3.1. Organizationsポリシードキュメントの作成 (CloudShell: DenyAllOutsideRequestedRegions-policy)¶

手順の目的¶

Organizationsポリシー"DenyAllOutsideRequestedRegions-policy"のポリシードキュメントを作成します。

設定値の指定¶

手順に必要な設定値を変数に格納をします。

1. ポリシードキュメント用ディレクトリ名

ポリシードキュメント用ディレクトリ名を指定します。

変数の設定:

DIR_ORGANIZATIONS_POLICY_DOC="${HOME}/conf-handson-cli-organizations"

ディレクトリが存在することを確認し、存在しない場合は作成します。

コマンド:

ls -d ${DIR_ORGANIZATIONS_POLICY_DOC} > /dev/null 2>&1 \
  || mkdir -p ${DIR_ORGANIZATIONS_POLICY_DOC}

結果(例):

(出力なし)

2. ORGANIZATIONSポリシードキュメント名

ORGANIZATIONSポリシードキュメント名を指定します。

変数の設定:

ORGANIZATIONS_POLICY_DOC_NAME='DenyAllOutsideRequestedRegions-policy'

変数の設定:

FILE_ORGANIZATIONS_POLICY_DOC="${DIR_ORGANIZATIONS_POLICY_DOC}/${ORGANIZATIONS_POLICY_DOC_NAME}.json" \
  && echo ${FILE_ORGANIZATIONS_POLICY_DOC}

結果(例):

${HOME}/conf-handson-cli-organizations/DenyAllOutsideRequestedRegions-policy.json

設定値の確認¶

各変数に正しい設定値が格納されていることを確認します。

変数の確認:

cat << END

  # 1. DIR_ORGANIZATIONS_POLICY_DOC:"${HOME}/conf-handson-cli-organizations"
       DIR_ORGANIZATIONS_POLICY_DOC="${DIR_ORGANIZATIONS_POLICY_DOC}"
  # 2. ORGANIZATIONS_POLICY_DOC_NAME:"DenyAllOutsideRequestedRegions-policy"
       ORGANIZATIONS_POLICY_DOC_NAME="${ORGANIZATIONS_POLICY_DOC_NAME}"

END

各変数について、上の行と下の行の値の内容もしくは形式が同じであることを確認します。もし異なる場合は、それぞれの手順番号に戻って変数の設定を行います。

処理の実行¶

Organizationsポリシードキュメントを作成します。

変数の確認:

cat << END

  # FILE_ORGANIZATIONS_POLICY_DOC:"${HOME}/conf-handson-cli-organizations/DenyAllOutsideRequestedRegions-policy.json"
    FILE_ORGANIZATIONS_POLICY_DOC="${FILE_ORGANIZATIONS_POLICY_DOC}"

END

コマンド:

cat << EOF > ${FILE_ORGANIZATIONS_POLICY_DOC}
{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "DenyAllOutsideRequestedRegions",
      "Effect": "Deny",
      "NotAction": [
        "cloudfront:*",
        "iam:*",
        "route53:*",
        "support:*",
        "aws-portal:*",
        "budgets:*"
      ],
      "Resource": "*",
      "Condition": {
        "StringNotEquals": {
          "aws:RequestedRegion": [
            "us-east-1",
            "us-west-2",
            "ap-northeast-1",
            "ap-northeast-3"
          ]
        }
      }
    }
  ]
}
EOF

cat ${FILE_ORGANIZATIONS_POLICY_DOC}

結果(例):

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "DenyAllOutsideRequestedRegions",
      "Effect": "Deny",
      "NotAction": [
        "cloudfront:*",
        "iam:*",
        "route53:*",
        "support:*",
        "aws-portal:*",
        "budgets:*"
      ],
      "Resource": "*",
      "Condition": {
        "StringNotEquals": {
          "aws:RequestedRegion": [
            "us-east-1",
            "us-west-2",
            "ap-northeast-1",
            "ap-northeast-3"
          ]
        }
      }
    }
  ]
}

JSONファイルを作成したら、フォーマットが壊れてないか必ず確認します。

コマンド:
cat ${FILE_ORGANIZATIONS_POLICY_DOC} \
  |  python3 -m json.tool \
  > /dev/null
結果(例):
(出力なし)
注釈

エラーが出力されなければOKです。

完了確認¶

本手順の主処理は、以下の完了条件を満たしたときに成功したものとします。

完了条件1: Organizationsポリシードキュメント"${HOME}/conf-handson-cli-organizations/DenyAllOutsideRequestedRegions-policy.json"が存在する。

「Organizationsポリシードキュメント"${HOME}/conf-handson-cli-organizations/DenyAllOutsideRequestedRegions-policy.json"が存在する。」ことを確認します。

コマンド:

ls ${FILE_ORGANIZATIONS_POLICY_DOC}

結果(例):

${HOME}/conf-handson-cli-organizations/DenyAllOutsideRequestedRegions-policy.json

3.1. Organizationsポリシードキュメントの作成 (CloudShell: DenyAllOutsideRequestedRegions-policy)¶

手順の目的¶

設定値の指定¶

設定値の確認¶

処理の実行¶

完了確認¶

手順の完了¶