Exemples généraux - AWS Organizations
Refuser l'accès à la AWS base de la demande Région AWS Empêcher les utilisateurs et les rôles IAM d'apporter certaines modifications Empêcher les utilisateurs et les rôles IAM d'apporter des modifications spécifiées, à l'exception d'un rôle administrateur spécifié Exiger une MFA pour effectuer une action API Bloquer l'accès à des services pour l'utilisateur racine Empêcher les comptes membres de quitter l'organisation

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Exemples généraux

Refuser l'accès à la AWS base de la demande Région AWS

Rubriques

    Cette politique SCP refuse l'accès à toutes les opérations en dehors des régions spécifiées. Remplacez eu-central-1 et eu-west-1 par celui que Régions AWS vous souhaitez utiliser. La politique prévoit des exemptions pour les opérations dans les services mondiaux approuvés. Cet exemple montre également comment exempter les demandes faites par l'un des deux rôles d'administrateur spécifiés.

    Note

    Pour utiliser la région avec laquelle refuser le SCP AWS Control Tower, voir Refuser l'accès en AWS fonction de ce qui est demandé Région AWS dans le guide de référence sur les AWS Control Tower contrôles.

    Cette politique utilise l'effet Deny pour refuser l'accès à toutes les demandes d'opérations qui ne ciblent pas l'une des deux régions approuvées (eu-central-1 et eu-west-1). L'NotActionélément vous permet de répertorier les services dont les opérations (ou les opérations individuelles) sont exemptées de cette restriction. Étant donné que les services mondiaux ont des points de terminaison hébergés physiquement par la région us-east-1, ils doivent être exemptés de cette façon. Avec une politique SCP structurée de cette manière, les demandes adressées aux services mondiaux dans la région us-east-1 sont autorisées si le service demandé est inclus dans l'élément NotAction. Toutes les autres demandes adressées à des services dans la région us-east-1 sont refusées par cet exemple de politique.

    Note

    Cet exemple peut ne pas inclure tous les derniers AWS services ou opérations mondiaux. Remplacez la liste des services et opérations par les services mondiaux utilisés par les comptes de votre organisation.

    Conseil

    Vous pouvez afficher les dernières informations consultées relatives aux services dans la console IAM pour déterminer les services mondiaux utilisés par votre organisation. L'onglet Access Advisor de la page de détails d'un utilisateur, d'un groupe ou d'un rôle IAM affiche les services AWS qui ont été utilisés par cette entité, triés en fonction de l'accès le plus récent.

    Considérations

    • AWS KMS et AWS Certificate Manager soutenez les points de terminaison régionaux. Toutefois, si vous souhaitez les utiliser avec un service mondial tel qu'Amazon, CloudFront vous devez les inclure dans la liste d'exclusion des services mondiaux dans l'exemple de SCP suivant. Un service mondial tel qu'Amazon nécessite CloudFront généralement un accès AWS KMS et un ACM dans la même région, qui, pour un service mondial, est la région des États-Unis (Virginie du Nord) (us-east-1).

    • Par défaut, AWS STS il s'agit d'un service global qui doit être inclus dans la liste globale d'exclusion des services. Toutefois, vous pouvez activer l'utilisation AWS STS des points de terminaison régionaux au lieu d'un point de terminaison global unique. Si vous faites cela, vous pouvez supprimer STS de la liste d'exemptions de services mondiaux dans l'exemple SCP suivant. Pour plus d'informations, voir Gestion AWS STS dans un Région AWS.

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "DenyAllOutsideEU",
            "Effect": "Deny",
            "NotAction": [
                "a4b:*",
                "acm:*",
                "aws-marketplace-management:*",
                "aws-marketplace:*",
                "aws-portal:*",
                "budgets:*",
                "ce:*",
                "chime:*",
                "cloudfront:*",
                "config:*",
                "cur:*",
                "directconnect:*",
                "ec2:DescribeRegions",
                "ec2:DescribeTransitGateways",
                "ec2:DescribeVpnGateways",
                "fms:*",
                "globalaccelerator:*",
                "health:*",
                "iam:*",
                "importexport:*",
                "kms:*",
                "mobileanalytics:*",
                "networkmanager:*",
                "organizations:*",
                "pricing:*",
                "route53:*",
                "route53domains:*",
                "route53-recovery-cluster:*",
                "route53-recovery-control-config:*",
                "route53-recovery-readiness:*",
                "s3:GetAccountPublic*",
                "s3:ListAllMyBuckets",
                "s3:ListMultiRegionAccessPoints",
                "s3:PutAccountPublic*",
                "shield:*",
                "sts:*",
                "support:*",
                "trustedadvisor:*",
                "waf-regional:*",
                "waf:*",
                "wafv2:*",
                "wellarchitected:*"
            ],
            "Resource": "*",
            "Condition": {
                "StringNotEquals": {
                    "aws:RequestedRegion": [
                        "eu-central-1",
                        "eu-west-1"
                    ]
                },
                "ArnNotLike": {
                    "aws:PrincipalARN": [
                        "arn:aws:iam::*:role/Role1AllowedToBypassThisSCP",
                        "arn:aws:iam::*:role/Role2AllowedToBypassThisSCP"
                    ]
                }
            }
        }
    ]
}

    Empêcher les utilisateurs et les rôles IAM d'apporter certaines modifications

    Cette politique de contrôle des services empêche les utilisateurs et rôles IAM d'apporter des modifications au rôle IAM spécifié que vous avez créé dans tous les comptes de votre organisation.

    {    
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "DenyAccessToASpecificRole",
      "Effect": "Deny",
      "Action": [
        "iam:AttachRolePolicy",
        "iam:DeleteRole",
        "iam:DeleteRolePermissionsBoundary",
        "iam:DeleteRolePolicy",
        "iam:DetachRolePolicy",
        "iam:PutRolePermissionsBoundary",
        "iam:PutRolePolicy",
        "iam:UpdateAssumeRolePolicy",
        "iam:UpdateRole",
        "iam:UpdateRoleDescription"
      ],
      "Resource": [
        "arn:aws:iam::*:role/name-of-role-to-deny"
      ]
    }
  ]
}

    Empêcher les utilisateurs et les rôles IAM d'apporter des modifications spécifiées, à l'exception d'un rôle administrateur spécifié

    Cette politique SCP s'appuie sur l'exemple précédent pour créer une exception pour les administrateurs. Elle empêche les utilisateurs et les rôles IAM des comptes concernés de modifier un rôle IAM d'administration commun créé dans tous les comptes de votre organisation, à l'exception des administrateurs qui utilisent un rôle spécifié. 

    {    
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "DenyAccessWithException",
      "Effect": "Deny",
      "Action": [
        "iam:AttachRolePolicy",
        "iam:DeleteRole",
        "iam:DeleteRolePermissionsBoundary",
        "iam:DeleteRolePolicy",
        "iam:DetachRolePolicy",
        "iam:PutRolePermissionsBoundary",
        "iam:PutRolePolicy",
        "iam:UpdateAssumeRolePolicy",
        "iam:UpdateRole",
        "iam:UpdateRoleDescription"
      ],
      "Resource": [
        "arn:aws:iam::*:role/name-of-role-to-deny"
      ],
      "Condition": {
        "StringNotLike": {
          "aws:PrincipalARN":"arn:aws:iam::*:role/name-of-admin-role-to-allow"
        }
      }
    }
  ]
}

    Exiger une MFA pour effectuer une action API

    Utilisez une politique SCP telle que ci-dessous pour exiger l'activation de l'authentification multi-facteur (MFA) avant qu'un utilisateur ou un rôle IAM puisse effectuer une action. Dans cet exemple, l'action consiste à arrêter une instance Amazon EC2.

    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "DenyStopAndTerminateWhenMFAIsNotPresent",
      "Effect": "Deny",
      "Action": [
        "ec2:StopInstances",
        "ec2:TerminateInstances"
      ],
      "Resource": "*",
      "Condition": {"BoolIfExists": {"aws:MultiFactorAuthPresent": false}}
    }
  ]
}

    Bloquer l'accès à des services pour l'utilisateur racine

    La politique suivante limite l'accès à toutes les actions spécifiées pour l'utilisateur racine dans un compte membre. Si vous souhaitez empêcher vos comptes d'utiliser des informations d'identification racine de certaines façons, ajoutez vos propres actions à cette politique.

    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "RestrictEC2ForRoot",
      "Effect": "Deny",
      "Action": [
        "ec2:*"
      ],
      "Resource": [
        "*"
      ],
      "Condition": {
        "StringLike": {
          "aws:PrincipalArn": [
            "arn:aws:iam::*:root"
          ]
        }
      }
    }
  ]
}

    Empêcher les comptes membres de quitter l'organisation

    La politique suivante bloque l'utilisation de l'opération d'API LeaveOrganization afin que les administrateurs des comptes membres ne puissent pas retirer leurs comptes de l'organisation.

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Deny",
            "Action": [
                "organizations:LeaveOrganization"
            ],
            "Resource": "*"
        }
    ]
}