Seleziona le tue preferenze relative ai cookie

Utilizziamo cookie essenziali e strumenti simili necessari per fornire il nostro sito e i nostri servizi. Utilizziamo i cookie prestazionali per raccogliere statistiche anonime in modo da poter capire come i clienti utilizzano il nostro sito e apportare miglioramenti. I cookie essenziali non possono essere disattivati, ma puoi fare clic su \"Personalizza\" o \"Rifiuta\" per rifiutare i cookie prestazionali.

Se sei d'accordo, AWS e le terze parti approvate utilizzeranno i cookie anche per fornire utili funzionalità del sito, ricordare le tue preferenze e visualizzare contenuti pertinenti, inclusa la pubblicità pertinente. Per continuare senza accettare questi cookie, fai clic su \"Continua\" o \"Rifiuta\". Per effettuare scelte più dettagliate o saperne di più, fai clic su \"Personalizza\".

Preferenze
Contattaci
Feedback
AWS Documentation
Crea un Account AWS
Impedisci l'accesso a Internet a livello di account utilizzando una politica di controllo del servizio - Prontuario AWS
RiepilogoPrerequisiti e limitazioniStrumentiBest practiceEpicheRisorse correlate

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Impedisci l'accesso a Internet a livello di account utilizzando una politica di controllo del servizio

PDF

Creato da Sergiy Shevchenko (AWS), Sean O'Sullivan (AWS) e Victor Mazeo Whitaker (AWS)

Riepilogo

Organizations spesso desidera limitare l'accesso a Internet alle risorse degli account che dovrebbero rimanere private. In questi account, le risorse nei cloud privati virtuali (VPCs) non devono accedere a Internet in alcun modo. Molte organizzazioni scelgono un'architettura di ispezione centralizzata. Per il traffico est-ovest (da VPC a VPC) in un'architettura di ispezione centralizzata, è necessario assicurarsi che gli account spoke e le relative risorse non abbiano accesso a Internet. Per il traffico nord-sud (uscita Internet e locale), si desidera consentire l'accesso a Internet solo tramite il VPC di ispezione.

Questo modello utilizza una policy di controllo dei servizi (SCP) per impedire l'accesso a Internet. È possibile applicare questo SCP a livello di account o unità organizzativa (OU). L'SCP limita la connettività Internet impedendo quanto segue:

  • Creazione o collegamento di un IPv4 gateway IPv6 Internet che consenta l'accesso diretto a Internet al VPC

  • Creazione o accettazione di una connessione peering VPC che potrebbe consentire l'accesso indiretto a Internet tramite un altro VPC

  • Creazione o aggiornamento di una AWS Global Acceleratorconfigurazione che potrebbe consentire l'accesso diretto a Internet alle risorse VPC

Prerequisiti e limitazioni

Prerequisiti

Limitazioni

  • SCPs non influiscono sugli utenti o sui ruoli nell'account di gestione. Influiscono solo sugli account membri nell'organizzazione.

  • SCPs riguardano solo gli utenti e i ruoli AWS Identity and Access Management (IAM) gestiti da account che fanno parte dell'organizzazione. Per ulteriori informazioni, consulta Effetti delle SCP sulle autorizzazioni.

Strumenti

Servizi AWS

  • AWS Organizationsè un servizio di gestione degli account che ti aiuta a consolidare più account Account AWS in un'organizzazione da creare e gestire centralmente. In questo modello, si utilizzano le politiche di controllo del servizio (SCPs) in AWS Organizations.

  • Amazon Virtual Private Cloud (Amazon VPC) ti aiuta a lanciare AWS risorse in una rete virtuale che hai definito. Questa rete virtuale è simile a una comune rete da gestire all'interno del proprio data center, ma con i vantaggi dell'infrastruttura scalabile di AWS.

Best practice

Dopo aver stabilito questo SCP nella tua organizzazione, assicurati di aggiornarlo frequentemente per risolvere eventuali novità Servizi AWS o funzionalità che potrebbero influire sull'accesso a Internet.

Epiche

AttivitàDescrizioneCompetenze richieste

Crea l'SCP.

  1. Accedere alla console AWS Organizations. È necessario accedere all'account di gestione dell'organizzazione.

  2. Nel riquadro di sinistra, scegli Politiche.

  3. Nella pagina delle politiche, scegli Criteri di controllo del servizio.

  4. Nella pagina Service control policies (Policy di controllo dei servizi), scegli Create policy (Crea policy).

  5. Nella pagina Crea una nuova politica di controllo del servizio, inserisci il nome della politica e una descrizione facoltativa della politica.

  6. (Facoltativo) Aggiungi AWS tag alla tua politica.

  7. Nell'editor JSON, elimina la politica dei segnaposto.

  8. Incollare la seguente policy nell'editor JSON.

    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Action": [
        "ec2:AttachInternetGateway",
        "ec2:CreateInternetGateway",        
        "ec2:CreateVpcPeeringConnection",
        "ec2:AcceptVpcPeeringConnection",
        "ec2:CreateEgressOnlyInternetGateway"
      ],
      "Resource": "*",
      "Effect": "Deny"
    },
    {
      "Action": [
        "globalaccelerator:Create*",
        "globalaccelerator:Update*"
      ],
      "Resource": "*",
      "Effect": "Deny"
    }
  ]
}

  9. Scegli Create Policy (Crea policy).

Amministratore AWS

Collega l'SCP.

  1. Nella pagina delle politiche di controllo del servizio, scegli la politica che hai creato.

  2. Nella scheda Targets (Destinazioni), scegli Attach (Collega).

  3. Seleziona l'unità organizzativa o l'account a cui desideri allegare la politica. Potrebbe essere necessario espanderla OUs per trovare l'unità organizzativa o l'account desiderato.

  4. Scegli Collega policy.

Amministratore AWS

Crea e collega l'SCP

AttivitàDescrizioneCompetenze richieste

Crea l'SCP.

  1. Accedere alla console AWS Organizations. È necessario accedere all'account di gestione dell'organizzazione.

  2. Nel riquadro di sinistra, scegli Politiche.

  3. Nella pagina delle politiche, scegli Criteri di controllo del servizio.

  4. Nella pagina Service control policies (Policy di controllo dei servizi), scegli Create policy (Crea policy).

  5. Nella pagina Crea una nuova politica di controllo del servizio, inserisci il nome della politica e una descrizione facoltativa della politica.

  6. (Facoltativo) Aggiungi AWS tag alla tua politica.

  7. Nell'editor JSON, elimina la politica dei segnaposto.

  8. Incollare la seguente policy nell'editor JSON.

    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Action": [
        "ec2:AttachInternetGateway",
        "ec2:CreateInternetGateway",        
        "ec2:CreateVpcPeeringConnection",
        "ec2:AcceptVpcPeeringConnection",
        "ec2:CreateEgressOnlyInternetGateway"
      ],
      "Resource": "*",
      "Effect": "Deny"
    },
    {
      "Action": [
        "globalaccelerator:Create*",
        "globalaccelerator:Update*"
      ],
      "Resource": "*",
      "Effect": "Deny"
    }
  ]
}

  9. Scegli Create Policy (Crea policy).

Amministratore AWS

Collega l'SCP.

  1. Nella pagina delle politiche di controllo del servizio, scegli la politica che hai creato.

  2. Nella scheda Targets (Destinazioni), scegli Attach (Collega).

  3. Seleziona l'unità organizzativa o l'account a cui desideri allegare la politica. Potrebbe essere necessario espanderla OUs per trovare l'unità organizzativa o l'account desiderato.

  4. Scegli Collega policy.

Amministratore AWS

Risorse correlate

Hai bisogno di aiuto?

PrivacyCondizioni del sitoPreferenze cookie
© 2025, Amazon Web Services, Inc. o società affiliate. Tutti i diritti riservati.