Ejemplos generales - AWS Organizations
Denegar acceso a AWS en función de la Región de AWS solicitada Evitar que los usuarios y los roles de IAM realicen determinados cambios Impedir que los usuarios y roles de IAM realicen cambios especificados, con una excepción para un rol de administrador especificado Requisito de operación de API por parte de MFA Bloquee el acceso al servicio del usuario raíz Evitar que las cuentas de miembros dejen la organización.

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Ejemplos generales

Denegar acceso a AWS en función de la Región de AWS solicitada

Temas

    Este SCP deniega el acceso a cualquier operación fuera de las regiones especificadas. Reemplazar eu-central-1 y eu-west-1 con el Regiones de AWS que desea usar. Proporciona exenciones para operaciones en servicios globales aprobados. En este ejemplo también se muestra cómo exonerar las solicitudes realizadas por cualquiera de las dos funciones de administrador especificadas.

    nota

    Para utilizar la SCP de denegación de región con AWS Control Tower, consulte Deny access to AWS based on the requested Región de AWS en la Guía de referencia de controles de AWS Control Tower.

    Esta política utiliza el efecto Deny para denegar el acceso a todas las solicitudes de operaciones que no se encuentran en una de las dos regiones aprobadas (eu-central-1 y eu-west-1). El elemento NotAction permite enumerar los servicios cuyas operaciones (u operaciones individuales) están exentas de esta restricción. Dado que los servicios globales tienen puntos de enlace alojados físicamente por la región us-east-1, deben quedar exentos de esta manera. Con una SCP estructurada de esta manera, se permiten las solicitudes hechas a servicios globales en la región us-east-1 si el servicio solicitado está incluido en el elemento NotAction. Cualquier otra solicitud a los servicios de la región us-east-1 se deniega mediante esta política de ejemplo.

    nota

    Es posible que este ejemplo no incluya todos los últimos Servicios de AWS u operaciones globales. Sustituya la lista de servicios y operaciones por los servicios globales que las cuentas de la organización utilizan.

    Sugerencia

    Puede ver los últimos datos del servicio a los que se ha accedido en la consola de IAM para determinar qué servicios globales utiliza la organización. La pestaña Asesor de acceso de la página de detalles de un usuario, grupo o rol de IAM muestra los servicios de AWS que ha utilizado esa entidad, ordenados por el acceso más reciente.

    Consideraciones

    • AWS KMS y AWS Certificate Manager admiten puntos de enlace regionales. Sin embargo, si desea utilizarlos con un servicio global como Amazon CloudFront, debe incluirlos en la lista de exclusión de servicios globales del siguiente ejemplo de SCP. Un servicio global como Amazon CloudFront normalmente requiere acceso a AWS KMS y ACM en la misma región, que para un servicio global es la región EE. UU. Este (Norte de Virginia) (us-east-1).

    • De forma predeterminada, AWS STS es un servicio global y debe incluirse en la lista de exclusión de servicios globales. Sin embargo, puede habilitar AWS STS para utilizar los puntos de enlace de la región en lugar de un único punto de enlace global. Si lo hace, puede eliminar STS de la lista de exención de servicio global en el siguiente ejemplo de SCP. Para obtener más información, consulte Administración de AWS STS en la Región de AWS.

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "DenyAllOutsideEU",
            "Effect": "Deny",
            "NotAction": [
                "a4b:*",
                "acm:*",
                "aws-marketplace-management:*",
                "aws-marketplace:*",
                "aws-portal:*",
                "budgets:*",
                "ce:*",
                "chime:*",
                "cloudfront:*",
                "config:*",
                "cur:*",
                "directconnect:*",
                "ec2:DescribeRegions",
                "ec2:DescribeTransitGateways",
                "ec2:DescribeVpnGateways",
                "fms:*",
                "globalaccelerator:*",
                "health:*",
                "iam:*",
                "importexport:*",
                "kms:*",
                "mobileanalytics:*",
                "networkmanager:*",
                "organizations:*",
                "pricing:*",
                "route53:*",
                "route53domains:*",
                "route53-recovery-cluster:*",
                "route53-recovery-control-config:*",
                "route53-recovery-readiness:*",
                "s3:GetAccountPublic*",
                "s3:ListAllMyBuckets",
                "s3:ListMultiRegionAccessPoints",
                "s3:PutAccountPublic*",
                "shield:*",
                "sts:*",
                "support:*",
                "trustedadvisor:*",
                "waf-regional:*",
                "waf:*",
                "wafv2:*",
                "wellarchitected:*"
            ],
            "Resource": "*",
            "Condition": {
                "StringNotEquals": {
                    "aws:RequestedRegion": [
                        "eu-central-1",
                        "eu-west-1"
                    ]
                },
                "ArnNotLike": {
                    "aws:PrincipalARN": [
                        "arn:aws:iam::*:role/Role1AllowedToBypassThisSCP",
                        "arn:aws:iam::*:role/Role2AllowedToBypassThisSCP"
                    ]
                }
            }
        }
    ]
}

    Evitar que los usuarios y los roles de IAM realicen determinados cambios

    Esta SCP restringe a las cuentas de usuarios y roles IAM para que no puedan realizar cambios en un rol de IAM especificado que ha creado en todas las cuentas de la organización.

    {    
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "DenyAccessToASpecificRole",
      "Effect": "Deny",
      "Action": [
        "iam:AttachRolePolicy",
        "iam:DeleteRole",
        "iam:DeleteRolePermissionsBoundary",
        "iam:DeleteRolePolicy",
        "iam:DetachRolePolicy",
        "iam:PutRolePermissionsBoundary",
        "iam:PutRolePolicy",
        "iam:UpdateAssumeRolePolicy",
        "iam:UpdateRole",
        "iam:UpdateRoleDescription"
      ],
      "Resource": [
        "arn:aws:iam::*:role/name-of-role-to-deny"
      ]
    }
  ]
}

    Impedir que los usuarios y roles de IAM realicen cambios especificados, con una excepción para un rol de administrador especificado

    Esta SCP se basa en el ejemplo anterior, pero especifica una excepción para los administradores. Impide que los usuarios y roles de IAM de las cuentas afectadas realicen cambios en un rol administrativo común de IAM creado en todas las cuentas de la organización, excepto para los administradores que utilizan un rol específico. 

    {    
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "DenyAccessWithException",
      "Effect": "Deny",
      "Action": [
        "iam:AttachRolePolicy",
        "iam:DeleteRole",
        "iam:DeleteRolePermissionsBoundary",
        "iam:DeleteRolePolicy",
        "iam:DetachRolePolicy",
        "iam:PutRolePermissionsBoundary",
        "iam:PutRolePolicy",
        "iam:UpdateAssumeRolePolicy",
        "iam:UpdateRole",
        "iam:UpdateRoleDescription"
      ],
      "Resource": [
        "arn:aws:iam::*:role/name-of-role-to-deny"
      ],
      "Condition": {
        "ArnNotLike": {
          "aws:PrincipalARN":"arn:aws:iam::*:role/name-of-admin-role-to-allow"
        }
      }
    }
  ]
}

    Requisito de operación de API por parte de MFA

    Utilice una SCP similar a la siguiente para requerir que la autenticación multifactor (MFA) esté habilitada antes de que un usuario o rol de IAM puedan realizar una acción. En este ejemplo, la acción consiste en detener una instancia de Amazon EC2.

    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "DenyStopAndTerminateWhenMFAIsNotPresent",
      "Effect": "Deny",
      "Action": [
        "ec2:StopInstances",
        "ec2:TerminateInstances"
      ],
      "Resource": "*",
      "Condition": {"BoolIfExists": {"aws:MultiFactorAuthPresent": false}}
    }
  ]
}

    Bloquee el acceso al servicio del usuario raíz

    La siguiente política restringe todo acceso a las acciones especificadas para del usuario raíz de una cuenta miembro. Si desea evitar que en sus cuentas se usen las credenciales raíz de determinadas maneras concretas, añada sus propias acciones a esta política.

    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "RestrictEC2ForRoot",
      "Effect": "Deny",
      "Action": [
        "ec2:*"
      ],
      "Resource": [
        "*"
      ],
      "Condition": {
        "StringLike": {
          "aws:PrincipalArn": [
            "arn:aws:iam::*:root"
          ]
        }
      }
    }
  ]
}

    Evitar que las cuentas de miembros dejen la organización.

    La siguiente política bloquea el uso de la operación API LeaveOrganization para que los administradores de cuentas miembro no puedan eliminar sus cuentas de la organización.

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Deny",
            "Action": [
                "organizations:LeaveOrganization"
            ],
            "Resource": "*"
        }
    ]
}