loader image

AWSの特定リージョン利用制限について – SCPを用いたアプローチ

AWSを利用する上で、特定のリージョンのみを利用したいという要件が出てくることがあります。例えば、コンプライアンス上の理由やコスト削減のため、利用するリージョンを限定したい場合などです。
しかし、AWSの仕様上、デフォルトで有効になっているリージョンはコンソールから直接無効化することができません。
今回は、そのようなケースにおいて、AWS Organizationsのサービスコントロールポリシー(SCP)を用いて、東京とバージニア北部リージョンのみを許可する方法について解説します。

背景 – 東京とバージニア北部リージョンのみを許可する

AWS環境の運用において、セキュリティポリシーやコンプライアンス要件、コスト最適化の観点から、利用するリージョンを限定したいというニーズがありました。具体的には、リソースの作成や運用を東京リージョン (ap-northeast-1) とバージニア北部リージョン (us-east-1) のみに限定することを目的としました。

SCPによるリージョン制限

SCPを利用することで、AWSアカウントまたは組織単位(OU)に対して、許可または拒否するAWSサービスやアクションを制御できます。今回は、東京とバージニア北部リージョンでのみリソースの作成や操作を許可するポリシーを作成します。

よりシンプルなポリシー

最終的に、以下のSCPポリシーを採用しました。

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "AllowSpecificRegionsOnly",
      "Effect": "Deny",
      "Action": "*",
      "Resource": "*",
      "Condition": {
        "StringNotEquals": {
          "aws:RequestedRegion": [
            "ap-northeast-1",
            "us-east-1"
          ]
        }
      }
    }
  ]
}

このポリシーは、リクエストされたリージョンが東京 (ap-northeast-1) またはバージニア北部 (us-east-1) ではない 場合に、すべてのアクションとリソースを拒否するという意味になります。

SCPポリシーのアタッチ

作成したSCPポリシーをAWSアカウントまたは組織単位(OU)にアタッチする手順は以下の通りです。

  1. AWS Organizations コンソールにログイン
  2. 左側のナビゲーションメニューで「ポリシー」をクリックし、「サービスコントロールポリシー」を選択します。
  3. アタッチしたいSCPの名前の左側にあるラジオボタンを選択します。
  4. アタッチ」ボタンをクリックします。
  5. SCPをアタッチしたいアカウントまたは組織単位(OU)の左側にあるチェックボックスをオンにします。
  6. 画面の右下にある「ポリシーのアタッチ」ボタンをクリックします。

アタッチするポリシーの説明

今回アタッチしたSCPポリシーは、AWS環境において、リソースの作成や操作を特定のリージョンに限定することを目的としています。具体的には、東京リージョン (ap-northeast-1) とバージニア北部リージョン (us-east-1) 以外 のリージョンでのリソース作成や操作を拒否します。

このポリシーは、以下のステートメントで構成されています。

  • Effect: “Deny”: アクションを拒否します。
  • Action: “*”`: すべてのアクションを対象とします。
  • Resource: “*”`: すべてのリソースを対象とします。
  • Condition: 拒否の条件を定義します。
    • StringNotEquals: 文字列が一致しないかどうかを評価します。
    • aws:RequestedRegion: APIリクエストが送信されたリージョンを表します。
    • ["ap-northeast-1", "us-east-1"]: 許可するリージョンのリストです。リクエストされたリージョンが東京またはバージニア北部 ではない 場合に、アクションが拒否されます。

このポリシーを適用することで、意図しないリージョンでのリソース作成を防ぎ、コスト削減やセキュリティ強化に繋げることができます。

まとめ

SCPを利用することで、AWS環境におけるリージョン利用を柔軟に制御することが可能です。今回の例では、特定のリージョンのみを許可するというシンプルなポリシーでしたが、より複雑な条件や特定のアクションのみを制限するポリシーなど、様々なカスタマイズが可能です。SCPを適切に活用することで、より安全で効率的なAWS環境を構築できるでしょう。

コメント

タイトルとURLをコピーしました