Tổ chức AWS - Làm cách nào để thiết lập ranh giới trên toàn cầu để chỉ cho phép đánh giá đối với nhóm dịch vụ được xác định trước?

Jacek

12:35, 02/03/2023

Tôi muốn cho phép người dùng trong tất cả các tài khoản trong Tổ chức AWS của mình (dưới một số đơn vị tổ chức khác nhau) chỉ truy cập vào một số dịch vụ AWS: RDS, EC2, S3, v.v. Nói cách khác, tôi cần ngăn truy cập vào bất kỳ dịch vụ nào khác. Tôi đã nghĩ đến việc sử dụng SCP nhưng việc từ chối quyền truy cập vào quá nhiều dịch vụ dường như là một ý tưởng tồi (chính sách kiểm soát dịch vụ FullAWSAccess được đính kèm theo mặc định). Tôi muốn hỏi bạn đã bao giờ làm điều gì đó như vậy chưa và nếu bạn đã làm như thế nào?

0 + 0

amazon-web-services

tổ chức aws

Điểm:1

Server

Erik Norman

12:55, 02/03/2023

SCP là con đường để đi.

Bạn có thể từ chối mọi thứ với điều kiện danh sách trắng.

Xin lưu ý rằng bạn cần giảm phạm vi SCP của mình, nếu không, bạn sẽ vô hiệu hóa các vai trò dịch vụ AWS để thực hiện các hoạt động tiêu chuẩn, ví dụ: nếu bạn sử dụng ngăn xếp CloudFormation.

Do đó, bạn chỉ nên áp dụng SCP này cho các vai trò được người dùng và dịch vụ của bạn sử dụng.

Mẹo: sử dụng một vai trò để triển khai SCP và một vai trò để kiểm tra nó. Bắt đầu nhỏ và tiến bộ trong các bước nhỏ. Nếu không, bạn có thể tự loại mình khỏi bất kỳ dịch vụ nào trong bảng điều khiển AWS.

0 + 0

Tim

17:25, 02/03/2023

Chắc chắn là SCP. Thêm một vài suy nghĩ dựa trên kinh nghiệm sử dụng SCP của tôi trong một thời gian. Thử nghiệm với một Sandbox OU, với các vai trò cụ thể. Lưu ý rằng tài khoản chính không thể bị hạn chế SCP. SCP có thể thực sự khó sử dụng, chúng là sự kết hợp các quyền của tất cả OU và tài khoản. Khi các quyền không hoạt động như mong đợi, tôi luôn xem xét SCP trước, sau đó là IAM. Làm việc từ các SCP mẫu, bắt đầu từ việc nhỏ.

Hồi đáp

Jacek

08:05, 03/03/2023

Cảm ơn bạn. Tôi đã sử dụng "Từ chối" với "Không hành động" và liệt kê các dịch vụ được phép, thêm điều kiện loại trừ một người dùng. Thử nghiệm trong dev env ngay bây giờ, có vẻ tốt cho đến nay.

Hồi đáp

Phan Văn Trường

Câu hỏi này là trong các ngôn ngữ khác:

EN: AWS Organizations - How to globally set boundaries to allow assess only to predefined set of services?

TH: องค์กร AWS - จะกำหนดขอบเขตทั่วโลกเพื่ออนุญาตให้ประเมินเฉพาะชุดบริการที่กำหนดไว้ล่วงหน้าได้อย่างไร

RO: Organizații AWS - Cum se stabilesc limite la nivel global pentru a permite evaluarea numai pentru un set predefinit de servicii?

RU: Организации AWS. Как глобально установить границы, чтобы разрешить оценку только предопределенного набора сервисов?

VI: Tổ chức AWS - Làm cách nào để thiết lập ranh giới trên toàn cầu để chỉ cho phép đánh giá đối với nhóm dịch vụ được xác định trước?

Đăng câu trả lời

Hầu hết mọi người không hiểu rằng việc đặt nhiều câu hỏi sẽ mở ra cơ hội học hỏi và cải thiện mối quan hệ giữa các cá nhân. Ví dụ, trong các nghiên cứu của Alison, mặc dù mọi người có thể nhớ chính xác có bao nhiêu câu hỏi đã được đặt ra trong các cuộc trò chuyện của họ, nhưng họ không trực giác nhận ra mối liên hệ giữa câu hỏi và sự yêu thích. Qua bốn nghiên cứu, trong đó những người tham gia tự tham gia vào các cuộc trò chuyện hoặc đọc bản ghi lại các cuộc trò chuyện của người khác, mọi người có xu hướng không nhận ra rằng việc đặt câu hỏi sẽ ảnh hưởng—hoặc đã ảnh hưởng—mức độ thân thiện giữa những người đối thoại.