Вопросы Теги

Применение шифрования EBS в организации AWS с использованием SCP (политики управления услугами)

Можно ли обеспечить, чтобы все учетные записи в организации AWS могли создавать только зашифрованные тома EBS?

Я знаю, что вы можете принудительно применить это, используя роли IAM , но я хочу знать, это можно сделать с помощью SCP.

Вот то, что я придумал, но это не работает. Я привязал это к учетной записи в своей организации, но я могу создавать как зашифрованные, так и незашифрованные тома. 

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Deny",
            "Action": "ec2:CreateVolume",
            "Resource": "*",
            "Condition": {
                "Bool": {
                    "ec2:Encrypted": "false"
                }
            }
        }
    ]
}
0
задан 18 April 2019 в 06:18
1 ответ

Оказывается, SCP работает, как ожидалось, но есть загвоздка - согласно эта страница AWS «Все условные ключи, начинающиеся с« ec2 », не оцениваются при использовании учетных данных root».

Поскольку требование для шифрования тома находится в пределах условного ключа, оно не выполнялось, пока я входил в систему как root . Когда я вошел в систему как пользователь IAM, SCP был применен должным образом.

Вот полный текст из документации AWS.

AWS Docs

В настоящее время при использовании учетных данных пользователя root для создания Amazon EC2 запросы, элементы политики ресурсов и условий не работают как ожидаются следующими способами: 

 ARN ресурса - если вы укажете ARN ресурса AWS в элементе ресурса SCP, он не будет соответствовать ресурсу, который выполняет пользователь root.

действие Amazon EC2 во время оценки политики. Это означает, что указанные ограничения для этого действия не распространяются на пользователя root. Запрещать операторы, которые указывают все ресурсы ("Ресурс": "*") для Действия Amazon EC2 правильно оцениваются для пользователей root. 

 Ключи условий Amazon EC2 - все ключи условий, начинающиеся с «ec2», не оцениваются при использовании учетных данных root.  Потому что политика

условия неправильно оцениваются для пользователей root, пользователей с root учетные данные могут иметь непреднамеренный доступ к действиям Amazon EC2.

Эта проблема не затрагивает пользователей и роли IAM или какой-либо сервис AWS. кроме Amazon EC2. Этой проблеме подвержен только пользователь root. если ты не хотите, чтобы ваш пользователь root имел доступ к действиям Amazon EC2, прикрепите SCP, например Ограничить доступ к Amazon EC2 для корневого пользователя, пример для корень вашей организации.

Вот SCP, который они ссылаются на 

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "RestrictEC2ForRoot",
      "Effect": "Deny",
      "Action": [
        "ec2:*"
      ],
      "Resource": [
        "*"
      ],
      "Condition": {
        "StringLike": {
          "aws:PrincipalArn": [
            "arn:aws:iam::*:root"
          ]
        }
      }
    }
  ]
}
0
ответ дан 5 December 2019 в 03:26

Теги

Похожие вопросы