Allgemeine Beispiele - AWS Organizations
Verweigern Sie den Zugriff auf AWS basierend auf der angeforderten AWS-Region Vermeiden Sie, dass IAM-Benutzer und -Rollen bestimmte Änderungen vornehmen Verhindern, dass IAM-Benutzer und -Rollen bestimmte Änderungen vornehmen, mit Ausnahme für eine angegebene Administratorrolle MFA zum Ausführen einer API-Aktion erforderlich Blockieren des Service-Zugriffsdatums für den Stammbenutzer Verhindern, dass Mitgliedskonten die Organisation verlassen

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Allgemeine Beispiele

Verweigern Sie den Zugriff auf AWS basierend auf der angeforderten AWS-Region

Themen

    Diese SCP lehnt den Zugriff auf alle Operationen außerhalb der angegebenen Regionen ab. Ersetzen Sie eu-central-1 und eu-west-1 durch das AWS-Regionen , was Sie verwenden möchten. Sie sieht Ausnahmen für Operationen in genehmigten globalen Services vor. Dieses Beispiel zeigt auch, wie Anforderungen von einer der zwei angegebenen Administratorrollen ausgeschlossen werden.

    Anmerkung

    Informationen zur Verwendung von Region Deny SCP finden Sie unter Zugriff verweigern auf AWS Grundlage der AWS-Region im Referenzhandbuch für AWS Control Tower Steuerelemente angeforderten Informationen. AWS Control Tower

    Diese Richtlinie verwendet den Deny-Effekt, um den Zugriff auf alle Anforderungen für Operationen abzulehnen, die sich nicht in einer der beiden genehmigten Regionen (eu-central-1 und eu-west-1) befinden. Mit diesem NotActionElement können Sie Dienste auflisten, deren Operationen (oder einzelne Operationen) von dieser Einschränkung ausgenommen sind. Da globale Services Endpunkte besitzen, die physisch in der Region us-east-1 gehostet werden, müssen sie auf diese Weise ausgenommen werden. Wenn eine SCP auf diese Weise strukturiert ist, werden Anforderungen für globale Services in der Region us-east-1 zugelassen, wenn der angeforderte Service im Element NotAction enthalten ist. Alle anderen Anforderungen für Services in der Region us-east-1 werden durch diese Beispielrichtlinie abgelehnt.

    Anmerkung

    Dieses Beispiel umfasst möglicherweise nicht alle aktuellen globalen AWS Dienste oder Operationen. Ersetzen Sie die Liste der Services und Operationen durch die globalen Services, die von den Konten in Ihrer Organisation verwendet werden.

    Tipp

    Sie können die letzten Servicedaten, auf die in der IAM-Konsole zugegriffen wurde, anzeigen, um die von Ihrer Organisation verwendeten globalen Services zu ermitteln. Auf der Registerkarte Access Advisor (Zugriffsberater) auf der Detailseite für IAM-Benutzer, -Gruppen oder -Rollen werden die AWS -Services angezeigt, die von dieser Entität verwendet wurden, sortiert nach dem letzten Zugriff.

    Überlegungen

    • AWS KMS und AWS Certificate Manager unterstützt regionale Endpunkte. Wenn Sie sie jedoch mit einem globalen Service wie Amazon verwenden möchten, müssen CloudFront Sie sie in die globale Service-Ausschlussliste im folgenden SCP-Beispiel aufnehmen. Ein globaler Service wie Amazon benötigt in CloudFront der Regel Zugriff auf AWS KMS und ACM in derselben Region, was für einen globalen Service die Region USA Ost (Nord-Virginia) ist (us-east-1).

    • Standardmäßig AWS STS handelt es sich um einen globalen Service, der in der globalen Service-Ausschlussliste enthalten sein muss. Sie können jedoch die Verwendung von regionalen Endpunkten anstelle eines einzelnen globalen Endpunkts aktivieren AWS STS . Wenn Sie dies tun, können Sie STS aus der globalen Dienstausnahmeliste im folgenden Beispiel SCP entfernen. Weitere Informationen finden Sie unter Verwaltung AWS STS in einem AWS-Region.

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "DenyAllOutsideEU",
            "Effect": "Deny",
            "NotAction": [
                "a4b:*",
                "acm:*",
                "aws-marketplace-management:*",
                "aws-marketplace:*",
                "aws-portal:*",
                "budgets:*",
                "ce:*",
                "chime:*",
                "cloudfront:*",
                "config:*",
                "cur:*",
                "directconnect:*",
                "ec2:DescribeRegions",
                "ec2:DescribeTransitGateways",
                "ec2:DescribeVpnGateways",
                "fms:*",
                "globalaccelerator:*",
                "health:*",
                "iam:*",
                "importexport:*",
                "kms:*",
                "mobileanalytics:*",
                "networkmanager:*",
                "organizations:*",
                "pricing:*",
                "route53:*",
                "route53domains:*",
                "route53-recovery-cluster:*",
                "route53-recovery-control-config:*",
                "route53-recovery-readiness:*",
                "s3:GetAccountPublic*",
                "s3:ListAllMyBuckets",
                "s3:ListMultiRegionAccessPoints",
                "s3:PutAccountPublic*",
                "shield:*",
                "sts:*",
                "support:*",
                "trustedadvisor:*",
                "waf-regional:*",
                "waf:*",
                "wafv2:*",
                "wellarchitected:*"
            ],
            "Resource": "*",
            "Condition": {
                "StringNotEquals": {
                    "aws:RequestedRegion": [
                        "eu-central-1",
                        "eu-west-1"
                    ]
                },
                "ArnNotLike": {
                    "aws:PrincipalARN": [
                        "arn:aws:iam::*:role/Role1AllowedToBypassThisSCP",
                        "arn:aws:iam::*:role/Role2AllowedToBypassThisSCP"
                    ]
                }
            }
        }
    ]
}

    Vermeiden Sie, dass IAM-Benutzer und -Rollen bestimmte Änderungen vornehmen

    Mit diesem SCP können IAM-Benutzer und -Rollen Änderungen an der angegebenen IAM-Rolle vornehmen, die Sie in allen Konten in Ihrer Organisation erstellt haben.

    {    
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "DenyAccessToASpecificRole",
      "Effect": "Deny",
      "Action": [
        "iam:AttachRolePolicy",
        "iam:DeleteRole",
        "iam:DeleteRolePermissionsBoundary",
        "iam:DeleteRolePolicy",
        "iam:DetachRolePolicy",
        "iam:PutRolePermissionsBoundary",
        "iam:PutRolePolicy",
        "iam:UpdateAssumeRolePolicy",
        "iam:UpdateRole",
        "iam:UpdateRoleDescription"
      ],
      "Resource": [
        "arn:aws:iam::*:role/name-of-role-to-deny"
      ]
    }
  ]
}

    Verhindern, dass IAM-Benutzer und -Rollen bestimmte Änderungen vornehmen, mit Ausnahme für eine angegebene Administratorrolle

    Diese SCP baut auf dem vorherigen Beispiel auf und enthält eine Ausnahme für Administratoren. Dies verhindert, dass IAM-Benutzer und -Rollen in betroffenen Konten Änderungen an einer gemeinsamen administrativen IAM-Rolle vornehmen, die in allen Konten in Ihrer Organisation erstellt wurde, mit Ausnahme von Administratoren, die eine bestimmte Rolle verwenden. 

    {    
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "DenyAccessWithException",
      "Effect": "Deny",
      "Action": [
        "iam:AttachRolePolicy",
        "iam:DeleteRole",
        "iam:DeleteRolePermissionsBoundary",
        "iam:DeleteRolePolicy",
        "iam:DetachRolePolicy",
        "iam:PutRolePermissionsBoundary",
        "iam:PutRolePolicy",
        "iam:UpdateAssumeRolePolicy",
        "iam:UpdateRole",
        "iam:UpdateRoleDescription"
      ],
      "Resource": [
        "arn:aws:iam::*:role/name-of-role-to-deny"
      ],
      "Condition": {
        "StringNotLike": {
          "aws:PrincipalARN":"arn:aws:iam::*:role/name-of-admin-role-to-allow"
        }
      }
    }
  ]
}

    MFA zum Ausführen einer API-Aktion erforderlich

    Verwenden Sie eine SCP wie die folgende, um zu verlangen, dass die Multi-Faktor-Authentifizierung (MFA) aktiviert ist, bevor ein IAM-Benutzer oder eine IAM-Rolle eine Aktion ausführen kann. In diesem Beispiel wird eine Amazon-EC2-Instance angehalten.

    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "DenyStopAndTerminateWhenMFAIsNotPresent",
      "Effect": "Deny",
      "Action": [
        "ec2:StopInstances",
        "ec2:TerminateInstances"
      ],
      "Resource": "*",
      "Condition": {"BoolIfExists": {"aws:MultiFactorAuthPresent": false}}
    }
  ]
}

    Blockieren des Service-Zugriffsdatums für den Stammbenutzer

    Die folgende Richtlinie schränkt den gesamten Zugriff auf die angegebenen Aktionen für den Stammbenutzer in einem Mitgliedskonto ein. Wenn Sie verhindern möchten, dass Ihre Konten auf bestimmte Art und Weise Root-Anmeldeinformationen verwenden, fügen Sie dieser Richtlinie Ihre eigenen Aktionen hinzu.

    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "RestrictEC2ForRoot",
      "Effect": "Deny",
      "Action": [
        "ec2:*"
      ],
      "Resource": [
        "*"
      ],
      "Condition": {
        "StringLike": {
          "aws:PrincipalArn": [
            "arn:aws:iam::*:root"
          ]
        }
      }
    }
  ]
}

    Verhindern, dass Mitgliedskonten die Organisation verlassen

    Die folgende Richtlinie blockiert die Verwendung der LeaveOrganization-API-Operation, sodass Administratoren von Mitgliedskonten ihre Konten nicht aus der Organisation entfernen können.

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Deny",
            "Action": [
                "organizations:LeaveOrganization"
            ],
            "Resource": "*"
        }
    ]
}