Impida el acceso a Internet a nivel de cuenta mediante una política de control de servicios

Creado por Sergiy Shevchenko (AWS), Sean O'Sullivan (AWS) y Victor Mazeo Whitaker (AWS)

Entorno: PoC o piloto

Tecnologías: seguridad, identidad, conformidad; redes

Servicios de AWS: AWS Organizations

Resumen

Con frecuencia, las organizaciones desean limitar el acceso a Internet para los recursos de las cuentas que deben permanecer privados. En estas cuentas, los recursos de las nubes privadas virtuales (VPC) no deberían acceder a Internet de ninguna manera. Muchas organizaciones eligen una arquitectura de inspección centralizada. Para el tráfico este-oeste (de VPC a VPC) en una arquitectura de inspección centralizada, debe asegurarse de que las cuentas radiales y sus recursos no tengan acceso a Internet. Para el tráfico norte-sur (salida de Internet y local), querrá permitir el acceso a Internet únicamente a través de la VPC de inspección.

Este patrón utiliza una política de control de servicios (SCP) para evitar el acceso a Internet. Puedes aplicar este SCP a nivel de cuenta o unidad organizativa (OU). El SCP limita la conectividad a Internet al impedir lo siguiente:

• Crear o adjuntar una puerta de enlace a Internet IPv4 o IPv6 que permita el acceso directo a Internet a la VPC

• Crear o aceptar una conexión de emparejamiento de VPC que pueda permitir el acceso indirecto a Internet a través de otra VPC

• Crear o actualizar una AWS Global Acceleratorconfiguración que pueda permitir el acceso directo de Internet a los recursos de la VPC

Requisitos previos y limitaciones

Requisitos previos 

• Uno o varios Cuentas de AWS gestionados como una organización en AWS Organizations.

• Todas las funciones están habilitadas en AWS Organizations.

• Los SCP están habilitados en la organización.

• Permisos para:

  • Acceder a la cuenta de administración de la organización.

  • Crea SCP. Para obtener más información sobre los permisos mínimos, consulte Creación de un SCP.

  • Adjunta el SCP a las cuentas o unidades organizativas (OU) de destino. Para obtener más información sobre los permisos mínimos, consulte Adjuntar y separar políticas de control de servicios.

Limitaciones

• Las SCP no afectan a los usuarios ni a los roles de la cuenta de administración. Afectan solo a las cuentas miembro de su organización.

• Los SCP afectan únicamente a los usuarios y roles AWS Identity and Access Management (de IAM) que son administrados por cuentas que forman parte de la organización. Para más información, consulte Efectos de las SCP en los permisos.

Herramientas

Servicios de AWS

• AWS Organizationses un servicio de administración de cuentas que le ayuda a consolidar múltiples cuentas Cuentas de AWS en una organización que puede crear y administrar de forma centralizada. En este patrón, se utilizan las políticas de control de servicios (SCP) en AWS Organizations.

• Amazon Virtual Private Cloud (Amazon VPC) le ayuda a lanzar AWS recursos en una red virtual que haya definido. Esa red virtual es similar a la red tradicional que utiliza en su propio centro de datos, con los beneficios de usar la infraestructura escalable de AWS.

Prácticas recomendadas

Tras establecer este SCP en su organización, asegúrese de actualizarlo con frecuencia para abordar cualquier novedad Servicios de AWS o función que pueda afectar al acceso a Internet.

Epics

Cree y adjunte el SCP

Tarea	Descripción	Habilidades requeridas
Cree el SCP.	Inicie sesión en la consola de AWS Organizations. Debe iniciar sesión en la cuenta de administración de la organización. En el panel izquierdo, selecciona Políticas. En la página de políticas, elija Políticas de control de servicios. En la página Políticas de control de servicios, seleccione Crear política. En la página Crear una nueva política de control de servicios, introduzca un nombre de política y una descripción de la política opcional. (Opcional) Añada AWS etiquetas a su política. En el editor JSON, elimina la política de marcadores de posición. Pegue la siguiente política de en el editor JSON. { "Version": "2012-10-17", "Statement": [ { "Action": [ "ec2:AttachInternetGateway", "ec2:CreateInternetGateway", "ec2:CreateVpcPeeringConnection", "ec2:AcceptVpcPeeringConnection", "ec2:CreateEgressOnlyInternetGateway" ], "Resource": "*", "Effect": "Deny" }, { "Action": [ "globalaccelerator:Create*", "globalaccelerator:Update*" ], "Resource": "*", "Effect": "Deny" } ] } Elija Crear política.	Administrador de AWS
Adjunta el SCP.	En la página Políticas de control de servicios, elija la política que creó. En la pestaña Objetivos, seleccione Adjuntar. Seleccione la OU o la cuenta a la que desee adjuntar la política. Puede que tenga que expandir las unidades organizativas para encontrar la unidad organizativa o la cuenta que desee. Elija Asociar política.	Administrador de AWS

Recursos relacionados

• AWS Organizations documentación

• Políticas de control de servicios (SCP)

• Arquitectura de inspección centralizada con AWS Gateway Load Balancer y AWS Transit Gateway (entrada del AWS blog)