資源控制政策範例 - AWS Organizations
一般範例

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

資源控制政策範例

本主題中顯示的範例資源控制政策 (RCPs) 僅供參考。如需資料周邊範例,請參閱 中的資料周邊政策範例 GitHub。

使用這些範例之前

在RCPs組織中使用這些範例之前,請執行下列動作:

  • 仔細檢閱並自訂 RCPs,以符合您的獨特需求。

  • 使用您使用 AWS 的服務,在您的RCPs環境中徹底測試 。

本節中的範例政策示範 的實作和使用RCPs。他們並非闡述為完全如圖所示實作的官方 AWS 建議或最佳實務。您有責任仔細測試任何政策是否適合解決您環境的業務需求。拒絕型資源控制政策可能會意外限制或封鎖您對 AWS 服務的使用,除非您將必要的例外狀況新增至政策。

一般範例

RCPFullAWSAccess

當您啟用資源控制政策 () 時,下列政策是 AWS 受管政策,並會自動連接到組織根目錄、每個 OU 和組織中的每個帳戶RCPs。您無法分離此政策。此預設值RCP允許所有主體和動作存取您的資源,這表示直到您開始建立和連接 RCPs,您所有現有的IAM許可都會繼續像這樣運作。您不需要測試此政策的效果,因為它會允許現有授權行為繼續您的 資源。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": "*",
            "Action": "*",
            "Resource": "*"
        }
    ]
}

跨服務混淆代理保護

有些 AWS 服務 (呼叫服務) 會使用其 AWS 服務 委託人從其他 AWS 服務 (稱為 服務) 存取 AWS 資源。當無意存取 AWS 資源的演員嘗試使用 AWS 服務 委託人信任與其無意存取的資源互動時,稱為跨服務混淆代理人問題。如需詳細資訊,請參閱IAM《 使用者指南》中的混淆代理人問題

下列政策要求存取 資源的 AWS 服務 委託人僅代表組織的請求執行此操作。此政策只會將控制項套用至aws:SourceAccount已存在的請求,因此不需要使用 的服務整合aws:SourceAccount不會受到影響。如果請求內容中存在 aws:SourceAccount ,則 Null條件將評估為 true,導致強制執行aws:SourceOrgID金鑰。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "RCPEnforceConfusedDeputyProtection",
            "Effect": "Deny",
            "Principal": "*",
            "Action": [
                "s3:*",
                "sqs:*",
                "secretsmanager:*"
            ],
            "Resource": "*",
            "Condition": {
                "StringNotEqualsIfExists": {
                    "aws:SourceOrgID": "my-org-id"
                },
                "Bool": {
                    "aws:PrincipalIsAWSService": "true"
                },
                "Null": {
                    "aws:SourceAccount": "false"
                }
            }
        }
    ]
}

限制僅存取 資源的HTTPS連線

下列政策要求只有透過 HTTPS() 的加密連線才能存取您的 資源TLS。這可協助您防止潛在攻擊者操縱網路流量。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "EnforceSecureTransport",
            "Effect": "Deny",
            "Principal": "*",
            "Action": [
                "sts:*",
                "s3:*",
                "sqs:*",
                "secretsmanager:*",
                "kms:*"
            ],
            "Resource": "*",
            "Condition": {
                "BoolIfExists": {
                    "aws:SecureTransport": "false"
                }
            }
        }
    ]
}

一致的 Amazon S3 儲存貯體政策控制

下列RCP包含多個陳述式,以強制執行組織中 Amazon S3 儲存貯體的一致存取控制。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "EnforceS3TlsVersion",
            "Effect": "Deny",
            "Principal": "*",
            "Action": "s3:*",
            "Resource": "*",
            "Condition": {                
                "NumericLessThan": {
                    "s3:TlsVersion": [
                        "1.2"
                    ]
                }
            }
        },
        {
            "Sid": "EnforceKMSEncryption",
            "Effect": "Deny",
            "Principal": "*",
            "Action": "s3:PutObject",
            "Resource": "*",
            "Condition": {
                "Null": {
                    "s3:x-amz-server-side-encryption-aws-kms-key-id": "true"
                }
            }
        }
    ]
}

  • 陳述式 ID EnforceS3TlsVersion – 存取 S3 儲存貯體需要 1.2 的最小TLS版本。

  • 陳述式 ID EnforceKMSEncryption – 要求使用KMS金鑰加密物件的伺服器端。