AWS Control Towerのリージョン拒否コントロールとマネジメントコンソールの罠

この記事は AWS Community Builders Advent Calendar 2023 シリーズ2 の22日目の記事となります。 19日目の記事で米澤さんがService Control Policy(SCP)に悩まされた話をしていました。 ※SCP:組織/AWSアカウントレベルでAWS操作を制限できるAWS Organiz…

5分・タブ連打でConfigのカスタムルールが!?AWS RDK + Codewhisperer に9割方作ってもらうカスタムルールコーディング

本記事は、Japan Digital Design Advent Calendar 2023 の18日目の記事です。 adventar.org 三菱UFJフィナンシャル・グループ(以下MUFG)の戦略子会社であるJapan Digital Design(以下JDD)でSolution Architectをしている木美です。 本記事ではConfigのカ…

想像しているのとちょっと違うかも!?AWSマネジメントコンソールへのプライベートアクセス(2023/5/10 GA)

本日、GAされた「AWSマネジメントコンソールへのプライベートアクセス」が、アップデート文面だけを見ると誤解している人がいるかもと思い、まとめてみました。 aws.amazon.com プライベートアクセスの詳細 ドキュメントまで読むと、以下が書かれています。 …

Regula(OPA/Rego)によるCDKのデプロイ前セキュリティチェックを組織内の大量のAWSアカウントにすべなく展開する方法

非準拠リソースを「CDKのデプロイ前にブロック」するRegula(OPA/Rego)によるセキュリティチェックを組織内の大量のAWSアカウントにすべなく展開する方法についてまとめました。

Control Towerを使ってプロビジョニング前に非準拠リソースをはじく仕組みを数クリックで組織内に一括展開する

この記事でやっていること 「CDK / CloudFormationでリソースを構築」していることを前提とする 「事前定義されたルールに非準拠のリソースはプロビジョニング前にブロック」する(例:S3バケットでサーバサイド暗号化を有効化していない) この仕組みを「Co…

S3のクロスリージョンレプリケーション下でオブジェクトの削除やライフサイクルルールはどうなるの?

本日のお話 S3バケットをクロスリージョンで同期している場合、オブジェクトの削除周りについて、各種条件やS3 Replication Time Control(後述)などの制限が少しややこしいので自分用のメモとして残しておきます。 S3バケットのクロスリージョンレプリケー…

AWSサービスが多すぎて選ぶのに困ってきたのでAWSサービスガチャを作ってみた(AWS Amplify × Figma)

AWSサービスが多すぎる問題 出典:AWS re:Invent 2021 - Keynote with Dr. Werner Vogels AWSサービス多すぎませんか... 200以上ものサービスがあって、Wernerさんは "You have asked for this, it is basically your fault !" 言いよるし。 サービスが多す…

インターネット経由でWebブラウザから社内システムにアクセスできる環境をぱぱっとセキュアに作る(Amazon WorkSpaces Web )

どんなサービス? 仮想デスクトップのサービスWorkSpacesにWorkSpaces Webなる新機能が本日発表されました。雑に言えば、VPCとつながっているChromeの画面だけをリモート配信できます。そのVPCがオンプレミスとDirectConnect接続されていれば、オンプレミス…

東京リージョン以外使わせたくない!といった制限がAWS Control Towerから数クリックでできるようになりました

概要 セキュアなマルチアカウント環境を構築・維持することを助けるAWS Control Towerで、利用リージョンを制限する予防的ガードレールを簡単に設定できるようになりました。 データのローカライズ要件等で、海外のリージョンにAWSリソースを構築してほしく…

Route 53 Resolver - AWSマルチアカウント環境とオンプレミスで相互に名前解決(Advanced Networking - Specialty)

今回のお話 AWS上のVPCとオンプレミス環境を DirectConnect / VPN で接続しているハイブリッドクラウド環境のお話です。 このようなハイブリッドクラウド環境では、 オンプレミスのサーバ/クライアントからELBといったVPC内リソースの名前解決 EC2といったV…

図解 Financial Services Industry Lens (AWS Well-Architected Framework) - 後編

今回のおはなし 以前、Financial Services Industry Lens(FSI Lens) を図解すると題して、セキュリティの柱から10個の質問を図解しました。残り9個が放ったらかしになっていましたので、後編として図解していきたいと思います。 imiky.hatenablog.com FSI …

パイプラインに組み込むCloudFormation Guard

CloudFormation Guard(cfn-guard)とは? CloudFormation(CFn)のテンプレートが組織のルールに準拠しているかチェックすることができるCLIツールです(オープンソースとしてGitHubで公開)。例えば、EBSボリュームは暗号化設定されていないとNGというルー…

【AWS SSO 東京リージョン対応記念!】AWS上にIAMユーザを作りたくない話

今回のお話 昨日、AWS SSOが東京リージョンに来ました!!それを記念して、AWSの認証について、ひとネタ書きたいと思います。 aws.amazon.com 前回、AWS Well-Architected Framework - Financial Services Industry Lens(FSI Lens )を図解した中で、以下の…

図解 Financial Services Industry Lens (AWS Well-Architected Framework)

AWSのベストプラクティス集であるWell-Architected Framework から、金融業界向けの Financial Services Industry Lens を図にしてみました。金融系でない方にもおすすめです!