Как мне применить политику для блокировки доступа к определенным регионам без обновления всех моих политик?
Я хочу заблокировать доступ всех пользователей почти ко всем областям aws. Вы не можете «отключить» регион, который включен по умолчанию. Также мне известны разрешения на уровне учетной записи, которые нельзя ограничить на региональном уровне.
Я не хочу добавлять такую политику для каждого пользователя / роли / группы
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "*",
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:RequestedRegion": [
"eu-west-1",
"eu-west-2",
"eu-west-3"
]
}
}
}
]
}
Вы не можете вкладывать группы. Поэтому у меня не может быть группы верхнего уровня, в которую я помещаю все другие группы, в которых есть эта политика.
Вы не можете добавлять роли в группы. Итак, для моих шаблонов SAM для моих бессерверных приложений мне нужно добавить эту политику ко всем из них? Они динамически создают уникальную роль и политику для каждого приложения (и я хочу, чтобы они оставались такими)
Есть ли вообще какой-либо способ обеспечить соблюдение политики для всех пользователей и ролей в учетной записи? Мне, должно быть, чего-то не хватает, потому что это похоже на лаваш для управления.
В Active Directory мы могли бы просто применять политики на уровне OU / domain / site / etc. Это похоже на базовую функцию платформы безопасности и идентификации.
Есть ли способ применить эту политику на уровне моей организации AWS?
Политики управления службами делают именно то, о чем вы просили. Вы можете заблокировать регионы, но имейте в виду, что некоторые службы являются глобальными, поэтому их необходимо внести в белый список. Например, IAM, WAF, Route53, CloudFront, некоторые части S3 должны быть внесены в белый список для работы за пределами разрешенных регионов.
На странице Пример политики управления сервисами AWS это первый пример, поскольку это наиболее распространенный вариант использования SCP. Эта политика запрещает регионы за пределами двух перечисленных, ее легко изменить
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "DenyAllOutsideEU",
"Effect": "Deny",
"NotAction": [
"a4b:*",
"acm:*",
"aws-marketplace-management:*",
"aws-marketplace:*",
"aws-portal:*",
"awsbillingconsole:*",
"budgets:*",
"ce:*",
"chime:*",
"cloudfront:*",
"config:*",
"cur:*",
"directconnect:*",
"ec2:DescribeRegions",
"ec2:DescribeTransitGateways",
"ec2:DescribeVpnGateways",
"fms:*",
"globalaccelerator:*",
"health:*",
"iam:*",
"importexport:*",
"kms:*",
"mobileanalytics:*",
"networkmanager:*",
"organizations:*",
"pricing:*",
"route53:*",
"route53domains:*",
"s3:GetAccountPublic*",
"s3:ListAllMyBuckets",
"s3:PutAccountPublic*",
"shield:*",
"sts:*",
"support:*",
"trustedadvisor:*",
"waf-regional:*",
"waf:*",
"wafv2:*",
"wellarchitected:*"
],
"Resource": "*",
"Condition": {
"StringNotEquals": {
"aws:RequestedRegion": [
"eu-central-1",
"eu-west-1"
]
},
"ArnNotLike": {
"aws:PrincipalARN": [
"arn:aws:iam::*:role/Role1AllowedToBypassThisSCP",
"arn:aws:iam::*:role/Role2AllowedToBypassThisSCP"
]
}
}
}
]
}