Политика управления службами — запретить рут

ServerMonkey

17.09.2023, 04:30

Я хотел бы запретить корневой учетной записи в моей организации AWS выполнять действия во всех других учетных записях в организации, поэтому я планировал настроить политику управления службами, чтобы заблокировать корневую учетную запись, что также является рекомендуемым руководством от AWS.

Звучит хорошо в теории, но не может ли учетная запись root просто удалить политику управления службами?

0 + 0

амазон-веб-сервисы

Рейтинг:0

Server

Tim

17.09.2023, 18:39

Да, root может удалить SCP, но по-прежнему рекомендуется блокировать root от работы с ресурсами. Это мягкое ограждение, чтобы напомнить людям не использовать root для таких вещей.

У AWS есть пример SCP здесь.

{
  «Версия»: «2012-10-17»,
  "Заявление": [
    {
      "Сид": "RestrictEC2ForRoot",
      «Эффект»: «Запретить»,
      "Действие": [
        "эк2:*"
      ],
      "Ресурс": [
        "*"
      ],
      "Условие": {
        "StringLike": {
          "aws:PrincipalArn": [
            "arn:aws:iam::*:root"
          ]
        }
      }
    }
  ]
}

0 + 0

Admin

Этот вопрос на других языках:

EN: Service Control Policy - Prevent Root

TH: นโยบายการควบคุมบริการ - ป้องกันการรูท

RO: Politica de control al serviciului - Preveniți root

RU: Политика управления службами — запретить рут

VI: Chính sách kiểm soát dịch vụ - Ngăn chặn root

Ответить или комментировать

Большинство людей не понимают, что склонность к познанию нового открывает путь к обучению и улучшает межличностные связи. В исследованиях Элисон, например, хотя люди могли точно вспомнить, сколько вопросов было задано в их разговорах, они не чувствовали интуитивно связи между вопросами и симпатиями. В четырех исследованиях, в которых участники сами участвовали в разговорах или читали стенограммы чужих разговоров, люди, как правило, не осознавали, что задаваемый вопрос повлияет — или повлиял — на уровень дружбы между собеседниками.