Organizații AWS - Cum se stabilesc limite la nivel global pentru a permite evaluarea numai pentru un set predefinit de servicii?

Jacek

02.03.2023, 12:35

Aș dori să permit utilizatorilor din toate conturile din organizația mea AWS (sub un număr de OU-uri diferite) să acceseze doar câteva servicii AWS: RDS, EC2, S3 etc. Cu alte cuvinte, trebuie să împiedic accesul la orice altceva. Mă gândeam să folosesc SCP, dar refuzul accesului la atât de multe servicii pare a fi o idee proastă (politica de control al serviciului FullAWSAccess este atașată implicit). Aș dori să vă întreb dacă ați făcut vreodată așa ceva și dacă ați făcut-o, cum?

0 + 0

servicii-web-amazon

aws-organizatii

Puncte:1

Server

Erik Norman

02.03.2023, 12:55

SCP este calea de urmat.

Puteți nega totul cu o condiție de listă albă.

Vă rugăm să rețineți că trebuie să reduceți domeniul de aplicare al SCP-ului dvs., altfel veți ajunge să dezactivați rolurile de serviciu AWS pentru a efectua operațiuni standard, de ex. dacă utilizați stive CloudFormation.

Prin urmare, ar trebui să aplicați acest SCP numai rolurilor utilizate de utilizatorii și serviciile dvs.

Sfat: utilizați un rol pentru implementarea SCP și un rol pentru a-l testa. Începe mic și progresează în pași mici. În caz contrar, vă puteți exclude de la orice serviciu din consola AWS.

0 + 0

Tim

02.03.2023, 17:25

Cu siguranță SCP. Încă câteva gânduri bazate pe experiența mea în utilizarea SCP pentru o perioadă. Testați cu o unitate Sandbox, cu roluri specifice. Rețineți că contul principal nu poate avea SCP restricționate. SCP-urile pot fi foarte complicate, sunt o uniune a permisiunilor tuturor OU-urilor și a contului. Când permisiunile nu funcționează conform așteptărilor, mă uit întotdeauna la SCP mai întâi, apoi la IAM. Lucrează de la SCP-uri de exemplu, începe puțin.

Răspunde

Jacek

03.03.2023, 08:05

Mulțumesc. Am folosit „Deny” cu „NotAction” și am enumerat serviciile permise, condiție adăugată excluzând un utilizator. Testarea în dev env acum, arată bine până acum.

Răspunde

SEF 777

întrebarea această in alte limbi:

EN: AWS Organizations - How to globally set boundaries to allow assess only to predefined set of services?

TH: องค์กร AWS - จะกำหนดขอบเขตทั่วโลกเพื่ออนุญาตให้ประเมินเฉพาะชุดบริการที่กำหนดไว้ล่วงหน้าได้อย่างไร

RO: Organizații AWS - Cum se stabilesc limite la nivel global pentru a permite evaluarea numai pentru un set predefinit de servicii?

RU: Организации AWS. Как глобально установить границы, чтобы разрешить оценку только предопределенного набора сервисов?

VI: Tổ chức AWS - Làm cách nào để thiết lập ranh giới trên toàn cầu để chỉ cho phép đánh giá đối với nhóm dịch vụ được xác định trước?

Postează un răspuns

Majoritatea oamenilor nu înțeleg că a pune multe întrebări deblochează învățarea și îmbunătățește legătura interpersonală. În studiile lui Alison, de exemplu, deși oamenii își puteau aminti cu exactitate câte întrebări au fost puse în conversațiile lor, ei nu au intuit legătura dintre întrebări și apreciere. În patru studii, în care participanții au fost implicați în conversații ei înșiși sau au citit transcrieri ale conversațiilor altora, oamenii au avut tendința să nu realizeze că întrebarea ar influența – sau ar fi influențat – nivelul de prietenie dintre conversatori.