Рейтинг:0

Политика управления службами — запретить рут

флаг ng

Я хотел бы запретить корневой учетной записи в моей организации AWS выполнять действия во всех других учетных записях в организации, поэтому я планировал настроить политику управления службами, чтобы заблокировать корневую учетную запись, что также является рекомендуемым руководством от AWS.

Звучит хорошо в теории, но не может ли учетная запись root просто удалить политику управления службами?

Рейтинг:0
флаг gp
Tim

Да, root может удалить SCP, но по-прежнему рекомендуется блокировать root от работы с ресурсами. Это мягкое ограждение, чтобы напомнить людям не использовать root для таких вещей.

У AWS есть пример SCP здесь.

{
  «Версия»: «2012-10-17»,
  "Заявление": [
    {
      "Сид": "RestrictEC2ForRoot",
      «Эффект»: «Запретить»,
      "Действие": [
        "эк2:*"
      ],
      "Ресурс": [
        "*"
      ],
      "Условие": {
        "StringLike": {
          "aws:PrincipalArn": [
            "arn:aws:iam::*:root"
          ]
        }
      }
    }
  ]
}

Ответить или комментировать

Большинство людей не понимают, что склонность к познанию нового открывает путь к обучению и улучшает межличностные связи. В исследованиях Элисон, например, хотя люди могли точно вспомнить, сколько вопросов было задано в их разговорах, они не чувствовали интуитивно связи между вопросами и симпатиями. В четырех исследованиях, в которых участники сами участвовали в разговорах или читали стенограммы чужих разговоров, люди, как правило, не осознавали, что задаваемый вопрос повлияет — или повлиял — на уровень дружбы между собеседниками.