是否可以创建这样的 SCP(服务控制策略)并将其附加到拒绝在此帐户内启动任何新资源(基础设施)的帐户?假设该账户是 AWS Organizations 的一部分。
问题源于以下混淆:
- SCP 可以限制启动基础设施等特定操作吗?
- SCP可以应用于帐户级别(而不是组织级别!)?
问问题
269 次
1 回答
2
是的,有可能做到。
SCP 可以包含明确的拒绝规则,例如拒绝创建任何与 EC2 相关的实例和资源:
"Version": "2012-10-17", "Statement": [ { "Sid": "Statement1", "Effect": "Deny", "Action": [ "ec2:Create*" ], "Resource": "*" } ] }任何 SCP 都可以附加到:
- 账户
- 组织单位
- 根帐户
于 2019-05-26T15:49:18.660 回答