IAM中只有5个用户,而根帐户除外。该政策有一个明确的拒绝,并附加在根级别(附加照片),但无效。
“不起作用”的意思是-在AWS控制台中,我单击Stop Logging并停止日志记录。另外,我运行了停止在CLI中登录的命令,这也停止了日志记录-因此,此明确的拒绝在某处失败。
请注意,此测试是在IAM成员帐户而非根帐户上进行的。我仅使用根帐户来设置SCP。 IAM会员帐户是超级用户,几乎在AWS上完成所有“管理员工作”。
=SORTBY(IF(A:A<>"",ROW(A:A),""),A:A,1)
IAM用户是否也需要链接到其他地方?它们不在OU中,但它们仍是IAM中的帐户,因此我认为它们都继承了根权限(上图)
还认为在所有其他政策中,显式拒绝胜过所有其他决定,那么,该政策不起作用的原因有哪些呢?这是仅有的2个服务控制策略(“完全访问”和“拒绝Cloudtrail停止记录”。
除了创建策略并将其附加到根目录之外,是否还有其他因素-因为我认为这是我们要做的全部工作?可以放在其他地方的某种服务或角色豁免?
服务控制政策(SCP)不适用于付款人(也称为主帐户)帐户。它们仅适用于本组织的会员帐户。这意味着,如果您要拒绝付款人帐户中的特定操作,则必须以其他方式进行。
原因是,使用SCP,您还可以限制目标帐户的root用户。如果适用于付款人帐户,则可以有效地将自己锁定在整个组织及其所有帐户之外。
要注意的一件事:付款人帐户中不应有太多的活动,尽可能少的用户并且没有实际的工作量。其唯一目的应该是管理组织(成员帐户,账单,SCP和CloudFormation StackSet),并且这应该尽可能自动化。手动访问付款人帐户超出了绝对必要的范围,或者运行其他工作负载会带来很大的安全风险,因为如果付款人帐户受到威胁,可能会给整个组织带来麻烦。
要进行安全设置,请查看AWS Control Tower;如果您所在地区尚不可用,请查看AWS Landing Zone Solution。
,将上面的代码放入IAM中的新“权限边界策略”中就可以了,而不是使用SCP。
IAM中的权限边界策略限制了IAM用户,而AWS Organizations中的SCP专门限制了AWS Organizations帐户。