Verhindern Sie den Internetzugang auf Kontoebene mithilfe einer Dienststeuerungsrichtlinie - AWS Prescriptive Guidance
ÜbersichtVoraussetzungen und EinschränkungenToolsBewährte MethodenEpenZugehörige Ressourcen

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Verhindern Sie den Internetzugang auf Kontoebene mithilfe einer Dienststeuerungsrichtlinie

Erstellt von Sergiy Shevchenko (AWS), Sean O'Sullivan (AWS) und Victor Mazeo Whitaker (AWS)

Umgebung: PoC oder Pilotprojekt

Technologien: Sicherheit, Identität, Compliance; Netzwerke

AWS-Services: AWS Organizations

Übersicht

Organizations möchten häufig den Internetzugang für Kontoressourcen einschränken, die privat bleiben sollten. Bei diesen Konten sollten die Ressourcen in virtuellen privaten Clouds (VPCs) auf keinen Fall auf das Internet zugreifen. Viele Unternehmen entscheiden sich für eine zentralisierte Inspektionsarchitektur. Für den Ost-West-Verkehr (VPC-zu-VPC) in einer zentralen Inspektionsarchitektur müssen Sie sicherstellen, dass die Spoke-Konten und ihre Ressourcen keinen Zugriff auf das Internet haben. Für Nord-Süd-Verkehr (ausgehender und lokaler Internetverkehr) möchten Sie den Internetzugang nur über die Inspektions-VPC zulassen.

Dieses Muster verwendet eine Service Control Policy (SCP), um den Internetzugang zu verhindern. Sie können dieses SCP auf Konto- oder Organisationseinheitsebene (OU) anwenden. Das SCP schränkt die Internetkonnektivität ein, indem es Folgendes verhindert:

  • Erstellen oder Anhängen eines IPv4- oder IPv6-Internet-Gateways, das direkten Internetzugang zur VPC ermöglicht

  • Erstellen oder Annehmen einer VPC-Peering-Verbindung, die möglicherweise indirekten Internetzugang über eine andere VPC ermöglicht

  • Erstellen oder Aktualisieren einer AWS Global AcceleratorKonfiguration, die direkten Internetzugriff auf VPC-Ressourcen ermöglichen könnte

Voraussetzungen und Einschränkungen

Voraussetzungen

Einschränkungen

  • SCPs haben keine Auswirkungen auf Benutzer oder Rollen im Verwaltungskonto. Sie wirken sich nur auf die Mitgliedskonten Ihrer Organisation aus.

  • SCPs betreffen nur AWS Identity and Access Management (IAM-) Benutzer und Rollen, die von Konten verwaltet werden, die Teil der Organisation sind. Weitere Informationen zu SCP-Auswirkungen auf Berechtigungen.

Tools

AWS-Services

  • AWS Organizationsist ein Kontoverwaltungsservice, mit dem Sie mehrere Konten zu einer Organisation AWS-Konten zusammenfassen können, die Sie erstellen und zentral verwalten. In diesem Muster verwenden Sie Service Control Policies (SCPs) in AWS Organizations.

  • Amazon Virtual Private Cloud (Amazon VPC) hilft Ihnen dabei, AWS Ressourcen in einem von Ihnen definierten virtuellen Netzwerk bereitzustellen. Dieses virtuelle Netzwerk entspricht einem herkömmlichen Netzwerk, wie Sie es in Ihrem Rechenzentrum betreiben würden, mit den Vorteilen der Verwendung der skalierbaren Infrastruktur von AWS.

Bewährte Methoden

Nachdem Sie dieses SCP in Ihrem Unternehmen eingerichtet haben, stellen Sie sicher, dass Sie es regelmäßig aktualisieren, um alle neuen Funktionen AWS -Services oder Funktionen zu berücksichtigen, die den Internetzugang beeinträchtigen könnten.

Epen

AufgabeBeschreibungErforderliche Fähigkeiten

Erstellen Sie das SCP.

  1. Melden Sie sich an der AWS Organizations -Konsole an. Sie müssen sich mit dem Verwaltungskonto der Organisation anmelden.

  2. Wählen Sie im linken Bereich Richtlinien aus.

  3. Wählen Sie auf der Seite mit den Richtlinien die Option Dienststeuerungsrichtlinien aus.

  4. Wählen Sie auf der Seite Service-Kontrollrichtlinien die Option Richtlinie erstellen aus.

  5. Geben Sie auf der Seite Neue Dienststeuerungsrichtlinie erstellen einen Richtliniennamen und optional eine Richtlinienbeschreibung ein.

  6. (Optional) Fügen Sie Ihrer Richtlinie AWS Tags hinzu.

  7. Löschen Sie im JSON-Editor die Platzhalterrichtlinie.

  8. Fügen Sie die folgende -Richtlinie in den JSON-Editor ein.

    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Action": [
        "ec2:AttachInternetGateway",
        "ec2:CreateInternetGateway",        
        "ec2:CreateVpcPeeringConnection",
        "ec2:AcceptVpcPeeringConnection",
        "ec2:CreateEgressOnlyInternetGateway"
      ],
      "Resource": "*",
      "Effect": "Deny"
    },
    {
      "Action": [
        "globalaccelerator:Create*",
        "globalaccelerator:Update*"
      ],
      "Resource": "*",
      "Effect": "Deny"
    }
  ]
}

  9. Wählen Sie Richtlinie erstellen aus.

AWS-Administrator

Hängen Sie das SCP an.

  1. Wählen Sie auf der Seite Service Control-Richtlinien die Richtlinie aus, die Sie erstellt haben.

  2. Klicken Sie in der Registerkarte Ziele auf Anfügen.

  3. Wählen Sie die Organisationseinheit oder das Konto aus, an das Sie die Richtlinie anhängen möchten. Möglicherweise müssen Sie die Organisationseinheiten erweitern, um die gewünschte Organisationseinheit oder das gewünschte Konto zu finden.

  4. Wählen Sie Richtlinie anfügen aus.

AWS-Administrator

Zugehörige Ressourcen