Resumen Requisitos previos y limitaciones Herramientas Prácticas recomendadas Epics Recursos relacionados

Impida el acceso a Internet a nivel de cuenta mediante una política de control de servicios

Creada por Sergiy Shevchenko (), Sean O'Sullivan () y Victor Mazeo Whitaker () AWS AWS AWS

Entorno: PoC o piloto

Tecnologías: seguridad, identidad, conformidad; redes

AWSservicios: AWS Organizations

Resumen

Con frecuencia, las organizaciones desean limitar el acceso a Internet para los recursos de las cuentas que deben permanecer privados. En estas cuentas, los recursos de las nubes privadas virtuales (VPCs) no deberían acceder a Internet de ninguna manera. Muchas organizaciones eligen una arquitectura de inspección centralizada. Para el tráfico de este a oeste (VPCde ida a vueltaVPC) en una arquitectura de inspección centralizada, es necesario asegurarse de que las cuentas radiales y sus recursos no tengan acceso a Internet. En el caso del tráfico norte-sur (salida de Internet y local), conviene permitir el acceso a Internet únicamente durante la inspección. VPC

Este patrón utiliza una política de control de servicios (SCP) para evitar el acceso a Internet. Puedes aplicarlo SCP a nivel de cuenta o unidad organizativa (OU). SCPLimita la conectividad a Internet al impedir lo siguiente:

Crear o adjuntar una IPv4 puerta de enlace IPv6 a Internet que permita el acceso directo a Internet al VPC
Crear o aceptar una conexión entre VPC pares que pueda permitir el acceso indirecto a Internet a través de otra VPC
Crear o actualizar una AWS Global Acceleratorconfiguración que pueda permitir el acceso directo a VPC los recursos por Internet

Requisitos previos y limitaciones

Requisitos previos

Uno o varios Cuentas de AWS gestionados como una organización en AWS Organizations.
Todas las funciones están habilitadas en AWS Organizations.
SCPsestán habilitadas en la organización.
Permisos para:
- Acceder a la cuenta de administración de la organización.
- CrearSCPs. Para obtener más información sobre los permisos mínimos, consulte Crear un SCP.
- Adjunta el SCP archivo a las cuentas o unidades organizativas de destino (OUs). Para obtener más información sobre los permisos mínimos, consulta Cómo adjuntar y separar políticas de control de servicios.

Limitaciones

SCPsno afectan a los usuarios ni a las funciones de la cuenta de administración. Afectan solo a las cuentas miembro de su organización.
SCPsafectan únicamente a AWS Identity and Access Management (IAM) a los usuarios y roles gestionados por las cuentas que forman parte de la organización. Para obtener más información, consulte SCPlos efectos en los permisos.

Herramientas

AWSservicios

AWS Organizationses un servicio de administración de cuentas que le ayuda a consolidar múltiples cuentas Cuentas de AWS en una organización que usted crea y administra de forma centralizada. En este patrón, se utilizan las políticas de control de servicios (SCPs) en AWS Organizations.
Amazon Virtual Private Cloud (AmazonVPC) le ayuda a lanzar AWS recursos en una red virtual que haya definido. Esa red virtual es similar a la red tradicional que utiliza en su propio centro de datos, con los beneficios de usar la infraestructura escalable de AWS.

Prácticas recomendadas

Una vez establecido esto SCP en su organización, asegúrese de actualizarlo con frecuencia para abordar cualquier novedad Servicios de AWS o función que pueda afectar al acceso a Internet.

Epics

Tarea	Descripción	Habilidades requeridas
Crea elSCP.	Inicie sesión en la consola de AWS Organizations. Debe iniciar sesión en la cuenta de administración de la organización. En el panel izquierdo, selecciona Políticas. En la página de políticas, elija Políticas de control de servicios. En la página Políticas de control de servicios, seleccione Crear política. En la página Crear una nueva política de control de servicios, introduzca un nombre de política y una descripción de la política opcional. (Opcional) Añada AWS etiquetas a su política. En el JSON editor, elimina la política de marcadores de posición. Pegue la siguiente política en el JSON editor. `{ "Version": "2012-10-17", "Statement": [ { "Action": [ "ec2:AttachInternetGateway", "ec2:CreateInternetGateway", "ec2:CreateVpcPeeringConnection", "ec2:AcceptVpcPeeringConnection", "ec2:CreateEgressOnlyInternetGateway" ], "Resource": "", "Effect": "Deny" }, { "Action": [ "globalaccelerator:Create", "globalaccelerator:Update" ], "Resource": "", "Effect": "Deny" } ] }` Elija Crear política.	AWSadministrador
Adjunte elSCP.	En la página de políticas de control de servicios, elija la política que creó. En la pestaña Objetivos, seleccione Adjuntar. Seleccione la OU o la cuenta a la que desee adjuntar la política. Puede que tenga que OUs ampliar la unidad organizativa o la cuenta que desee. Elija Asociar política.	AWSadministrador

Recursos relacionados

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Notificar cuando se crea un IAM usuario

Restrinja el acceso en función de la dirección IP o la geolocalización