本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
使用服务控制策略阻止账户级别的互联网访问
由塞尔吉·舍甫琴科 (AWS)、肖恩·奥沙利文 () 和 Victor Mazeo Whitaker (AWS) 创作 AWS
摘要
Organizations 经常希望限制本应保持私密性的账户资源的互联网访问权限。在这些账户中,虚拟私有云 (VPCs) 中的资源不应以任何方式访问互联网。许多组织选择集中检查架构
此模式使用服务控制策略 (SCP) 来帮助阻止互联网访问。您可以在账户或组织单位 (OU) 级别应用此SCP功能。通过防止以下情况来SCP限制互联网连接:
创建IPv4或连接允许直接访问IPv6互联网的或互联网网关 VPC
创建或接受可能允许通过其他人间接访问互联网的对VPC等连接 VPC
创建或更新可能允许通过互联网直接访问VPC资源的AWS Global Accelerator配置
先决条件和限制
先决条件
一个或多个作为组织在中进行 AWS 账户 管理 AWS Organizations。
所有功能均已在中启用 AWS Organizations。
权限:
访问组织的管理账户。
创建SCPs。有关最低权限的更多信息,请参阅创建SCP。
将附加SCP到目标客户或组织单位 (OUs)。有关最低权限的更多信息,请参阅附加和分离服务控制策略。
限制
SCPs不要影响管理账户中的用户或角色。它们仅影响组织中的成员账户。
SCPs仅影响由属于组织的账户管理的 AWS Identity and Access Management (IAM) 用户和角色。有关更多信息,请参阅SCP对权限的影响。
工具
AWS 服务
AWS Organizations是一项账户管理服务,可帮助您将多个账户整合 AWS 账户 到一个由您创建和集中管理的组织中。在此模式中,您可以在中使用服务控制策略 (SCPs) AWS Organizations。
Amazon Virtual Private Cloud(亚马逊VPC)可帮助您将 AWS 资源启动到您定义的虚拟网络中。该虚拟网络类似于您在数据中心中运行的传统网络,并具有使用 AWS的可扩展基础设施的优势。
最佳实践
SCP在您的组织中建立此功能后,请务必经常对其进行更新,以解决可能影响互联网访问的任何新功能 AWS 服务 或新功能。
操作说明
任务 | 描述 | 所需技能 |
---|---|---|
创建 SCP。 |
| AWS 管理员 |
附上SCP. |
| AWS 管理员 |