Ejemplos generales - AWS Organizations
Denegar el acceso a en AWS función de lo solicitado Región de AWS Impida que IAM los usuarios y los roles realicen ciertos cambios IAMImpide que los usuarios y los roles realicen cambios específicos, con la excepción de un rol de administrador específico Requiere MFA realizar una API operación Bloquee el acceso al servicio del usuario raíz Evitar que las cuentas de miembros dejen la organización.

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Ejemplos generales

Denegar el acceso a en AWS función de lo solicitado Región de AWS

Temas

    Esto SCP deniega el acceso a cualquier operación fuera de las regiones especificadas. Sustituya eu-central-1 y eu-west-1 por la que Regiones de AWS desee utilizar. Proporciona exenciones para operaciones en servicios globales aprobados. En este ejemplo también se muestra cómo exonerar las solicitudes realizadas por cualquiera de las dos funciones de administrador especificadas.

    nota

    Para usar la opción Denegar SCP por región AWS Control Tower, consulte Denegar el acceso a AWS según lo solicitado Región de AWS en la Guía de referencia de AWS Control Tower controles.

    Esta política utiliza el efecto Deny para denegar el acceso a todas las solicitudes de operaciones que no se encuentran en una de las dos regiones aprobadas (eu-central-1 y eu-west-1). Este NotActionelemento le permite enumerar los servicios cuyas operaciones (o operaciones individuales) están exentas de esta restricción. Dado que los servicios globales tienen puntos de enlace alojados físicamente por la región us-east-1, deben quedar exentos de esta manera. Si se SCP estructura de esta manera, se permiten las solicitudes a los servicios globales de la us-east-1 Región si el servicio solicitado está incluido en el NotAction elemento. Cualquier otra solicitud a los servicios de la región us-east-1 se deniega mediante esta política de ejemplo.

    nota

    Es posible que este ejemplo no incluya todas las operaciones globales Servicios de AWS o de última generación. Sustituya la lista de servicios y operaciones por los servicios globales que las cuentas de la organización utilizan.

    Sugerencia

    Puede ver los datos del último servicio al que se accedió en la IAM consola para determinar qué servicios globales utiliza su organización. La pestaña Asesor de acceso de la página de detalles de un IAM usuario, grupo o rol muestra los AWS servicios que ha utilizado esa entidad, ordenados según el acceso más reciente.

    Consideraciones

    • AWS KMS y AWS Certificate Manager admiten puntos finales regionales. Sin embargo, si desea utilizarlos con un servicio global como Amazon, CloudFront debe incluirlos en la lista de exclusiones de servicios globales del siguiente ejemploSCP. Un servicio global como Amazon CloudFront normalmente requiere acceso a AWS KMS y ACM en la misma región, que para un servicio global es la región EE. UU. Este (Virginia del Norte) (us-east-1).

    • De forma predeterminada, AWS STS es un servicio global y debe incluirse en la lista global de exclusiones de servicios. Sin embargo, puede AWS STS habilitar el uso de puntos finales regionales en lugar de un único punto final global. Si lo hace, puede eliminarlos STS de la lista global de exenciones de servicios en el siguiente ejemploSCP. Para obtener más información, consulte Administrar AWS STS en un Región de AWS.

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "DenyAllOutsideEU",
            "Effect": "Deny",
            "NotAction": [
                "a4b:*",
                "acm:*",
                "aws-marketplace-management:*",
                "aws-marketplace:*",
                "aws-portal:*",
                "budgets:*",
                "ce:*",
                "chime:*",
                "cloudfront:*",
                "config:*",
                "cur:*",
                "directconnect:*",
                "ec2:DescribeRegions",
                "ec2:DescribeTransitGateways",
                "ec2:DescribeVpnGateways",
                "fms:*",
                "globalaccelerator:*",
                "health:*",
                "iam:*",
                "importexport:*",
                "kms:*",
                "mobileanalytics:*",
                "networkmanager:*",
                "organizations:*",
                "pricing:*",
                "route53:*",
                "route53domains:*",
                "route53-recovery-cluster:*",
                "route53-recovery-control-config:*",
                "route53-recovery-readiness:*",
                "s3:GetAccountPublic*",
                "s3:ListAllMyBuckets",
                "s3:ListMultiRegionAccessPoints",
                "s3:PutAccountPublic*",
                "shield:*",
                "sts:*",
                "support:*",
                "trustedadvisor:*",
                "waf-regional:*",
                "waf:*",
                "wafv2:*",
                "wellarchitected:*"
            ],
            "Resource": "*",
            "Condition": {
                "StringNotEquals": {
                    "aws:RequestedRegion": [
                        "eu-central-1",
                        "eu-west-1"
                    ]
                },
                "ArnNotLike": {
                    "aws:PrincipalARN": [
                        "arn:aws:iam::*:role/Role1AllowedToBypassThisSCP",
                        "arn:aws:iam::*:role/Role2AllowedToBypassThisSCP"
                    ]
                }
            }
        }
    ]
}

    Impida que IAM los usuarios y los roles realicen ciertos cambios

    Esto SCP impide que IAM los usuarios y los roles realicen cambios en el IAM rol especificado que creó en todas las cuentas de la organización.

    {    
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "DenyAccessToASpecificRole",
      "Effect": "Deny",
      "Action": [
        "iam:AttachRolePolicy",
        "iam:DeleteRole",
        "iam:DeleteRolePermissionsBoundary",
        "iam:DeleteRolePolicy",
        "iam:DetachRolePolicy",
        "iam:PutRolePermissionsBoundary",
        "iam:PutRolePolicy",
        "iam:UpdateAssumeRolePolicy",
        "iam:UpdateRole",
        "iam:UpdateRoleDescription"
      ],
      "Resource": [
        "arn:aws:iam::*:role/name-of-role-to-deny"
      ]
    }
  ]
}

    IAMImpide que los usuarios y los roles realicen cambios específicos, con la excepción de un rol de administrador específico

    Esto SCP se basa en el ejemplo anterior para hacer una excepción para los administradores. Impide que IAM los usuarios y las funciones de las cuentas afectadas modifiquen una IAM función administrativa común creada en todas las cuentas de la organización, excepto en el caso de los administradores que utilizan una función específica. 

    {    
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "DenyAccessWithException",
      "Effect": "Deny",
      "Action": [
        "iam:AttachRolePolicy",
        "iam:DeleteRole",
        "iam:DeleteRolePermissionsBoundary",
        "iam:DeleteRolePolicy",
        "iam:DetachRolePolicy",
        "iam:PutRolePermissionsBoundary",
        "iam:PutRolePolicy",
        "iam:UpdateAssumeRolePolicy",
        "iam:UpdateRole",
        "iam:UpdateRoleDescription"
      ],
      "Resource": [
        "arn:aws:iam::*:role/name-of-role-to-deny"
      ],
      "Condition": {
        "ArnNotLike": {
          "aws:PrincipalARN":"arn:aws:iam::*:role/name-of-admin-role-to-allow"
        }
      }
    }
  ]
}

    Requiere MFA realizar una API operación

    Use una SCP como la siguiente para requerir que la autenticación multifactorial (MFA) esté habilitada antes de que un IAM usuario o rol pueda realizar una acción. En este ejemplo, la acción consiste en detener una EC2 instancia de Amazon.

    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "DenyStopAndTerminateWhenMFAIsNotPresent",
      "Effect": "Deny",
      "Action": [
        "ec2:StopInstances",
        "ec2:TerminateInstances"
      ],
      "Resource": "*",
      "Condition": {"BoolIfExists": {"aws:MultiFactorAuthPresent": false}}
    }
  ]
}

    Bloquee el acceso al servicio del usuario raíz

    La siguiente política restringe todo acceso a las acciones especificadas para del usuario raíz de una cuenta miembro. Si desea evitar que en sus cuentas se usen las credenciales raíz de determinadas maneras concretas, añada sus propias acciones a esta política.

    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "RestrictEC2ForRoot",
      "Effect": "Deny",
      "Action": [
        "ec2:*"
      ],
      "Resource": [
        "*"
      ],
      "Condition": {
        "StringLike": {
          "aws:PrincipalArn": [
            "arn:aws:iam::*:root"
          ]
        }
      }
    }
  ]
}

    Evitar que las cuentas de miembros dejen la organización.

    La siguiente política bloquea el uso de la LeaveOrganization API operación para que los administradores de las cuentas de los miembros no puedan eliminar sus cuentas de la organización.

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Deny",
            "Action": [
                "organizations:LeaveOrganization"
            ],
            "Resource": "*"
        }
    ]
}