AWS Organizations の SCP で予防的ガードレールを運用する

マルチアカウント運用では、個別 IAM 設定だけでは統制しきれないリスクが残ります。 そこで有効なのが AWS Organizations の SCP (Service Control Policy) です。

予防的ガードレールとは

予防的ガードレールは、危険な操作を「検知してから対応」ではなく、事前に実行不能にするための仕組みです。

例:

• アクセスキーの漏えい時に被害を拡大させる API 実行
• 基本設定の改変・削除
• クラウド破産につながる意図しない大規模作成
• 管理権限への昇格

SCP の設計方針

1. まずは最小の Deny から始める

いきなり厳格化しすぎると業務停止リスクが高まるため、影響の大きい操作から制限します。

2. OU 単位で段階適用する

• 開発 OU で先行評価
• 問題がなければステージング OU
• 最後に本番 OU

3. 例外運用を先に定義する

ブレークグラス手順（緊急時解除手順）を事前に決めることで、事故時対応を迅速化できます。

実装イメージ（例）

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "DenyLeavingOrganization",
      "Effect": "Deny",
      "Action": ["organizations:LeaveOrganization"],
      "Resource": "*"
    }
  ]
}

上記は最小例です。実運用では、特権 IAM 変更やログ削除系 API の制御を追加していきます。

運用時のチェックポイント

• CloudTrail で拒否イベントを観測し、誤検知を把握する
• ポリシー差分を Git 管理し、変更理由を残す
• 四半期ごとに棚卸しして不要制限と不足制限を見直す

まとめ

SCP は「作業を止めるため」ではなく、事故を未然に防ぐための土台です。 段階導入・例外設計・継続棚卸しの 3 点を揃えると、統制と開発速度のバランスを取りやすくなります。