Организации AWS. Как глобально установить границы, чтобы разрешить оценку только предопределенного набора сервисов?

Jacek

02.03.2023, 12:35

Я хотел бы разрешить пользователям всех учетных записей в моей организации AWS (в нескольких разных подразделениях) доступ только к нескольким службам AWS: RDS, EC2, S3 и т. д. Другими словами, мне нужно запретить доступ ко всему остальному. Я думал об использовании SCP, но отказ в доступе к такому количеству сервисов кажется плохой идеей (политика управления сервисами FullAWSAccess прилагается по умолчанию). Я хотел бы спросить, делали ли вы когда-нибудь что-то подобное, и если да, то как?

0 + 0

амазон-веб-сервисы

aws-организации

Рейтинг:1

Server

Erik Norman

02.03.2023, 12:55

SCP - это путь.

Вы можете запретить все с условием белого списка.

Имейте в виду, что вам нужно уменьшить область вашего SCP, иначе вы в конечном итоге отключите роли сервиса AWS для выполнения стандартных операций, например. если вы используете стеки CloudFormation.

Следовательно, вы должны применять этот SCP только к ролям, используемым вашими пользователями и службами.

Совет: используйте одну роль для реализации SCP и одну роль для его тестирования. Начните с малого и продвигайтесь вперед маленькими шагами. В противном случае вы можете исключить себя из любой службы в консоли AWS.

0 + 0

Tim

02.03.2023, 17:25

Однозначно SCP. Еще несколько мыслей, основанных на моем опыте использования SCP некоторое время. Протестируйте с одним подразделением песочницы с определенными ролями. Обратите внимание, что основная учетная запись не может иметь ограниченных SCP. SCP могут быть очень неудобными, они представляют собой объединение разрешений всех OU и учетной записи. Когда разрешения не работают должным образом, я всегда сначала смотрю на SCP, а затем на IAM. Работайте с примерами SCP, начните с малого.

Ответить

Jacek

03.03.2023, 08:05

Спасибо. Я использовал «Запретить» с «NotAction» и перечислил разрешенные службы, добавил условие, исключающее одного пользователя. Тестирование в dev env сейчас выглядит хорошо.

Ответить

Admin

Этот вопрос на других языках:

EN: AWS Organizations - How to globally set boundaries to allow assess only to predefined set of services?

TH: องค์กร AWS - จะกำหนดขอบเขตทั่วโลกเพื่ออนุญาตให้ประเมินเฉพาะชุดบริการที่กำหนดไว้ล่วงหน้าได้อย่างไร

RO: Organizații AWS - Cum se stabilesc limite la nivel global pentru a permite evaluarea numai pentru un set predefinit de servicii?

RU: Организации AWS. Как глобально установить границы, чтобы разрешить оценку только предопределенного набора сервисов?

VI: Tổ chức AWS - Làm cách nào để thiết lập ranh giới trên toàn cầu để chỉ cho phép đánh giá đối với nhóm dịch vụ được xác định trước?

Ответить или комментировать

Большинство людей не понимают, что склонность к познанию нового открывает путь к обучению и улучшает межличностные связи. В исследованиях Элисон, например, хотя люди могли точно вспомнить, сколько вопросов было задано в их разговорах, они не чувствовали интуитивно связи между вопросами и симпатиями. В четырех исследованиях, в которых участники сами участвовали в разговорах или читали стенограммы чужих разговоров, люди, как правило, не осознавали, что задаваемый вопрос повлияет — или повлиял — на уровень дружбы между собеседниками.