Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Esempi generali
Rifiuta l'accesso a AWS in base alla Regione AWS richiesta.
Argomenti
Questa SCP nega l'accesso a qualsiasi operazione al di fuori delle Regioni specificate. Sostituisci eu-central-1 e eu-west-1 con le Regioni AWS che desideri utilizzare. Fornisce esenzioni per le operazioni nei servizi globali approvati. In questo esempio viene inoltre illustrato come esentare le richieste effettuate da uno dei due ruoli di amministratore specificati.
Nota
Per utilizzare l'SCP Region deny (Regione negata) con l'AWS Control Tower, consulta Rifiuta l'accesso a AWS in base alla Regione AWS richiesta..
Questa policy utilizza l'effetto Deny per rifiutare l'accesso a tutte le richieste di operazioni non presenti una delle due regioni approvate (eu-central-1 e eu-west-1). L'elemento NotAction consente di elencare i servizi le cui operazioni (o singole operazioni) sono esentate da questa restrizione. Poiché i servizi globali dispongono di endpoint ospitati fisicamente dalla us-east-1, devono essere esentati in questo modo. Con un SCP strutturato in questo modo, le richieste fatte ai servizi globali nella regione us-east-1 sono consentite se il servizio richiesto è incluso nell'elemento NotAction. Eventuali altre richieste ai servizi nella regione us-east-1 sono negate da questa policy di esempio.
Nota
Questo esempio potrebbe non includere tutti i servizi o le operazioni AWS globali più recenti. Sostituisci l'elenco di servizi e operazioni con i servizi globali utilizzati dagli account nella tua organizzazione.
Suggerimento
È possibile visualizzare i dati sull'ultimo accesso al servizio nella console IAM per determinare i servizi globalmente utilizzati dall'organizzazione. Nella scheda Access Advisor (Consulente accessi) nella pagina dei dettagli di un utente, un gruppo o un ruolo IAM vengono visualizzati i servizi AWS utilizzati da tale entità, ordinati in base all'accesso più recente.
Considerazioni
-
AWS KMS e AWS Certificate Manager supportano gli endpoint regionali. Tuttavia, se desideri utilizzarli con un servizio globale come Amazon CloudFront, è necessario includerli nell'elenco di esclusione dei servizi globali, come nell'esempio di SCP riportato di seguito. Un servizio globale come Amazon CloudFront richiede in genere l'accesso a AWS KMS e ACM nella stessa Regione, che per un servizio globale è la Regione Stati Uniti orientali (Virginia settentrionale) (
us-east-1). -
Per impostazione predefinita, AWS STS è un servizio globale e deve essere incluso nell'elenco di esclusione dei servizi globali. Tuttavia, è possibile abilitare AWS STS per utilizzare gli endpoint regionali al posto di un singolo endpoint globale. In questo caso, puoi rimuovere STS dall'elenco di esclusione dei servizi globali nell'esempio di SCP riportato di seguito. Per ulteriori informazioni, consulta Gestione di AWS STS in una Regione AWS.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "DenyAllOutsideEU", "Effect": "Deny", "NotAction": [ "a4b:*", "acm:*", "aws-marketplace-management:*", "aws-marketplace:*", "aws-portal:*", "budgets:*", "ce:*", "chime:*", "cloudfront:*", "config:*", "cur:*", "directconnect:*", "ec2:DescribeRegions", "ec2:DescribeTransitGateways", "ec2:DescribeVpnGateways", "fms:*", "globalaccelerator:*", "health:*", "iam:*", "importexport:*", "kms:*", "mobileanalytics:*", "networkmanager:*", "organizations:*", "pricing:*", "route53:*", "route53domains:*", "route53-recovery-cluster:*", "route53-recovery-control-config:*", "route53-recovery-readiness:*", "s3:GetAccountPublic*", "s3:ListAllMyBuckets", "s3:ListMultiRegionAccessPoints", "s3:PutAccountPublic*", "shield:*", "sts:*", "support:*", "trustedadvisor:*", "waf-regional:*", "waf:*", "wafv2:*", "wellarchitected:*" ], "Resource": "*", "Condition": { "StringNotEquals": { "aws:RequestedRegion": [ "eu-central-1", "eu-west-1" ] }, "ArnNotLike": { "aws:PrincipalARN": [ "arn:aws:iam::*:role/Role1AllowedToBypassThisSCP", "arn:aws:iam::*:role/Role2AllowedToBypassThisSCP" ] } } } ] }
Impedire agli utenti e ai ruoli IAM di apportare alcune modifiche
Questa SCP impedisce agli utenti e ai ruoli IAM di apportare modifiche al ruolo IAM specificato creato in tutti gli account nell'organizzazione.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "DenyAccessToASpecificRole", "Effect": "Deny", "Action": [ "iam:AttachRolePolicy", "iam:DeleteRole", "iam:DeleteRolePermissionsBoundary", "iam:DeleteRolePolicy", "iam:DetachRolePolicy", "iam:PutRolePermissionsBoundary", "iam:PutRolePolicy", "iam:UpdateAssumeRolePolicy", "iam:UpdateRole", "iam:UpdateRoleDescription" ], "Resource": [ "arn:aws:iam::*:role/name-of-role-to-deny" ] } ] }
Impedire agli utenti e ai ruoli IAM di apportare modifiche specifiche, con un'eccezione per un ruolo di amministratore specificato
Questa SCP si basa sull'esempio precedente per fare un'eccezione per gli amministratori. Impedisce agli utenti e ai ruoli IAM negli account interessati di apportare modifiche a un ruolo IAM di amministrazione comune creato in tutti gli account nella tua organizzazione ad eccezione degli amministratori che usano un ruolo specifico.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "DenyAccessWithException", "Effect": "Deny", "Action": [ "iam:AttachRolePolicy", "iam:DeleteRole", "iam:DeleteRolePermissionsBoundary", "iam:DeleteRolePolicy", "iam:DetachRolePolicy", "iam:PutRolePermissionsBoundary", "iam:PutRolePolicy", "iam:UpdateAssumeRolePolicy", "iam:UpdateRole", "iam:UpdateRoleDescription" ], "Resource": [ "arn:aws:iam::*:role/name-of-role-to-deny" ], "Condition": { "StringNotLike": { "aws:PrincipalARN":"arn:aws:iam::*:role/name-of-admin-role-to-allow" } } } ] }
Richiedere la MFA per eseguire un'operazione API
Utilizza una SCP simile alla seguente per richiedere che l'autenticazione a più fattori (MFA) sia abilitata prima che un utente o un ruolo IAM possa eseguire un'operazione. In questo esempio, l'operazione consiste nell'interrompere un'istanza Amazon EC2.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "DenyStopAndTerminateWhenMFAIsNotPresent", "Effect": "Deny", "Action": [ "ec2:StopInstances", "ec2:TerminateInstances" ], "Resource": "*", "Condition": {"BoolIfExists": {"aws:MultiFactorAuthPresent": false}} } ] }
Bloccare l'accesso al servizio per l'utente root
La policy seguente impedisce tutti gli accessi alle operazioni specificate per l'utente root in un account. Se desideri impedire agli account di usare le credenziali root in modi specifici, aggiungi le tue operazioni a questa policy.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "RestrictEC2ForRoot", "Effect": "Deny", "Action": [ "ec2:*" ], "Resource": [ "*" ], "Condition": { "StringLike": { "aws:PrincipalArn": [ "arn:aws:iam::*:root" ] } } } ] }
L'account di gestione può anche impedire agli account membri di lasciare l'organizzazione.
La policy seguente blocca l'utilizzo dell'operazione API LeaveOrganization in modo che gli amministratori degli account membri non possano rimuovere i propri account dall'organizzazione.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Deny", "Action": [ "organizations:LeaveOrganization" ], "Resource": "*" } ] }
