AWSは最近、宣言型ポリシー、組織がAWSサービスのあるべき構成を大規模に定義・適用することを支援する機能を発表した。この機能はAmazon EBSスナップショットへのパブリックアクセスのブロックなど、クラウドリソース構成の標準を確立する必要があるお客様が直面する一般的な課題に対応する。
AWSのシニアソリューションアーキテクト Esra Kayabali氏はブログ記事でこの発表を詳しく説明している。宣言型ポリシーにより、ユーザーは最小限の労力で特定の構成-VPCへのパブリックアクセスのブロックのような-を設定でき、マルチアカウント環境全体で望ましい状態が維持されることを保証できる。ポリシーが適用されるとAWSは自動的にコンプライアンスを強制し、要求された構成を容易に達成できる。この機能は、新しい機能やAPIが導入された場合でも設定された構成を維持するため、特に有益である。
宣言型ポリシーの実装により、管理者は環境全体のサービス属性の現在の状態を可視化できる。情報共有を制限する可能性がある従来のアクセス制御ポリシーとは異なり、宣言型ポリシーではエンドユーザーが組織の管理者によってカスタマイズされたエラーメッセージを受け取ることができる。これらのメッセージは構成の問題を修正する方法をユーザーにガイドし、内部リソースやサポートチャネルに誘導する。
発表時点で宣言型ポリシーはAmazon EC2、Amazon VPC、Amazon EBSを含むいくつかのAWSサービスをサポートしている。利用可能なサービス属性には、インスタンスメタデータサービスバージョン2(IMDSv2)の強制、シリアルコンソールアクセスによるトラブルシューティングの許可、許可されたAmazon Machine Image(AMI)構成の設定、EBSスナップショットやEC2 AMIなどの様々なサービスへのパブリックアクセスのブロックが含まれる。さらに組織に追加された新しいアカウントは、組織レベルまたはアカウントレベルで適用された宣言型ポリシーを自動的に継承する。
開始するにはAWS Organizationsコンソールに移動し、ナビゲーションペインからポリシーを選択する。そこから、サポートされているポリシータイプのリストの下にあるEC2の宣言型ポリシーを選択する。有効にするとユーザーはAWS Organizations内のすべてのアカウントにわたってEC2の望ましい構成を定義し、適用する能力を持つことになる。
ユーザーは複数のインターフェース:AWS Organizationsコンソール、AWS Command Line Interface(AWS CLI)、AWS CloudFormation、AWS Control Tower、を通じてこれらのポリシーを作成および管理できる。ポリシーは組織全体、組織単位(OU)、または個別のアカウントレベルなど、異なるレベルで適用できる。有効化されると、これらの宣言型ポリシーはAWS Identity and Access Management(IAM)ロールを通じて開始されたか、サービスリンクされたロールを使用するAWSサービスによって開始されたかに関わらず、非準拠のアクションが実行されるのを防ぐ。
宣言型ポリシーの利点について、ABSAのクラウドエンジニアリング責任者 Vojtech Mencl氏はこう述べている:
ABSAグループは規制の厳しい環境で運用しており、より多くのサービスを採用するにつれて、アクションを制限するためにSCPポリシーの除外を使用し、違反を検出するためにConfigルールを使用しています。しかし、新しいAPIや機能ごとに例外を作成しなければなりませんでした。宣言型ポリシーを使用すれば、VPCブロックパブリックアクセスを単にtrueに設定するだけで、ユーザー、サービスリンクされたロール、または将来のAPIがAWS Organizationsでパブリックアクセスを可能にすることはないという安心感を得ることができます。
余談だが最近AWSは、技術コミュニティから歓迎された機能、AWS マネジメントコンソールでの複数の AWS アカウントへの同時サインインを導入した。ユーザーは現在、1つのブラウザ内で最大5つのアカウント-ルート、IAM、またはフェデレーテッドロール-にサインインできるようになり、複数ブラウザやプラグインなどの回避策が不要になった。
この発表はあるユーザーの叫び 「ついに!!私は会社の5つのアカウントを管理しています...いつもは作業するためにあちこちジャンプしなければならなかったのに」とともにRedditで注目された。
宣言型ポリシーは現在、AWS商用リージョン、中国、およびAWS GovCloud(US)リージョンでアクセス可能だ。宣言型ポリシーの詳細情報や実装の開始方法について、読者は宣言的ポリシーのドキュメントを参照できる。