSサービスやアクションに対する制限を適用し、セキュリティとコンプライアンスを強化することができます。
SCPの概要
- SCP(Service Control Policies)は、AWS Organizations 内で、アカウントや組織単位(OU)に対して適用される制限です。SCPは、AWSアカウントの操作可能なサービスやアクションを制御します
- SCPは、個々のアカウントが実行できるアクションを制限するものであり、アカウントのIAMポリシーと組み合わせて動作します。つまり、IAMポリシーでアクセスが許可されている場合でも、SCPでそのアクセスを制限することができます
SCPの適用対象
- 組織単位(OU): 組織単位にSCPを適用すると、そのOUに属するすべてのアカウントに対してポリシーが適用されます
- 個別のアカウント: SCPを個別のAWSアカウントに適用することもできます
SCPとIAMポリシーの違い
- IAMポリシーは、ユーザーやロールに対してアクセス許可を付与するもので、特定のサービスやリソースに対するアクセス権限を制御します
- SCPは、組織単位またはアカウントに対して、どのサービスやアクションを実行できるかを制限します。SCPは、IAMポリシーで許可されたアクションを制限する役割を果たします
SCPの注意点
- デフォルトで許可: SCPはデフォルトではすべてのアクションを許可します。したがって、特定のアクションを禁止する場合は、明示的にそのアクションを拒否するポリシーを作成する必要があります
- 最小限の権限の原則: SCPを使用することで、組織全体のアクセス権限を制御し、最小限の権限を提供することが可能です
まとめ
- AWSのService Control Policies (SCP) は、AWS Organizations内でリソースのアクセス制御を管理するための重要なツールです。SCPを使うことで、組織内のアカウントが使用できるサービスやアクションを制限し、セキュリティやコンプライアンスを強化することができます。また、IAMポリシーと組み合わせて、より細かいアクセス管理を行うことが可能になります