使用服务控制策略阻止账户级别的互联网访问 - AWS Prescriptive Guidance

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

使用服务控制策略阻止账户级别的互联网访问

由塞尔吉·舍甫琴科 (AWS)、肖恩·奥沙利文 () 和 Victor Mazeo Whitaker (AWS) 创作 AWS

摘要

Organizations 经常希望限制本应保持私密性的账户资源的互联网访问权限。在这些账户中,虚拟私有云 (VPCs) 中的资源不应以任何方式访问互联网。许多组织选择集中检查架构。对于集中式检查架构中的东西向(VPC-到-VPC)流量,您需要确保分支账户及其资源无法访问互联网。对于南北(互联网出口和本地)流量,您只想通过检查允许互联网访问。VPC

此模式使用服务控制策略 (SCP) 来帮助阻止互联网访问。您可以在账户或组织单位 (OU) 级别应用此SCP功能。通过防止以下情况来SCP限制互联网连接:

先决条件和限制

先决条件

限制

  • SCPs不要影响管理账户中的用户或角色。它们仅影响组织中的成员账户。

  • SCPs仅影响由属于组织的账户管理的 AWS Identity and Access Management (IAM) 用户和角色。有关更多信息,请参阅SCP对权限的影响

工具

AWS 服务

  • AWS Organizations是一项账户管理服务,可帮助您将多个账户整合 AWS 账户 到一个由您创建和集中管理的组织中。在此模式中,您可以在中使用服务控制策略 (SCPs) AWS Organizations。

  • Amazon Virtual Private Cloud(亚马逊VPC)可帮助您将 AWS 资源启动到您定义的虚拟网络中。该虚拟网络类似于您在数据中心中运行的传统网络,并具有使用 AWS的可扩展基础设施的优势。

最佳实践

SCP在您的组织中建立此功能后,请务必经常对其进行更新,以解决可能影响互联网访问的任何新功能 AWS 服务 或新功能。

操作说明

任务描述所需技能

创建 SCP。

  1. 登录 AWS Organizations 控制台。您必须登录组织的管理帐户。

  2. 在左侧窗格中,选择策略

  3. 在策略页面上,选择服务控制策略

  4. Service control policies (服务控制策略) 页面上,选择 Create policy (创建策略)

  5. 创建新的服务控制策略页面上,输入策略名称和可选的策略描述

  6. (可选)向您的策略添加AWS 标签

  7. 在JSON编辑器中,删除占位符策略。

  8. 将以下策略粘贴到JSON编辑器中。

    { "Version": "2012-10-17", "Statement": [ { "Action": [ "ec2:AttachInternetGateway", "ec2:CreateInternetGateway", "ec2:CreateVpcPeeringConnection", "ec2:AcceptVpcPeeringConnection", "ec2:CreateEgressOnlyInternetGateway" ], "Resource": "*", "Effect": "Deny" }, { "Action": [ "globalaccelerator:Create*", "globalaccelerator:Update*" ], "Resource": "*", "Effect": "Deny" } ] }
  9. 选择创建策略

AWS 管理员

附上SCP.

  1. 服务控制策略页面上,选择您创建的策略。

  2. Targets (目标) 选项卡上,选择 Attach (附加)

  3. 选择要将策略附加到的 OU 或账户。您可能需要展开OUs才能找到所需的 OU 或帐户。

  4. 选择附加策略

AWS 管理员

相关资源