【发布时间】:2019-10-12 08:45:34
【问题描述】:
是否可以创建这样的 SCP(服务控制策略)并将其附加到拒绝在该帐户内启动任何新资源(基础设施)的帐户?假设该账户是 AWS Organizations 的一部分。
问题源于以下混淆:
- SCP 能否限制启动基础设施等特定操作?
- 能否将 SCP 应用于帐户级别(而不是组织级别!)?
【问题讨论】:
标签: amazon-web-services amazon-iam amazon-policy
【发布时间】:2019-10-12 08:45:34
【问题描述】:
是的,可以这样做。
-
SCP 可以包含明确的拒绝规则,例如拒绝创建任何与 EC2 相关的实例和资源:
"Version": "2012-10-17", "Statement": [ { "Sid": "Statement1", "Effect": "Deny", "Action": [ "ec2:Create*" ], "Resource": "*" } ] } -
任何SCP都可以是attached to:
- 帐户
- 组织单位
- 根帐号
【讨论】: