Организации AWS -Как глобально установить границы, чтобы разрешить оценку только предопределенного набора сервисов?
Я хочу разрешить пользователям всех учетных записей в моей организации AWS (под разными подразделениями)доступ только к нескольким сервисам AWS:RDS, EC2, S3 и т. д. Другими словами, мне нужно запретить доступ к чему-либо еще. Я думал об использовании SCP, но отказ в доступе к такому количеству сервисов кажется плохой идеей (политика управления сервисами FullAWSAccess включена по умолчанию). Я хотел бы спросить, делали ли вы когда-нибудь что-то подобное, и если да, то как?
SCP — это то, что нужно.
Вы можете запретить все с условием белого списка.
Имейте в виду, что вам необходимо уменьшить объем вашего SCP, иначе вы в конечном итоге отключите сервисные роли AWS для выполнения стандартных операций, например. если вы используете стеки CloudFormation.
Следовательно, вы должны применять этот SCP только к ролям, используемым вашими пользователями и службами.
Совет:используйте одну роль для реализации SCP и одну роль для его тестирования. Начните с малого и продвигайтесь вперед маленькими шагами. В противном случае вы можете исключить себя из любой службы в консоли AWS.