【问题标题】:Describe a member AWS account's SCP without assuming to the AWS management account描述成员 AWS 账户的 SCP 而不假设 AWS 管理账户
【发布时间】:2021-07-15 21:56:25
【问题描述】:

我正在搞乱我的 AWS Organizations,我正在尝试找到一种方法来查看我的身份受到哪些服务控制策略的约束。

例如,我有一个管理帐户,我在其中创建了一个 SCP 到 Deny bugbust:*,并将该 SCP 附加到成员帐户 A。政策文档:

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": "*",
      "Resource": "*"
    },
    {
      "Effect": "Deny",
      "Action": "bugbust:*",
      "Resource": "*"
    }
  ]
}

当我在会员账户 A 中测试 bugbust 操作时,我被拒绝(如预期的那样),它说我被我的组织拒绝。

我的问题:有没有什么方法可以让会员账户 A 中的委托人看到 SCP 的政策文件不承担管理账户的责任?

理想情况下,我想让成员账户 A 中的用户了解他们的 SCP 边界,而不给他们任何组织访问主账户的权限。我担心这是不可能的,但我只是想确认一下。

【问题讨论】:

  • 我不这么认为。该信息无法在儿童帐户中访问。

标签: amazon-web-services aws-organizations


【解决方案1】:

SCP 仅对主账户可见。成员帐户可以查看他们所在的组织并离开该组织。他们看不到他们帐户的政策或他们所在的 OU 结构。

【讨论】:

    猜你喜欢
    • 1970-01-01
    • 1970-01-01
    • 1970-01-01
    • 2020-02-14
    • 2015-08-09
    • 2021-08-13
    • 1970-01-01
    • 2020-07-10
    • 2014-04-13
    相关资源
    最近更新 更多