Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Esempi generali
Negare l'accesso a AWS in base alla richiesta Regione AWS
Argomenti
Ciò SCP nega l'accesso a qualsiasi operazione al di fuori delle Regioni specificate. Sostituisci eu-central-1
e eu-west-1
con Regioni AWS quello che vuoi usare. Fornisce esenzioni per le operazioni nei servizi globali approvati. In questo esempio viene inoltre illustrato come esentare le richieste effettuate da uno dei due ruoli di amministratore specificati.
Nota
Per utilizzare l'opzione Region deny SCP with AWS Control Tower, vedi Negare l'accesso a in AWS base a quanto richiesto Regione AWS nella AWS Control Tower Controls Reference Guide.
Questa policy utilizza l'effetto Deny
per rifiutare l'accesso a tutte le richieste di operazioni non presenti una delle due regioni approvate (eu-central-1
e eu-west-1
). L'NotActionelemento consente di elencare i servizi le cui operazioni (o singole operazioni) sono esenti da questa restrizione. Poiché i servizi globali dispongono di endpoint ospitati fisicamente dalla us-east-1
, devono essere esentati in questo modo. Con una SCP struttura in questo modo, le richieste effettuate ai servizi globali nella us-east-1
regione sono consentite se il servizio richiesto è incluso nell'NotAction
elemento. Eventuali altre richieste ai servizi nella regione us-east-1
sono negate da questa policy di esempio.
Nota
Questo esempio potrebbe non includere tutte le operazioni Servizi AWS o le operazioni globali più recenti. Sostituisci l'elenco di servizi e operazioni con i servizi globali utilizzati dagli account nella tua organizzazione.
Suggerimento
È possibile visualizzare i dati dell'ultimo accesso al servizio nella IAM console per determinare i servizi globali utilizzati dall'organizzazione. La scheda Access Advisor nella pagina dei dettagli di un IAM utente, gruppo o ruolo mostra i AWS servizi che sono stati utilizzati da quell'entità, ordinati in base all'accesso più recente.
Considerazioni
-
AWS KMS e AWS Certificate Manager supportano gli endpoint regionali. Tuttavia, se desideri utilizzarli con un servizio globale come Amazon, CloudFront devi includerli nell'elenco di esclusione dei servizi globale nell'esempio SCP seguente. Un servizio globale come Amazon richiede in CloudFront genere l'accesso AWS KMS e ACM nella stessa regione, che per un servizio globale è la regione Stati Uniti orientali (Virginia settentrionale) (
us-east-1
). -
Per impostazione predefinita, AWS STS è un servizio globale e deve essere incluso nell'elenco di esclusione dei servizi globali. Tuttavia, puoi AWS STS abilitare l'utilizzo degli endpoint regionali anziché un singolo endpoint globale. In tal caso, è possibile rimuoverlo STS dall'elenco globale delle esenzioni dal servizio nell'esempio seguente. SCP Per ulteriori informazioni, vedere Managing AWS STS in an Regione AWS.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "DenyAllOutsideEU", "Effect": "Deny", "NotAction": [ "a4b:*", "acm:*", "aws-marketplace-management:*", "aws-marketplace:*", "aws-portal:*", "budgets:*", "ce:*", "chime:*", "cloudfront:*", "config:*", "cur:*", "directconnect:*", "ec2:DescribeRegions", "ec2:DescribeTransitGateways", "ec2:DescribeVpnGateways", "fms:*", "globalaccelerator:*", "health:*", "iam:*", "importexport:*", "kms:*", "mobileanalytics:*", "networkmanager:*", "organizations:*", "pricing:*", "route53:*", "route53domains:*", "route53-recovery-cluster:*", "route53-recovery-control-config:*", "route53-recovery-readiness:*", "s3:GetAccountPublic*", "s3:ListAllMyBuckets", "s3:ListMultiRegionAccessPoints", "s3:PutAccountPublic*", "shield:*", "sts:*", "support:*", "trustedadvisor:*", "waf-regional:*", "waf:*", "wafv2:*", "wellarchitected:*" ], "Resource": "*", "Condition": { "StringNotEquals": { "aws:RequestedRegion": [ "eu-central-1", "eu-west-1" ] }, "ArnNotLike": { "aws:PrincipalARN": [ "arn:aws:iam::*:role/Role1AllowedToBypassThisSCP", "arn:aws:iam::*:role/Role2AllowedToBypassThisSCP" ] } } } ] }
Impedire a IAM utenti e ruoli di apportare determinate modifiche
Ciò SCP impedisce IAM agli utenti e ai ruoli di apportare modifiche al IAM ruolo specificato che hai creato in tutti gli account dell'organizzazione.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "DenyAccessToASpecificRole", "Effect": "Deny", "Action": [ "iam:AttachRolePolicy", "iam:DeleteRole", "iam:DeleteRolePermissionsBoundary", "iam:DeleteRolePolicy", "iam:DetachRolePolicy", "iam:PutRolePermissionsBoundary", "iam:PutRolePolicy", "iam:UpdateAssumeRolePolicy", "iam:UpdateRole", "iam:UpdateRoleDescription" ], "Resource": [ "arn:aws:iam::*:role/name-of-role-to-deny" ] } ] }
Impedisci a IAM utenti e ruoli di apportare modifiche specifiche, con un'eccezione per un ruolo di amministratore specifico
Questo SCP si basa sull'esempio precedente per creare un'eccezione per gli amministratori. Impedisce IAM agli utenti e ai ruoli degli account interessati di apportare modifiche a un IAM ruolo amministrativo comune creato in tutti gli account dell'organizzazione ad eccezione degli amministratori che utilizzano un ruolo specifico.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "DenyAccessWithException", "Effect": "Deny", "Action": [ "iam:AttachRolePolicy", "iam:DeleteRole", "iam:DeleteRolePermissionsBoundary", "iam:DeleteRolePolicy", "iam:DetachRolePolicy", "iam:PutRolePermissionsBoundary", "iam:PutRolePolicy", "iam:UpdateAssumeRolePolicy", "iam:UpdateRole", "iam:UpdateRoleDescription" ], "Resource": [ "arn:aws:iam::*:role/name-of-role-to-deny" ], "Condition": { "ArnNotLike": { "aws:PrincipalARN":"arn:aws:iam::*:role/name-of-admin-role-to-allow" } } } ] }
Richiede MFA di eseguire un'APIoperazione
Utilizzate un'opzione SCP simile alla seguente per richiedere che l'autenticazione a più fattori (MFA) sia abilitata prima che un IAM utente o un ruolo possa eseguire un'azione. In questo esempio, l'azione consiste nel fermare un'EC2istanza Amazon.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "DenyStopAndTerminateWhenMFAIsNotPresent", "Effect": "Deny", "Action": [ "ec2:StopInstances", "ec2:TerminateInstances" ], "Resource": "*", "Condition": {"BoolIfExists": {"aws:MultiFactorAuthPresent": false}} } ] }
Bloccare l'accesso al servizio per l'utente root
La policy seguente impedisce tutti gli accessi alle operazioni specificate per l'utente root in un account. Se desideri impedire agli account di usare le credenziali root in modi specifici, aggiungi le tue operazioni a questa policy.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "RestrictEC2ForRoot", "Effect": "Deny", "Action": [ "ec2:*" ], "Resource": [ "*" ], "Condition": { "StringLike": { "aws:PrincipalArn": [ "arn:aws:iam::*:root" ] } } } ] }
L'account di gestione può anche impedire agli account membri di lasciare l'organizzazione.
La seguente politica blocca l'uso dell'LeaveOrganization
APIoperazione in modo che gli amministratori degli account dei membri non possano rimuovere i propri account dall'organizzazione.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Deny", "Action": [ "organizations:LeaveOrganization" ], "Resource": "*" } ] }