【发布时间】:2020-06-26 15:47:22
【问题描述】:
IAM 中除根账户外只有 5 个用户。此政策有明确的拒绝并附加在根级别(附加照片),但它不起作用。
“不起作用”的意思是 - 在 AWS 控制台中,我单击停止记录,它会停止记录。此外,我运行命令停止在 CLI 中登录,这也停止了记录 - 所以这个显式拒绝在某处失败。
请注意,此测试是在 IAM 成员账户而非根账户上完成的。我只使用 root 帐户来设置 SCP。 IAM 成员账户是超级用户,几乎完成了 AWS 上的所有“管理工作”。
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "DenycloudtrailStopLogging",
"Effect": "Deny",
"Action": [
"cloudtrail:StopLogging"
],
"Resource": [
"*"
]
}
]
}
IAM 用户是否也需要链接到其他地方?它们不在 OU 中,但它们仍然是 IAM 中的帐户,所以我认为它们都继承了 root 权限(上图)
还认为在所有其他政策中,明确拒绝胜过所有其他决定,那么有什么原因导致此政策不起作用?这些是仅有的 2 个服务控制策略(完全访问和拒绝 Cloudtrail 停止日志记录)。
除了创建策略并将其附加到根目录之外,是否还有其他因素 - 因为我认为这就是我们必须做的所有事情?可以放在其他地方的某种服务或角色豁免?
【问题讨论】:
-
“不起作用”是什么意思?您是否尝试过直接(或通过 CLI)调用 API 而没有收到拒绝访问?或者您是从其他一些操作推断 API 的使用?
-
更重要的是,我会将
DeleteTrail包括在拒绝列表中。 -
我在 AWS 控制台中单击了停止记录,但它仍然停止记录。此外,我运行命令停止在 CLI 中记录,它也停止记录。会更新帖子,谢谢。抱歉,“不起作用”的意思是,除了将策略分配给根并使用它之外,是否还有其他因素,因为我认为这就是我们必须做的。谢谢,我将在 stopLogging 工作后使用 DeleteTrail - 非常感谢
-
附加到根 OU 就足够了。我唯一可以建议的是在组织控制台中查看帐户本身,并验证它是否继承了 SCP。
标签: amazon-web-services amazon-iam aws-organizations