1

https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html

这个页面说这些。这些到底是什么意思?此限制是否会导致任何问题?

  • SCP 不影响任何服务相关角色。服务相关角色使其他 AWS 服务能够与 AWS Organizations 集成,并且不受 SCP 限制。
  • 使用附加到服务相关角色的权限执行的任何操作(在“不受 SCP 限制的任务和实体”部分)。

想法

  1. 用户可以创建具有任何权限的新服务相关角色,而不管 SCP。因此,用户可以让 EC2 实例(例如)做用户不能直接做的事情。
  2. 用户可以使用 SCP 允许的权限创建新的服务相关角色。但是,服务相关角色可以由同一组织内的其他账户共享。因此,共享的服务相关角色可能具有 SCP 不允许的权限。
4

1 回答 1

2
  1. 实例角色不是服务相关角色。EC2的唯一服务相关角色是 Spot 实例请求和 Spot 队列请求。因此,您无法使用实例角色绕过 SCP。ECS 和 Lambda 角色也是如此。

  2. 不确定我是否理解这个问题,但服务角色只能由 AWS 服务承担。它们不适用于 IAM 用户、组或 IAM 角色。

于 2021-09-20T08:35:18.947 回答