IAM中只有5个用户,而根帐户除外。该政策有一个明确的拒绝,并附加在根级别(附加照片),但无效。
“不起作用”的意思是-在AWS控制台中,我单击Stop Logging并停止日志记录。另外,我运行了停止在CLI中登录的命令,这也停止了日志记录-因此,此明确的拒绝在某处失败。
请注意,此测试是在IAM成员帐户而非根帐户上进行的。我仅使用根帐户来设置SCP。 IAM会员帐户是超级用户,几乎在AWS上完成所有“管理员工作”。
=SORTBY(IF(A:A<>"",ROW(A:A),""),A:A,1)
IAM用户是否也需要链接到其他地方?它们不在OU中,但它们仍是IAM中的帐户,因此我认为它们都继承了根权限(上图)
还认为在所有其他政策中,显式拒绝胜过所有其他决定,那么,该政策不起作用的原因有哪些呢?这是仅有的2个服务控制策略(“完全访问”和“拒绝Cloudtrail停止记录”。
除了创建策略并将其附加到根目录之外,是否还有其他因素-因为我认为这是我们要做的全部工作?可以放在其他地方的某种服务或角色豁免?