Verhindern Sie den Internetzugang auf Kontoebene mithilfe einer Dienststeuerungsrichtlinie - AWS Prescriptive Guidance
ÜbersichtVoraussetzungen und EinschränkungenToolsBewährte MethodenEpenZugehörige Ressourcen

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Verhindern Sie den Internetzugang auf Kontoebene mithilfe einer Dienststeuerungsrichtlinie

Erstellt von Sergiy Shevchenko (AWS), Sean O'Sullivan () und Victor Mazeo Whitaker () AWS AWS

Übersicht

Organizations möchten häufig den Internetzugang für Kontoressourcen einschränken, die privat bleiben sollten. In diesen Konten sollten die Ressourcen in virtuellen privaten Clouds (VPCs) auf keinen Fall auf das Internet zugreifen. Viele Unternehmen entscheiden sich für eine zentralisierte Inspektionsarchitektur. Für den Ost-West-Verkehr (VPC-nach-VPC) in einer zentralisierten Inspektionsarchitektur müssen Sie sicherstellen, dass die Spoke-Konten und ihre Ressourcen keinen Zugriff auf das Internet haben. Für den Nord-Süd-Verkehr (ausgehender Internetanschluss und lokaler Datenverkehr) sollten Sie den Internetzugang nur während der Inspektion zulassen. VPC

Dieses Muster verwendet eine Dienststeuerungsrichtlinie (SCP), um den Internetzugang zu verhindern. Sie können dies SCP auf Konto- oder Organisationseinheitsebene (OU) anwenden. Dadurch wird die Internetkonnektivität SCP eingeschränkt, indem Folgendes verhindert wird:

  • Erstellen oder Anhängen eines IPv4 oder IPv6 Internet-Gateways, das direkten Internetzugriff auf das ermöglicht VPC

  • Erstellen oder Annehmen einer VPCPeering-Verbindung, die möglicherweise einen indirekten Internetzugang über eine andere ermöglicht VPC

  • Erstellen oder Aktualisieren einer AWS Global AcceleratorKonfiguration, die direkten Internetzugriff auf Ressourcen ermöglichen könnte VPC

Voraussetzungen und Einschränkungen

Voraussetzungen

Einschränkungen

  • SCPswirken sich nicht auf Benutzer oder Rollen im Verwaltungskonto aus. Sie wirken sich nur auf die Mitgliedskonten Ihrer Organisation aus.

  • SCPsbetreffen nur AWS Identity and Access Management (IAM) Benutzer und Rollen, die von Konten verwaltet werden, die Teil der Organisation sind. Weitere Informationen finden Sie unter SCPAuswirkungen auf Berechtigungen.

Tools

AWS-Services

  • AWS Organizationsist ein Kontoverwaltungsdienst, mit dem Sie mehrere Konten zu einer Organisation AWS-Konten zusammenfassen können, die Sie erstellen und zentral verwalten. In diesem Muster verwenden Sie Richtlinien zur Dienststeuerung (SCPs) in AWS Organizations.

  • Amazon Virtual Private Cloud (AmazonVPC) hilft Ihnen dabei, AWS Ressourcen in einem von Ihnen definierten virtuellen Netzwerk bereitzustellen. Dieses virtuelle Netzwerk entspricht einem herkömmlichen Netzwerk, wie Sie es in Ihrem Rechenzentrum betreiben würden, mit den Vorteilen der Verwendung der skalierbaren Infrastruktur von AWS.

Bewährte Methoden

Nachdem Sie dies SCP in Ihrem Unternehmen eingerichtet haben, stellen Sie sicher, dass Sie es regelmäßig aktualisieren, um alle neuen Funktionen AWS-Services oder Funktionen zu berücksichtigen, die den Internetzugang beeinträchtigen könnten.

Epen

AufgabeBeschreibungErforderliche Fähigkeiten

Erstellen Sie den SCP.

  1. Melden Sie sich an der AWS Organizations -Konsole an. Sie müssen sich mit dem Verwaltungskonto der Organisation anmelden.

  2. Wählen Sie im linken Bereich Richtlinien aus.

  3. Wählen Sie auf der Seite mit den Richtlinien die Option Dienststeuerungsrichtlinien aus.

  4. Wählen Sie auf der Seite Service-Kontrollrichtlinien die Option Richtlinie erstellen aus.

  5. Geben Sie auf der Seite Neue Dienststeuerungsrichtlinie erstellen einen Richtliniennamen und optional eine Richtlinienbeschreibung ein.

  6. (Optional) Fügen Sie Ihrer Richtlinie AWS Tags hinzu.

  7. Löschen Sie im JSON Editor die Platzhalterrichtlinie.

  8. Fügen Sie die folgende Richtlinie in den JSON Editor ein.

    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Action": [
        "ec2:AttachInternetGateway",
        "ec2:CreateInternetGateway",        
        "ec2:CreateVpcPeeringConnection",
        "ec2:AcceptVpcPeeringConnection",
        "ec2:CreateEgressOnlyInternetGateway"
      ],
      "Resource": "*",
      "Effect": "Deny"
    },
    {
      "Action": [
        "globalaccelerator:Create*",
        "globalaccelerator:Update*"
      ],
      "Resource": "*",
      "Effect": "Deny"
    }
  ]
}

  9. Wählen Sie Create Policy (Richtlinie erstellen) aus.

AWS-Administrator

Hängen Sie das anSCP.

  1. Wählen Sie auf der Seite Service Control-Richtlinien die Richtlinie aus, die Sie erstellt haben.

  2. Klicken Sie in der Registerkarte Ziele auf Anfügen.

  3. Wählen Sie die Organisationseinheit oder das Konto aus, an das Sie die Richtlinie anhängen möchten. Möglicherweise müssen Sie das erweitern, OUs um die gewünschte Organisationseinheit oder das gewünschte Konto zu finden.

  4. Wählen Sie Richtlinie anfügen aus.

AWS-Administrator

Zugehörige Ressourcen