Esempi generali - AWS Organizations
Negare l'accesso a AWS in base alla richiesta Regione AWS Impedire a IAM utenti e ruoli di apportare determinate modifiche Impedisci a IAM utenti e ruoli di apportare modifiche specifiche, con un'eccezione per un ruolo di amministratore specifico Richiede MFA di eseguire un'APIoperazione Bloccare l'accesso al servizio per l'utente root L'account di gestione può anche impedire agli account membri di lasciare l'organizzazione.

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Esempi generali

Negare l'accesso a AWS in base alla richiesta Regione AWS

Argomenti

    Ciò impedisce SCP l'accesso a qualsiasi operazione al di fuori delle Regioni specificate. Sostituisci eu-central-1 e eu-west-1 con Regioni AWS che vuoi usare. Fornisce esenzioni per le operazioni nei servizi globali approvati. In questo esempio viene inoltre illustrato come esentare le richieste effettuate da uno dei due ruoli di amministratore specificati.

    Nota

    Per utilizzare la regione, negare con SCP AWS Control Tower, vedi Negare l'accesso a AWS in base alla richiesta Regione AWS nella AWS Control Tower Guida di riferimento ai controlli.

    Questa policy utilizza l'effetto Deny per rifiutare l'accesso a tutte le richieste di operazioni non presenti una delle due regioni approvate (eu-central-1 e eu-west-1). L'NotActionelemento consente di elencare i servizi le cui operazioni (o singole operazioni) sono esenti da questa restrizione. Poiché i servizi globali dispongono di endpoint ospitati fisicamente dalla us-east-1, devono essere esentati in questo modo. Con una SCP struttura in questo modo, le richieste effettuate ai servizi globali nella us-east-1 regione sono consentite se il servizio richiesto è incluso nell'NotActionelemento. Eventuali altre richieste ai servizi nella regione us-east-1 sono negate da questa policy di esempio.

    Nota

    Questo esempio potrebbe non includere tutte le versioni globali più recenti Servizi AWS o operazioni. Sostituisci l'elenco di servizi e operazioni con i servizi globali utilizzati dagli account nella tua organizzazione.

    Suggerimento

    È possibile visualizzare i dati dell'ultimo accesso al servizio nella IAM console per determinare i servizi globali utilizzati dall'organizzazione. La scheda Access Advisor nella pagina dei dettagli di un IAM utente, gruppo o ruolo mostra il AWS servizi che sono stati utilizzati da tale entità, ordinati in base all'accesso più recente.

    Considerazioni

    • AWS KMS e AWS Certificate Manager supporta gli endpoint regionali. Tuttavia, se desideri utilizzarli con un servizio globale come Amazon, CloudFront devi includerli nell'elenco di esclusione dei servizi globale nell'esempio SCP seguente. Un servizio globale come Amazon richiede CloudFront in genere l'accesso a AWS KMS e ACM nella stessa regione, che per un servizio globale è la regione Stati Uniti orientali (Virginia settentrionale) (us-east-1).

    • Per impostazione predefinita, AWS STS è un servizio globale e deve essere incluso nell'elenco globale di esclusione dei servizi. Tuttavia, è possibile abilitare AWS STS per utilizzare gli endpoint regionali anziché un singolo endpoint globale. Se si esegue questa operazione, è possibile rimuoverla STS dall'elenco globale delle esenzioni dal servizio riportato nell'esempio seguente. SCP Per ulteriori informazioni, vedere Gestione AWS STS in un Regione AWS.

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "DenyAllOutsideEU",
            "Effect": "Deny",
            "NotAction": [
                "a4b:*",
                "acm:*",
                "aws-marketplace-management:*",
                "aws-marketplace:*",
                "aws-portal:*",
                "budgets:*",
                "ce:*",
                "chime:*",
                "cloudfront:*",
                "config:*",
                "cur:*",
                "directconnect:*",
                "ec2:DescribeRegions",
                "ec2:DescribeTransitGateways",
                "ec2:DescribeVpnGateways",
                "fms:*",
                "globalaccelerator:*",
                "health:*",
                "iam:*",
                "importexport:*",
                "kms:*",
                "mobileanalytics:*",
                "networkmanager:*",
                "organizations:*",
                "pricing:*",
                "route53:*",
                "route53domains:*",
                "route53-recovery-cluster:*",
                "route53-recovery-control-config:*",
                "route53-recovery-readiness:*",
                "s3:GetAccountPublic*",
                "s3:ListAllMyBuckets",
                "s3:ListMultiRegionAccessPoints",
                "s3:PutAccountPublic*",
                "shield:*",
                "sts:*",
                "support:*",
                "trustedadvisor:*",
                "waf-regional:*",
                "waf:*",
                "wafv2:*",
                "wellarchitected:*"
            ],
            "Resource": "*",
            "Condition": {
                "StringNotEquals": {
                    "aws:RequestedRegion": [
                        "eu-central-1",
                        "eu-west-1"
                    ]
                },
                "ArnNotLike": {
                    "aws:PrincipalARN": [
                        "arn:aws:iam::*:role/Role1AllowedToBypassThisSCP",
                        "arn:aws:iam::*:role/Role2AllowedToBypassThisSCP"
                    ]
                }
            }
        }
    ]
}

    Impedire a IAM utenti e ruoli di apportare determinate modifiche

    Ciò SCP impedisce IAM agli utenti e ai ruoli di apportare modifiche al IAM ruolo specificato che hai creato in tutti gli account dell'organizzazione.

    {    
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "DenyAccessToASpecificRole",
      "Effect": "Deny",
      "Action": [
        "iam:AttachRolePolicy",
        "iam:DeleteRole",
        "iam:DeleteRolePermissionsBoundary",
        "iam:DeleteRolePolicy",
        "iam:DetachRolePolicy",
        "iam:PutRolePermissionsBoundary",
        "iam:PutRolePolicy",
        "iam:UpdateAssumeRolePolicy",
        "iam:UpdateRole",
        "iam:UpdateRoleDescription"
      ],
      "Resource": [
        "arn:aws:iam::*:role/name-of-role-to-deny"
      ]
    }
  ]
}

    Impedisci a IAM utenti e ruoli di apportare modifiche specifiche, con un'eccezione per un ruolo di amministratore specifico

    Questo SCP si basa sull'esempio precedente per creare un'eccezione per gli amministratori. Impedisce IAM agli utenti e ai ruoli degli account interessati di apportare modifiche a un IAM ruolo amministrativo comune creato in tutti gli account dell'organizzazione ad eccezione degli amministratori che utilizzano un ruolo specifico. 

    {    
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "DenyAccessWithException",
      "Effect": "Deny",
      "Action": [
        "iam:AttachRolePolicy",
        "iam:DeleteRole",
        "iam:DeleteRolePermissionsBoundary",
        "iam:DeleteRolePolicy",
        "iam:DetachRolePolicy",
        "iam:PutRolePermissionsBoundary",
        "iam:PutRolePolicy",
        "iam:UpdateAssumeRolePolicy",
        "iam:UpdateRole",
        "iam:UpdateRoleDescription"
      ],
      "Resource": [
        "arn:aws:iam::*:role/name-of-role-to-deny"
      ],
      "Condition": {
        "StringNotLike": {
          "aws:PrincipalARN":"arn:aws:iam::*:role/name-of-admin-role-to-allow"
        }
      }
    }
  ]
}

    Richiede MFA di eseguire un'APIoperazione

    Utilizzate un'opzione SCP simile alla seguente per richiedere che l'autenticazione a più fattori (MFA) sia abilitata prima che un IAM utente o un ruolo possa eseguire un'azione. In questo esempio, l'azione consiste nel fermare un'EC2istanza Amazon.

    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "DenyStopAndTerminateWhenMFAIsNotPresent",
      "Effect": "Deny",
      "Action": [
        "ec2:StopInstances",
        "ec2:TerminateInstances"
      ],
      "Resource": "*",
      "Condition": {"BoolIfExists": {"aws:MultiFactorAuthPresent": false}}
    }
  ]
}

    Bloccare l'accesso al servizio per l'utente root

    La policy seguente impedisce tutti gli accessi alle operazioni specificate per l'utente root in un account. Se desideri impedire agli account di usare le credenziali root in modi specifici, aggiungi le tue operazioni a questa policy.

    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "RestrictEC2ForRoot",
      "Effect": "Deny",
      "Action": [
        "ec2:*"
      ],
      "Resource": [
        "*"
      ],
      "Condition": {
        "StringLike": {
          "aws:PrincipalArn": [
            "arn:aws:iam::*:root"
          ]
        }
      }
    }
  ]
}

    L'account di gestione può anche impedire agli account membri di lasciare l'organizzazione.

    La seguente politica blocca l'uso dell'LeaveOrganizationAPIoperazione in modo che gli amministratori degli account dei membri non possano rimuovere i propri account dall'organizzazione.

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Deny",
            "Action": [
                "organizations:LeaveOrganization"
            ],
            "Resource": "*"
        }
    ]
}