Impeça o acesso à Internet no nível da conta usando uma política de controle de serviços - Recomendações da AWS
ResumoPré-requisitos e limitaçõesFerramentasPráticas recomendadasÉpicosRecursos relacionados

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Impeça o acesso à Internet no nível da conta usando uma política de controle de serviços

Criado por Sergiy Shevchenko (AWS), Sean O'Sullivan (AWS) e Victor Mazeo Whitaker (AWS)

Resumo

Frequentemente, as organizações desejam limitar o acesso à Internet aos recursos da conta que devem permanecer privados. Nessas contas, os recursos em nuvens privadas virtuais (VPCs) não devem acessar a Internet de forma alguma. Muitas organizações escolhem uma arquitetura de inspeção centralizada. Para o tráfego leste-oeste (VPC para VPC) em uma arquitetura de inspeção centralizada, você precisa garantir que as contas spoke e seus recursos não tenham acesso à Internet. Para tráfego norte-sul (saída da Internet e local), você deseja permitir o acesso à Internet somente por meio da VPC de inspeção.

Esse padrão usa uma política de controle de serviço (SCP) para ajudar a impedir o acesso à Internet. Você pode aplicar esse SCP no nível da conta ou da unidade organizacional (OU). O SCP limita a conectividade com a Internet impedindo o seguinte:

Pré-requisitos e limitações

Pré-requisitos

Limitações

  • SCPs não afetam usuários ou funções na conta de gerenciamento. Elas afetam apenas as contas-membro de sua organização.

  • SCPs afetam somente usuários e funções AWS Identity and Access Management (IAM) que são gerenciados por contas que fazem parte da organização. Para obter mais informações, consulte Efeitos do SCP sobre as permissões.

Ferramentas

Serviços da AWS

  • AWS Organizationsé um serviço de gerenciamento de contas que ajuda você a consolidar várias Contas da AWS em uma organização que você cria e gerencia centralmente. Nesse padrão, você usa políticas de controle de serviço (SCPs) em AWS Organizations.

  • A Amazon Virtual Private Cloud (Amazon VPC) ajuda você a lançar AWS recursos em uma rede virtual que você definiu. Essa rede virtual é semelhante a uma rede tradicional que você operaria no próprio datacenter, com os benefícios de usar a infraestrutura escalável da AWS.

Práticas recomendadas

Depois de estabelecer esse SCP em sua organização, certifique-se de atualizá-lo com frequência para abordar quaisquer novos recursos Serviços da AWS ou recursos que possam afetar o acesso à Internet.

Épicos

TarefaDescriçãoHabilidades necessárias

Crie o SCP.

  1. Faça login no console do AWS Organizations. Você deve entrar na conta de gerenciamento da organização.

  2. No painel esquerdo, escolha Políticas.

  3. Na página de políticas, escolha Políticas de controle de serviço.

  4. Na página Service control policies (Políticas de controle de serviço), escolha Create policy (Criar política).

  5. Na página Criar nova política de controle de serviço, insira um nome da política e uma descrição opcional da política.

  6. (Opcional) Adicione AWS tags à sua política.

  7. No editor JSON, exclua a política de espaço reservado.

  8. Cole a política a seguir no editor de JSON.

    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Action": [
        "ec2:AttachInternetGateway",
        "ec2:CreateInternetGateway",        
        "ec2:CreateVpcPeeringConnection",
        "ec2:AcceptVpcPeeringConnection",
        "ec2:CreateEgressOnlyInternetGateway"
      ],
      "Resource": "*",
      "Effect": "Deny"
    },
    {
      "Action": [
        "globalaccelerator:Create*",
        "globalaccelerator:Update*"
      ],
      "Resource": "*",
      "Effect": "Deny"
    }
  ]
}

  9. Escolha Criar política.

Administrador da AWS

Conecte o SCP.

  1. Na página Políticas de controle de serviços, escolha a política que você criou.

  2. Na guia Targets (Alvos), selecione Attach (Anexar).

  3. Selecione a OU ou a conta à qual você deseja anexar a política. Talvez seja necessário expandir o OUs para encontrar a OU ou a conta que você deseja.

  4. Escolha Anexar política.

Administrador da AWS

Recursos relacionados