【发布时间】:2017-08-03 07:37:26
【问题描述】:
我有一个 iam 策略,如果它不包含 4 个必需的标签,它会拒绝 ec2 运行实例。
我们的模型是 user > group > STS Assume Roles。所有 EC2 配置均由多个角色完成。
我是否必须手动将此策略附加到每个角色,或者 AWS 是否支持全局策略功能?将此 iam 政策部署到我们所有帐户的全球范围内最简单的方法是什么?
【问题讨论】:
标签: amazon-iam
【发布时间】:2017-08-03 07:37:26
【问题描述】:
“我的组织”是控制台中帐户下拉菜单中的一个选项。从那里可以直接添加全局策略。添加您的 JSON 模板以拒绝访问 EC2:RunInstances 权限,条件是 ec2:ResourceTag。
拒绝政策将优先于您在帐户角色中指定的任何允许政策。
【讨论】:
-
太棒了! AWS 组织。我希望这可以帮助别人。不幸的是,我们财富 500 强公司的 AWS 生态系统如此庞大,要获得 AWS Organizations 功能的访问权限是一场艰苦的政治斗争。它已经被认领了,我直接的立方体农场中没有人可以访问。我有大约 20 个帐户要管理。任何类似的全局选项范围缩小到帐户级别?感谢您的反馈!
-
使用脚本自动为每个帐户分配角色。 Cloudformation 模板是一种方式。还可以使用自定义规则查看 AWS Config,以检查在进行更改时不符合您的策略的实例并触发警报(或终止资源..)