Contoh Umum - AWS Organizations
Tolak akses AWS berdasarkan permintaan Wilayah AWS Mencegah IAM pengguna dan peran membuat perubahan tertentu Mencegah IAM pengguna dan peran membuat perubahan tertentu, dengan pengecualian untuk peran admin yang ditentukan Membutuhkan MFA untuk melakukan API operasi Memblokir akses layanan untuk pengguna akar Mencegah akun anggota keluar dari organisasi

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Contoh Umum

Tolak akses AWS berdasarkan permintaan Wilayah AWS

Topik

    Ini SCP menolak akses ke operasi apa pun di luar Wilayah yang ditentukan. Ganti eu-central-1 dan eu-west-1 dengan yang ingin Wilayah AWS Anda gunakan. Ia memberikan pengecualian untuk operasi dalam layanan global yang disetujui. Contoh ini juga menunjukkan bagaimana untuk membebaskan permintaan yang dibuat oleh salah satu dari dua peran administrator yang ditentukan.

    catatan

    Untuk menggunakan Region deny SCP with AWS Control Tower, lihat Tolak akses AWS berdasarkan permintaan Wilayah AWS dalam Panduan Referensi AWS Control Tower Kontrol.

    Kebijakan ini menggunakan Deny untuk menolak akses ke semua permintaan untuk operasi yang tidak menargetkan salah satu dari dua wilayah yang disetujui (eu-central-1 dan eu-west-1). NotActionElemen ini memungkinkan Anda untuk membuat daftar layanan yang operasinya (atau operasi individu) dibebaskan dari pembatasan ini. Karena layanan global memiliki titik akhir yang secara fisik di-host oleh Wilayah us-east-1, mereka harus dibebaskan dengan cara ini. Dengan cara SCP terstruktur ini, permintaan yang dibuat untuk layanan global di us-east-1 Wilayah diizinkan jika layanan yang diminta disertakan dalam NotAction elemen. Permintaan lain untuk layanan di Wilayah us-east-1 ditolak oleh kebijakan contoh ini.

    catatan

    Contoh ini mungkin tidak mencakup semua global Layanan AWS atau operasi terbaru. Ganti daftar layanan dan operasi dengan layanan global yang digunakan oleh akun di organisasi Anda.

    Kiat

    Anda dapat melihat data layanan yang terakhir diakses di IAM konsol untuk menentukan layanan global apa yang digunakan organisasi Anda. Tab Access Advisor pada halaman detail untuk IAM pengguna, grup, atau peran menampilkan AWS layanan yang telah digunakan oleh entitas tersebut, diurutkan berdasarkan akses terbaru.

    Pertimbangan

    • AWS KMS dan AWS Certificate Manager mendukung titik akhir Regional. Namun, jika Anda ingin menggunakannya dengan layanan global seperti Amazon, CloudFront Anda harus memasukkannya ke dalam daftar pengecualian layanan global dalam contoh SCP berikut. Layanan global seperti Amazon CloudFront biasanya memerlukan akses ke AWS KMS dan ACM di wilayah yang sama, yang untuk layanan global adalah Wilayah AS Timur (Virginia N.us-east-1).

    • Secara default, AWS STS adalah layanan global dan harus dimasukkan dalam daftar pengecualian layanan global. Namun, Anda dapat mengaktifkan AWS STS untuk menggunakan titik akhir Wilayah alih-alih satu titik akhir global. Jika Anda melakukan ini, Anda dapat menghapus STS dari daftar pengecualian layanan global dalam contoh SCP berikut. Untuk informasi selengkapnya lihat Mengelola AWS STS dalam file Wilayah AWS.

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "DenyAllOutsideEU",
            "Effect": "Deny",
            "NotAction": [
                "a4b:*",
                "acm:*",
                "aws-marketplace-management:*",
                "aws-marketplace:*",
                "aws-portal:*",
                "budgets:*",
                "ce:*",
                "chime:*",
                "cloudfront:*",
                "config:*",
                "cur:*",
                "directconnect:*",
                "ec2:DescribeRegions",
                "ec2:DescribeTransitGateways",
                "ec2:DescribeVpnGateways",
                "fms:*",
                "globalaccelerator:*",
                "health:*",
                "iam:*",
                "importexport:*",
                "kms:*",
                "mobileanalytics:*",
                "networkmanager:*",
                "organizations:*",
                "pricing:*",
                "route53:*",
                "route53domains:*",
                "route53-recovery-cluster:*",
                "route53-recovery-control-config:*",
                "route53-recovery-readiness:*",
                "s3:GetAccountPublic*",
                "s3:ListAllMyBuckets",
                "s3:ListMultiRegionAccessPoints",
                "s3:PutAccountPublic*",
                "shield:*",
                "sts:*",
                "support:*",
                "trustedadvisor:*",
                "waf-regional:*",
                "waf:*",
                "wafv2:*",
                "wellarchitected:*"
            ],
            "Resource": "*",
            "Condition": {
                "StringNotEquals": {
                    "aws:RequestedRegion": [
                        "eu-central-1",
                        "eu-west-1"
                    ]
                },
                "ArnNotLike": {
                    "aws:PrincipalARN": [
                        "arn:aws:iam::*:role/Role1AllowedToBypassThisSCP",
                        "arn:aws:iam::*:role/Role2AllowedToBypassThisSCP"
                    ]
                }
            }
        }
    ]
}

    Mencegah IAM pengguna dan peran membuat perubahan tertentu

    Ini SCP membatasi IAM pengguna dan peran untuk membuat perubahan pada IAM peran tertentu yang Anda buat di semua akun di organisasi Anda.

    {    
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "DenyAccessToASpecificRole",
      "Effect": "Deny",
      "Action": [
        "iam:AttachRolePolicy",
        "iam:DeleteRole",
        "iam:DeleteRolePermissionsBoundary",
        "iam:DeleteRolePolicy",
        "iam:DetachRolePolicy",
        "iam:PutRolePermissionsBoundary",
        "iam:PutRolePolicy",
        "iam:UpdateAssumeRolePolicy",
        "iam:UpdateRole",
        "iam:UpdateRoleDescription"
      ],
      "Resource": [
        "arn:aws:iam::*:role/name-of-role-to-deny"
      ]
    }
  ]
}

    Mencegah IAM pengguna dan peran membuat perubahan tertentu, dengan pengecualian untuk peran admin yang ditentukan

    Ini SCP dibangun di atas contoh sebelumnya untuk membuat pengecualian bagi administrator. Ini mencegah IAM pengguna dan peran di akun yang terpengaruh membuat perubahan pada IAM peran administratif umum yang dibuat di semua akun di organisasi Anda kecuali administrator yang menggunakan peran tertentu. 

    {    
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "DenyAccessWithException",
      "Effect": "Deny",
      "Action": [
        "iam:AttachRolePolicy",
        "iam:DeleteRole",
        "iam:DeleteRolePermissionsBoundary",
        "iam:DeleteRolePolicy",
        "iam:DetachRolePolicy",
        "iam:PutRolePermissionsBoundary",
        "iam:PutRolePolicy",
        "iam:UpdateAssumeRolePolicy",
        "iam:UpdateRole",
        "iam:UpdateRoleDescription"
      ],
      "Resource": [
        "arn:aws:iam::*:role/name-of-role-to-deny"
      ],
      "Condition": {
        "ArnNotLike": {
          "aws:PrincipalARN":"arn:aws:iam::*:role/name-of-admin-role-to-allow"
        }
      }
    }
  ]
}

    Membutuhkan MFA untuk melakukan API operasi

    Gunakan SCP seperti berikut ini untuk mengharuskan otentikasi multi-faktor (MFA) diaktifkan sebelum IAM pengguna atau peran dapat melakukan tindakan. Dalam contoh ini, tindakannya adalah menghentikan EC2 instance Amazon.

    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "DenyStopAndTerminateWhenMFAIsNotPresent",
      "Effect": "Deny",
      "Action": [
        "ec2:StopInstances",
        "ec2:TerminateInstances"
      ],
      "Resource": "*",
      "Condition": {"BoolIfExists": {"aws:MultiFactorAuthPresent": false}}
    }
  ]
}

    Memblokir akses layanan untuk pengguna akar

    Kebijakan berikut membatasi semua akses ke tindakan tertentu untuk pengguna akar dalam akun anggota. Jika Anda ingin mencegah akun Anda menggunakan kredensial akar dengan cara tertentu, tambahkan tindakan Anda sendiri ke kebijakan ini.

    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "RestrictEC2ForRoot",
      "Effect": "Deny",
      "Action": [
        "ec2:*"
      ],
      "Resource": [
        "*"
      ],
      "Condition": {
        "StringLike": {
          "aws:PrincipalArn": [
            "arn:aws:iam::*:root"
          ]
        }
      }
    }
  ]
}

    Mencegah akun anggota keluar dari organisasi

    Kebijakan berikut memblokir penggunaan LeaveOrganization API operasi sehingga administrator akun anggota tidak dapat menghapus akun mereka dari organisasi.

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Deny",
            "Action": [
                "organizations:LeaveOrganization"
            ],
            "Resource": "*"
        }
    ]
}