Exemples généraux - AWS Organizations

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Exemples généraux

Refuser l'accès à la AWS base de la demande Région AWS

Rubriques

    Cela SCP empêche l'accès à toute opération en dehors des régions spécifiées. Remplacez eu-central-1 et eu-west-1 par celui que Régions AWS vous souhaitez utiliser. La politique prévoit des exemptions pour les opérations dans les services mondiaux approuvés. Cet exemple montre également comment exempter les demandes faites par l'un des deux rôles d'administrateur spécifiés.

    Note

    Pour utiliser le refus de région SCP avec AWS Control Tower, voir Refuser l'accès en AWS fonction de ce qui est demandé Région AWS dans le Guide de référence AWS Control Tower des contrôles.

    Cette politique utilise l'effet Deny pour refuser l'accès à toutes les demandes d'opérations qui ne ciblent pas l'une des deux régions approuvées (eu-central-1 et eu-west-1). L'NotActionélément vous permet de répertorier les services dont les opérations (ou les opérations individuelles) sont exemptées de cette restriction. Étant donné que les services mondiaux ont des points de terminaison hébergés physiquement par la région us-east-1, ils doivent être exemptés de cette façon. Avec une SCP telle structure, les demandes adressées aux services mondiaux de la us-east-1 Région sont autorisées si le service demandé est inclus dans l'NotActionélément. Toutes les autres demandes adressées à des services dans la région us-east-1 sont refusées par cet exemple de politique.

    Note

    Cet exemple peut ne pas inclure toutes les dernières opérations globales Services AWS ou opérationnelles. Remplacez la liste des services et opérations par les services mondiaux utilisés par les comptes de votre organisation.

    Conseil

    Vous pouvez consulter les données du dernier accès au service dans la IAM console afin de déterminer les services mondiaux utilisés par votre organisation. L'onglet Access Advisor de la page de détails d'un IAM utilisateur, d'un groupe ou d'un rôle affiche les AWS services utilisés par cette entité, triés selon l'accès le plus récent.

    Considérations
    • AWS KMS et AWS Certificate Manager soutenez les points de terminaison régionaux. Toutefois, si vous souhaitez les utiliser avec un service mondial tel qu'Amazon, CloudFront vous devez les inclure dans la liste globale d'exclusion des services dans l'exemple suivantSCP. Un service mondial tel qu'Amazon nécessite CloudFront généralement un accès à AWS KMS et ACM dans la même région, qui, pour un service mondial, est la région des États-Unis (Virginie du Nord) (us-east-1).

    • Par défaut, AWS STS il s'agit d'un service global qui doit être inclus dans la liste globale d'exclusion des services. Toutefois, vous pouvez activer l'utilisation AWS STS des points de terminaison régionaux au lieu d'un point de terminaison global unique. Dans ce cas, vous pouvez le supprimer STS de la liste globale des exemptions de service dans l'exemple suivantSCP. Pour plus d'informations, voir Gestion AWS STS dans un Région AWS.

    { "Version": "2012-10-17", "Statement": [ { "Sid": "DenyAllOutsideEU", "Effect": "Deny", "NotAction": [ "a4b:*", "acm:*", "aws-marketplace-management:*", "aws-marketplace:*", "aws-portal:*", "budgets:*", "ce:*", "chime:*", "cloudfront:*", "config:*", "cur:*", "directconnect:*", "ec2:DescribeRegions", "ec2:DescribeTransitGateways", "ec2:DescribeVpnGateways", "fms:*", "globalaccelerator:*", "health:*", "iam:*", "importexport:*", "kms:*", "mobileanalytics:*", "networkmanager:*", "organizations:*", "pricing:*", "route53:*", "route53domains:*", "route53-recovery-cluster:*", "route53-recovery-control-config:*", "route53-recovery-readiness:*", "s3:GetAccountPublic*", "s3:ListAllMyBuckets", "s3:ListMultiRegionAccessPoints", "s3:PutAccountPublic*", "shield:*", "sts:*", "support:*", "trustedadvisor:*", "waf-regional:*", "waf:*", "wafv2:*", "wellarchitected:*" ], "Resource": "*", "Condition": { "StringNotEquals": { "aws:RequestedRegion": [ "eu-central-1", "eu-west-1" ] }, "ArnNotLike": { "aws:PrincipalARN": [ "arn:aws:iam::*:role/Role1AllowedToBypassThisSCP", "arn:aws:iam::*:role/Role2AllowedToBypassThisSCP" ] } } } ] }

    Empêcher IAM les utilisateurs et les rôles d'apporter certaines modifications

    Cela SCP empêche les IAM utilisateurs et les rôles d'apporter des modifications au IAM rôle spécifié que vous avez créé dans tous les comptes de votre organisation.

    { "Version": "2012-10-17", "Statement": [ { "Sid": "DenyAccessToASpecificRole", "Effect": "Deny", "Action": [ "iam:AttachRolePolicy", "iam:DeleteRole", "iam:DeleteRolePermissionsBoundary", "iam:DeleteRolePolicy", "iam:DetachRolePolicy", "iam:PutRolePermissionsBoundary", "iam:PutRolePolicy", "iam:UpdateAssumeRolePolicy", "iam:UpdateRole", "iam:UpdateRoleDescription" ], "Resource": [ "arn:aws:iam::*:role/name-of-role-to-deny" ] } ] }

    Empêcher IAM les utilisateurs et les rôles d'apporter des modifications spécifiques, à l'exception d'un rôle d'administrateur spécifié

    Cela SCP s'appuie sur l'exemple précédent pour créer une exception pour les administrateurs. Cela empêche IAM les utilisateurs et les rôles des comptes concernés d'apporter des modifications à un IAM rôle administratif commun créé dans tous les comptes de votre organisation, à l'exception des administrateurs utilisant un rôle spécifique.

    { "Version": "2012-10-17", "Statement": [ { "Sid": "DenyAccessWithException", "Effect": "Deny", "Action": [ "iam:AttachRolePolicy", "iam:DeleteRole", "iam:DeleteRolePermissionsBoundary", "iam:DeleteRolePolicy", "iam:DetachRolePolicy", "iam:PutRolePermissionsBoundary", "iam:PutRolePolicy", "iam:UpdateAssumeRolePolicy", "iam:UpdateRole", "iam:UpdateRoleDescription" ], "Resource": [ "arn:aws:iam::*:role/name-of-role-to-deny" ], "Condition": { "ArnNotLike": { "aws:PrincipalARN":"arn:aws:iam::*:role/name-of-admin-role-to-allow" } } } ] }

    Exiger MFA d'effectuer une API opération

    Utilisez l'une SCP des méthodes suivantes pour exiger que l'authentification multifactorielle (MFA) soit activée avant qu'un IAM utilisateur ou un rôle puisse effectuer une action. Dans cet exemple, l'action consiste à arrêter une EC2 instance Amazon.

    { "Version": "2012-10-17", "Statement": [ { "Sid": "DenyStopAndTerminateWhenMFAIsNotPresent", "Effect": "Deny", "Action": [ "ec2:StopInstances", "ec2:TerminateInstances" ], "Resource": "*", "Condition": {"BoolIfExists": {"aws:MultiFactorAuthPresent": false}} } ] }

    Bloquer l'accès à des services pour l'utilisateur racine

    La politique suivante limite l'accès à toutes les actions spécifiées pour l'utilisateur racine dans un compte membre. Si vous souhaitez empêcher vos comptes d'utiliser des informations d'identification racine de certaines façons, ajoutez vos propres actions à cette politique.

    { "Version": "2012-10-17", "Statement": [ { "Sid": "RestrictEC2ForRoot", "Effect": "Deny", "Action": [ "ec2:*" ], "Resource": [ "*" ], "Condition": { "StringLike": { "aws:PrincipalArn": [ "arn:aws:iam::*:root" ] } } } ] }

    Empêcher les comptes membres de quitter l'organisation

    La politique suivante bloque l'utilisation de cette LeaveOrganization API opération afin que les administrateurs des comptes des membres ne puissent pas supprimer leurs comptes de l'organisation.

    { "Version": "2012-10-17", "Statement": [ { "Effect": "Deny", "Action": [ "organizations:LeaveOrganization" ], "Resource": "*" } ] }