Amazon-Web-Services

服務控制策略 - 防止 Root

  • May 17, 2022

我想阻止我的 AWS 組織中的根賬戶在組織中的所有其他賬戶中執行操作,因此我計劃設置一個服務控制策略來阻止根賬戶,這也是 AWS 推薦的指導。

理論上聽起來不錯,但root帳戶不能刪除服務控制策略嗎?

是的,root 可以刪除 SCP,但阻止 root 對資源進行操作仍然是一種很好的做法。這是一個軟護欄,提醒人們不要為這類事情使用root。

AWS在這裡有一個範例 SCP 。

{
 "Version": "2012-10-17",
 "Statement": [
   {
     "Sid": "RestrictEC2ForRoot",
     "Effect": "Deny",
     "Action": [
       "ec2:*"
     ],
     "Resource": [
       "*"
     ],
     "Condition": {
       "StringLike": {
         "aws:PrincipalArn": [
           "arn:aws:iam::*:root"
         ]
       }
     }
   }
 ]
}

引用自:https://serverfault.com/questions/1101083

相關問答

Amazon-Web-Services

嘗試了解 UserData 腳本的 Cloudformation 語法

  • September 21, 2022
檢視問答
Amazon-Web-Services

資源處理程序返回消息:“CIDR ‘10.0.1.0/22’ 無效

  • August 31, 2022
檢視問答
Amazon-Web-Services

彈性豆莖域名

  • August 28, 2022
檢視問答
Amazon-Web-Services

具有相同域的多個 Route53 私有託管區域

  • August 8, 2022
檢視問答
Amazon-Web-Services

將彈性 IP 從 VPC 移動到 Classic EC2

  • August 5, 2022
檢視問答
Amazon-Web-Services

如何刪除 AWS Redshift Serverless?

  • July 29, 2022
檢視問答