Amazon Web Services ブログ

Category: AWS Organizations

Amazon Bedrock のゼロデータ保持の強制方法

本記事では、Amazon Bedrock のデータ保持モード (none、default、inherit、provider_data_share) の仕組みと、設定したモードが保持の上限として機能する動作を解説します。Amazon Bedrock Projects による保持要件が異なるワークロードの分離、サービスコントロールポリシー (SCP) を使用して組織全体でモデルプロバイダーとのデータ共有を防止しゼロデータ保持を強制する方法、クロスリージョン推論プロファイルとの相互作用、AWS CLI や API による設定の検証手順を紹介します。

AWS マネジメントコンソールへのアクセスを想定するネットワークに制限

本ブログでは、企業が規制コンプライアンスのためにコンソールアクセスを企業ネットワークに制限するユースケースを取り上げ、AWS Sign-In のリソースベースポリシーと RCP を使った実装方法を紹介します。リソース許可ステートメントの作成、コンソール認可の有効化、CloudTrail による検証、Console Private Access やデータ境界フレームワークとの統合まで詳しく説明します。

CIRT インサイト: AWS Organizations からの不正なアカウント離脱を防ぐには

AWS Customer Incident Response Team (CIRT) が観測している、攻撃者がお客様アカウントを侵害した後に AWS Organizations から離脱させ、SCP やガバナンス制御を回避する新しい手口について解説します。
具体的には、organizations:LeaveOrganization 権限を持つクレデンシャルが悪用されると、メンバーアカウントが Organization の保護下から外れ、CloudTrail の組織トレイル、GuardDuty の中央集約、SCP による制限、一括請求などの可視性と統制が失われます。
最も効果が大きく労力の少ない対策として、organizations:LeaveOrganization アクションを拒否する SCP (DenyLeaveOrganization) の実装を推奨します。あわせて、CloudTrail での AcceptHandshake / LeaveOrganization / InviteAccountToOrganization / RemoveAccountFromOrganization イベントの監視、IAM の最小権限原則の徹底、およびルートアクセスの一元管理についても解説しています。

AWS Organizations における不正なアカウント離脱を防止するための重要なセキュリティコントロール

AWS メンバーアカウントが侵害された場合、攻撃者はアカウントを組織から離脱させ、すべてのガバナンスコントロールを無効化する可能性があります。本記事では、サービスコントロールポリシー (SCP)、安全なアカウント移行、ルートアクセスの一元管理機能などの多層的なセキュリティコントロールを使用して、AWS 環境を保護する方法を解説します。

教育者を支援: Innovation Sandbox on AWS が学習目標の達成を加速する方法

生成 AI がテクノロジーの世界を変える中、教育機関は学生にサンドボックス環境を提供し、イノベーションを推進しています。本記事では、Innovation Sandbox on AWS を使用して、安全でコスト効率に優れた再利用可能なサンドボックス環境を大規模に管理し、数週間の管理時間を節約しながら、学生と教員が AWS でイノベーションを起こす自由を提供する方法を紹介します。

東京大学 松尾・岩澤研究室主催の AI エンジニアリング実践講座にて、1400 名を超える受講者に AWS 上でのクラウド開発を体験していただきました [ 後片づけ編 ]

本ブログシリーズでは、2025 年 4 月から 7 月にかけて実施した東京大学 松尾・岩澤研究室の AI エンジニアリング実践講座において、 AWS クラウドを活用した実践的な学習環境を用意し、1400 名を超える受講申し込み者に対して、個別のAWSアカウントを提供する大規模なオンライン講義を開講した取り組みを全 3 回に分けてまとめたものです。
3 回目は、環境の後片付けの実施方法とそこで得た知見について共有します。