Contoh Umum - AWS Organizations
Tolak akses AWS berdasarkan permintaan Wilayah AWS Mencegah pengguna dan peran IAM membuat perubahan tertentu Mencegah pengguna dan peran IAM membuat perubahan yang ditentukan, dengan pengecualian untuk peran admin tertentu Mewajibkan MFA untuk melakukan tindakan API Memblokir akses layanan untuk pengguna akar Mencegah akun anggota keluar dari organisasi

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Contoh Umum

Tolak akses AWS berdasarkan permintaan Wilayah AWS

Topik

    SCP ini menolak akses ke setiap operasi di luar WIlayah yang ditentukan. Ganti eu-central-1 dan eu-west-1 dengan yang ingin Wilayah AWS Anda gunakan. Ia memberikan pengecualian untuk operasi dalam layanan global yang disetujui. Contoh ini juga menunjukkan bagaimana untuk membebaskan permintaan yang dibuat oleh salah satu dari dua peran administrator yang ditentukan.

    catatan

    Untuk menggunakan Region deny SCP dengan AWS Control Tower, lihat Tolak akses AWS berdasarkan permintaan Wilayah AWS dalam Panduan Referensi AWS Control Tower Kontrol.

    Kebijakan ini menggunakan Deny untuk menolak akses ke semua permintaan untuk operasi yang tidak menargetkan salah satu dari dua wilayah yang disetujui (eu-central-1 dan eu-west-1). NotActionElemen ini memungkinkan Anda untuk membuat daftar layanan yang operasinya (atau operasi individu) dibebaskan dari pembatasan ini. Karena layanan global memiliki titik akhir yang secara fisik di-host oleh Wilayah us-east-1, mereka harus dibebaskan dengan cara ini. Dengan SCP yang distruktur dengan cara ini, permintaan dibuat untuk layanan global di WIlayah us-east-1 diperbolehkan jika layanan yang diminta disertakan dalam elemen NotAction. Permintaan lain untuk layanan di Wilayah us-east-1 ditolak oleh kebijakan contoh ini.

    catatan

    Contoh ini mungkin tidak mencakup semua AWS layanan atau operasi global terbaru. Ganti daftar layanan dan operasi dengan layanan global yang digunakan oleh akun di organisasi Anda.

    Kiat

    Anda dapat melihat data terakhir yang diakses di konsol IAM untuk menentukan layanan global yang digunakan organisasi Anda. Tab Penasihat Akses di halaman detail untuk pengguna, grup, atau peran IAM menampilkan layanan AWS yang telah digunakan oleh entitas tersebut, diurutkan berdasarkan akses terbaru.

    Pertimbangan

    • AWS KMS dan AWS Certificate Manager mendukung titik akhir Regional. Namun, jika Anda ingin menggunakannya dengan layanan global seperti Amazon, CloudFront Anda harus memasukkannya ke dalam daftar pengecualian layanan global dalam contoh SCP berikut. Layanan global seperti Amazon CloudFront biasanya memerlukan akses ke AWS KMS dan ACM di wilayah yang sama, yang untuk layanan global adalah Wilayah AS Timur (Virginia N.). us-east-1

    • Secara default, AWS STS adalah layanan global dan harus dimasukkan dalam daftar pengecualian layanan global. Namun, Anda dapat mengaktifkan AWS STS untuk menggunakan titik akhir Wilayah alih-alih satu titik akhir global. Jika Anda melakukan ini, Anda dapat menghapus STS dari daftar pengecualian layanan global di SCP contoh berikut. Untuk informasi selengkapnya lihat Mengelola AWS STS di Wilayah AWS.

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "DenyAllOutsideEU",
            "Effect": "Deny",
            "NotAction": [
                "a4b:*",
                "acm:*",
                "aws-marketplace-management:*",
                "aws-marketplace:*",
                "aws-portal:*",
                "budgets:*",
                "ce:*",
                "chime:*",
                "cloudfront:*",
                "config:*",
                "cur:*",
                "directconnect:*",
                "ec2:DescribeRegions",
                "ec2:DescribeTransitGateways",
                "ec2:DescribeVpnGateways",
                "fms:*",
                "globalaccelerator:*",
                "health:*",
                "iam:*",
                "importexport:*",
                "kms:*",
                "mobileanalytics:*",
                "networkmanager:*",
                "organizations:*",
                "pricing:*",
                "route53:*",
                "route53domains:*",
                "route53-recovery-cluster:*",
                "route53-recovery-control-config:*",
                "route53-recovery-readiness:*",
                "s3:GetAccountPublic*",
                "s3:ListAllMyBuckets",
                "s3:ListMultiRegionAccessPoints",
                "s3:PutAccountPublic*",
                "shield:*",
                "sts:*",
                "support:*",
                "trustedadvisor:*",
                "waf-regional:*",
                "waf:*",
                "wafv2:*",
                "wellarchitected:*"
            ],
            "Resource": "*",
            "Condition": {
                "StringNotEquals": {
                    "aws:RequestedRegion": [
                        "eu-central-1",
                        "eu-west-1"
                    ]
                },
                "ArnNotLike": {
                    "aws:PrincipalARN": [
                        "arn:aws:iam::*:role/Role1AllowedToBypassThisSCP",
                        "arn:aws:iam::*:role/Role2AllowedToBypassThisSCP"
                    ]
                }
            }
        }
    ]
}

    Mencegah pengguna dan peran IAM membuat perubahan tertentu

    SCP ini membatasi pengguna dan peran IAM dari membuat perubahan pada IAM role tertentu yang Anda buat di semua akun di organisasi Anda.

    {    
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "DenyAccessToASpecificRole",
      "Effect": "Deny",
      "Action": [
        "iam:AttachRolePolicy",
        "iam:DeleteRole",
        "iam:DeleteRolePermissionsBoundary",
        "iam:DeleteRolePolicy",
        "iam:DetachRolePolicy",
        "iam:PutRolePermissionsBoundary",
        "iam:PutRolePolicy",
        "iam:UpdateAssumeRolePolicy",
        "iam:UpdateRole",
        "iam:UpdateRoleDescription"
      ],
      "Resource": [
        "arn:aws:iam::*:role/name-of-role-to-deny"
      ]
    }
  ]
}

    Mencegah pengguna dan peran IAM membuat perubahan yang ditentukan, dengan pengecualian untuk peran admin tertentu

    SCP ini dibangun pada contoh sebelumnya untuk membuat pengecualian untuk administrator. Ia mencegah pengguna dan peran IAM dalam akun yang terpengaruh membuat perubahan pada IAM role administratif umum yang dibuat di semua akun di organisasi Anda kecuali untuk administrator yang menggunakan peran tertentu. 

    {    
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "DenyAccessWithException",
      "Effect": "Deny",
      "Action": [
        "iam:AttachRolePolicy",
        "iam:DeleteRole",
        "iam:DeleteRolePermissionsBoundary",
        "iam:DeleteRolePolicy",
        "iam:DetachRolePolicy",
        "iam:PutRolePermissionsBoundary",
        "iam:PutRolePolicy",
        "iam:UpdateAssumeRolePolicy",
        "iam:UpdateRole",
        "iam:UpdateRoleDescription"
      ],
      "Resource": [
        "arn:aws:iam::*:role/name-of-role-to-deny"
      ],
      "Condition": {
        "StringNotLike": {
          "aws:PrincipalARN":"arn:aws:iam::*:role/name-of-admin-role-to-allow"
        }
      }
    }
  ]
}

    Mewajibkan MFA untuk melakukan tindakan API

    Gunakan SCP seperti berikut untuk mengharuskan autentikasi multi-faktor (MFA) diaktifkan sebelum pengguna atau peran IAM dapat melakukan tindakan. Dalam contoh ini, tindakan tersebut adalah untuk menghentikan instans Amazon EC2.

    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "DenyStopAndTerminateWhenMFAIsNotPresent",
      "Effect": "Deny",
      "Action": [
        "ec2:StopInstances",
        "ec2:TerminateInstances"
      ],
      "Resource": "*",
      "Condition": {"BoolIfExists": {"aws:MultiFactorAuthPresent": false}}
    }
  ]
}

    Memblokir akses layanan untuk pengguna akar

    Kebijakan berikut membatasi semua akses ke tindakan tertentu untuk pengguna akar dalam akun anggota. Jika Anda ingin mencegah akun Anda menggunakan kredensial akar dengan cara tertentu, tambahkan tindakan Anda sendiri ke kebijakan ini.

    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "RestrictEC2ForRoot",
      "Effect": "Deny",
      "Action": [
        "ec2:*"
      ],
      "Resource": [
        "*"
      ],
      "Condition": {
        "StringLike": {
          "aws:PrincipalArn": [
            "arn:aws:iam::*:root"
          ]
        }
      }
    }
  ]
}

    Mencegah akun anggota keluar dari organisasi

    Kebijakan berikut memblokir penggunaan operasi LeaveOrganization API sehingga administrator akun anggota tidak dapat menghapus akun mereka dari organisasi.

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Deny",
            "Action": [
                "organizations:LeaveOrganization"
            ],
            "Resource": "*"
        }
    ]
}