こんにちは、AWS事業本部@福岡オフィスのべこみん(@beco_minn)です。
re:Inforceの直前に AWS Identity からこういうpostが投稿されました。
🚀 DYK 🤔 you can now apply up to 2000 service control policies (SCPs) in your organization? This exciting update gives you more flexibility to manage access control in your #AWSOrganizations 👉 https://t.co/lsi9fs5EWG pic.twitter.com/6huKy1HPfF
— AWS Identity (@AWSIdentity) June 4, 2024
(訳)
知ってますか?
組織内で最大2000のサービス・コントロール・ポリシー(SCP)を適用できるようになりました。このエキサイティングなアップデートにより、組織内のアクセス制御をより柔軟に管理できるようになりました。
ということで、SCPが2,000個まで作成出来るようになりました。今まで1,000が上限だったので、倍になりましたね。
既に日本語のドキュメントにも反映されていました。何故かドキュメントヒストリーにもWhat's Newにも載っていませんでしたが。
組織の各タイプのポリシーの数
AI サービスのオプトアウトポリシー: 1000
バックアップポリシー: 1000
サービスコントロールポリシー: 2000
タグポリシー: 1000
ざっくりまとめ
- 組織内のSCP上限値が2,000になりました。
- 今までは1,000までしか作成出来なかったので、より柔軟に組織内のアクセス権限管理が可能に
やってみた
やってみるも何も無いんですが、興味本位で2,000個SCPを作ってみました。
ちなみに実施前のSCPは3個でした。
[cloudshell-user@ip-10-134-26-2 ~]$ aws organizations list-policies --filter SERVICE_CONTROL_POLICY --query 'Policies[*].Id' --output json | jq 'length'
3この状況でこんな感じのスクリプトを作って実行。
#!/bin/bash
for i in {1..2000}; do
policy_name="TestPolicy_$i"
policy_content='{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Deny",
"Action": "*",
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:RequestedRegion": "us-east-1"
}
}
}
]
}'
aws organizations create-policy --content "$policy_content" --description "Test Policy $i" --name "$policy_name" --type SERVICE_CONTROL_POLICY > /dev/null
if [ $((i % 100)) -eq 0 ]; then
echo "$i 個のSCPを作成しました"
fi
done2,000個出来るまでにまあまあ時間が掛かりました。
カウントしてみると
[cloudshell-user@ip-10-134-26-2 ~]$ aws organizations list-policies --filter SERVICE_CONTROL_POLICY --query 'Policies[*].Id' --output json | jq 'length'
2000確かに2,000個まで作成出来ました。クォータは上がっているようです。
最後に
OUやアカウント単位でアタッチ出来るSCP数は5個ですが、そもそもアタッチ出来るSCPが2,000個も作成出来れば更に柔軟な権限管理を行えるはずです。ただ、作成し過ぎると管理も大変なので適度に棚卸しは行いたいですね。
本記事がどなたかのお役に立てれば幸いです。
以上、べこみんでした。
7
