LoginSignup
2
2

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?

More than 3 years have passed since last update.

@kabik(Kengo Kajiwara)in株式会社Works Human Intelligence

特定のOUからのイベントを受け取るEvent busのポリシーを書く

Posted at

はじめに

AWS ConfigなどをOU(Organization Unit)以下にデプロイし、通知をChatbotで設定する際、Event busにOU内の他のアカウントからのイベントを受け取るポリシーを書く必要があります。
(そうしないとすべてのアカウントでChatbotを設定しないといけないため)

下図のようなイメージです。

archi.png

OUが追加された時にポリシーを書き変えるのは骨なのでなんとかしたいです。

結論

Event busのポリシーの Condition を次のようにすればいけます。

o-1122334455 は Organization ID、ou-1, ou-2 はOUのIDです。

"Condition":{
	"ForAnyValue:StringLike":{
		"aws:PrincipalOrgPaths":[
		  "o-1122334455/*/ou-1/",
		  "o-1122334455/*/ou-2/"
		]
	}
}

参考1 より

余談1

参考1 によると、

  • Organization ID はユニーク
  • Root ID はユニークじゃない(Organization内ではユニーク)
  • OU ID はユニークじゃない(Organization内ではユニーク)

らしいです。

なのでOUを一意に指定したい時は Organization ID と OU ID の両方が必要になります。

余談2

最初この資料を見てできないと思ってましたがなんとか参考1の情報を見つけました。自分を褒めたいです。

参考

  1. https://aws.amazon.com/jp/blogs/security/iam-share-aws-resources-groups-aws-accounts-aws-organizations/

終わりに

バケットポリシー、IAMポリシーなどのポリシー系はこの書き方が使える(らしい)のでOUが設定されている環境ではガンガン使っていきましょう!

検証済み

  • バケットポリシー
  • Event busポリシー

(他は未検証)

2
2
0

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
  3. You can use dark theme
What you can do with signing up
Sign upLogin
2
2

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?