0

IAM 中除根账户外只有 5 个用户。此策略具有明确的拒绝并附加在根级别(附加照片),但它不起作用。

“不起作用”的意思是 - 在 AWS 控制台中,我单击停止记录,它会停止记录。此外,我运行了命令以停止在 CLI 中登录,这也停止了记录 - 所以这个明确的拒绝在某处失败。

请注意,此测试是在 IAM 成员账户而非根账户上完成的。我只使用 root 帐户来设置 SCP。IAM 成员账户是超级用户,几乎可以完成 AWS 上的所有“管理工作”。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "DenycloudtrailStopLogging",
            "Effect": "Deny",
            "Action": [
                "cloudtrail:StopLogging"
            ],
            "Resource": [
                "*"
            ]
        }
    ]
}

AWS SCP

继承的权限

IAM 用户是否也需要链接到其他地方?它们不在 OU 中,但它们仍然是 IAM 中的帐户,所以我认为它们都继承了 root 权限(上图)

还认为明确的拒绝胜过所有其他政策中的所有其他决定,那么该政策不起作用的原因是什么?这些是仅有的 2 个服务控制策略(完全访问和拒绝 Cloudtrail 停止日志记录)。

除了创建策略并将其附加到根之外,还有其他因素吗?因为我认为这就是我们必须做的全部?可以放在其他地方的某种服务或角色豁免?

4

2 回答 2

2

服务控制策略 (SCP) 不适用于付款人(又名主)账户。它们仅适用于本组织的成员帐户。这意味着如果您想拒绝付款人账户中的特定操作,您将不得不以不同的方式进行操作。

原因是使用 SCP,您还可以限制目标帐户的 root 用户。如果它适用于付款人帐户,您可以有效地将自己锁定在整个组织及其所有帐户之外。

需要注意的一件事:不应该有太多的活动,尽可能少的用户,并且付款人帐户中没有运行实际工作负载。它的唯一目的应该是管理组织(成员帐户、计费、SCP 和 CloudFormation StackSets),并且应该尽可能自动化。超出绝对必要的范围手动访问付款人帐户,或运行额外的工作负载来运行,会带来很大的安全风险,因为如果付款人帐户受到威胁,它可能会给您的整个组织带来麻烦。

如需安全设置,请查看AWS Control Tower,或者如果您所在地区尚不可用,请查看AWS Landing Zone 解决方案

于 2020-06-26T17:55:44.073 回答
0

将上面的代码放入 IAM 中的新“权限边界策略”中就可以了,而不是 SCP。

IAM 中的权限边界策略限制 IAM 用户,而 AWS Organizations 中的 SCP 专门限制 AWS Organization 账户。

于 2020-07-01T00:33:33.827 回答