【发布时间】:2020-07-21 08:34:31
【问题描述】:
我有一个 AWS 帐户,其中包含我所有的东西,并希望保护它。
我想创建一个包含一些拒绝操作的 IAM 策略,并将该策略应用于所有现有用户和未来用户。我该怎么做?
我尝试使用 IAM 组,但有人可以创建没有特定组的用户。此外,我尝试了组织 SCP,但它似乎不适用于主帐户。
【问题讨论】:
标签: amazon-web-services amazon-iam
【发布时间】:2020-07-21 08:34:31
【问题描述】:
我想创建一个包含一些拒绝操作的 IAM 策略,并将该策略应用于所有现有用户和未来用户。
在这些情况下 - SCP 是一种方法。并遵循所有用户只能在子帐户中创建的规则。对于复杂的组织,它甚至是为 IAM 管理创建单独帐户的方法之一。
如果您想拒绝特定资源(s3、kms、..),您可以应用资源策略来拒绝某些操作并拒绝更新策略(root/专用用户除外)。
组织 SCP,但它似乎不适用于主帐户
确实如此。
如果您确实想强制所有用户都在特定组中(无论是否为根账户),您可以创建 AWS Config 规则来检查用户成员资格,如果用户不是,则将用户添加到组中符合规定。
或者可能有一个 CloudTrail 日志,其中包含在创建/更新用户时检查并分配组的规则。然后您必须保护 AWS Config 或 CloudTrail 设置
【讨论】: