「サービスコントロールポリシー( SCP )」を使用して組織の権限を管理する
If you don't have the organization already then follow
サービス制御ポリシー( SCP ):
Service control policies (SCPs)
はorganizational policy
それはあなたに役立ちますcontrol access
あなたにall accounts
組織の.SCPSは、あなたのアカウントのすべてがあなたの組織の中にとどまることを保証しますaccess control guidelines
(組織のルートアカウントまたは管理アカウントを除く).SCPはあなたの組織のアカウントへのアクセス許可を与えていません
guardrail
or set limits
でactions
アカウントの管理者がIAM users
and roles
影響を受けたアカウントで.Note: SCPs will affect the
IAM Users
andRoles
of the affected accounts,including the root user
. They don't affect resource-based policies directly. They also don't affect users or roles from accounts outside the organization.
あなたの組織のSCPを可能にする
組織の管理アカウントまたはルートアカウントに移動します.それから、
AWS Organizations
コンソール.それから
Policies
タブオープンService control policies
.ジャストクリック
Enable service control policies
有効にするボタンSCP
あなたの組織のために.Note: SCPs are available only in an organization that has all features enabled.
SCPを正常に有効にしました.によって
FullAWSAccess
ポリシーは、すべてのアカウントの添付されます.SCPポリシー:
FullAWSAccess
ポリシーを添付.SCP方針を作成して、AU /口座に接続して/取り外します
必要に応じて多くのポリシーを作成できます.ポリシーsyntexはIAMポリシーのようになります.
SCPポリシーリストからポリシーを添付または分離できます.
Or
あなたは、またはOUまたはアカウントビューからそれを添付または分離することができます.任意のouまたはアカウントをクリックすると、ポリシーオプションも表示されます.次に、ポリシーをアタッチしたり分離したりする必要があります.
SCP使用戦略
ブロックリストまたは拒否リスト:すべてのアクションがデフォルトで許可され、何を指定する
services and actions
are prohibited
. Default configuration
.whitelistまたはallow list :デフォルトではすべてのアクションが禁止され、何が指定されますか
services and actions
are allowed
.例
組織図が次のようになります
ここでは、我々は我々がいるのを見ることができます
CloudWatch
, Config
, GuardDuty
& CloudTrail
サービスと我々は誰もそれらのサービスを無効にすることを許可したくない.次に、ブロックリストまたは拒否リストのアプローチは、このユースケースに最適です.ポリシーを作成する
denyLogServices
(必要なものは何でも){
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Deny",
"Action": [
"cloudwatch:DeleteAlarms",
"cloudwatch:DeleteDashboards",
"cloudwatch:DisableAlarmActions",
"cloudwatch:PutDashboard",
"cloudwatch:PutMetricAlarm",
"cloudwatch:SetAlarmState",
"config:DeleteConfigRule",
"config:DeleteConfigurationRecorder",
"config:DeleteDeliveryChannel",
"config:StopConfigurationRecorder",
"guardduty:AcceptInvitation",
"guardduty:ArchiveFindings",
"guardduty:CreateDetector",
"guardduty:CreateFilter",
"guardduty:CreateIPSet",
"guardduty:CreateMembers",
"guardduty:CreatePublishingDestination",
"guardduty:CreateSampleFindings",
"guardduty:CreateThreatIntelSet",
"guardduty:DeclineInvitations",
"guardduty:DeleteDetector",
"guardduty:DeleteFilter",
"guardduty:DeleteInvitations",
"guardduty:DeleteIPSet",
"guardduty:DeleteMembers",
"guardduty:DeletePublishingDestination",
"guardduty:DeleteThreatIntelSet",
"guardduty:DisassociateFromMasterAccount",
"guardduty:DisassociateMembers",
"guardduty:InviteMembers",
"guardduty:StartMonitoringMembers",
"guardduty:StopMonitoringMembers",
"guardduty:TagResource",
"guardduty:UnarchiveFindings",
"guardduty:UntagResource",
"guardduty:UpdateDetector",
"guardduty:UpdateFilter",
"guardduty:UpdateFindingsFeedback",
"guardduty:UpdateIPSet",
"guardduty:UpdatePublishingDestination",
"guardduty:UpdateThreatIntelSet",
"cloudtrail:Delete*",
"cloudtrail:Update*",
],
"Resource": "*"
}
]
}
Then Production OU
. 次に、すべてのアカウントの下で適用されますProduction OU
. たとえ他のアカウントを追加したとしてもProduction OU
このポリシーはそこでも適用されます.Blocklist
アプローチはすべてデフォルトで許可されます.Note: If you attach this policy to the Root OU then it will be effected all of your OUs and accounts. Which is not our usecase.
効果:このSCP方針は、どんな影響を受けたアカウントのユーザーまたは役割も無効にするのを防ぎます
CloudWatch
, Config
, GuardDuty
& CloudTrail
またはその設定を変更する.これは効果的に読み取り専用のアクセスをCloudWatch
, Config
, GuardDuty
& CloudTrail
情報資源論.影響を受けたアカウントのrootユーザでもこれはできません.ホワイトリストまたは許可リストのアプローチ
Suspended OU
. ここで、EC 2、DynamoDB、およびラムダサービスのみが使用されています.それで、私たちはそれら以外のそれらのアカウントのすべてのサービスを公開したくありません.このユースケースではwhitelist
アプローチは、このusecaseに最適です.ポリシーを作成する
allowLegacyServices
(必要なものは何でも){
"Version": "2012-10-17",
"Statement": [
{
"Sid": "AllowsAllActions",
"Effect": "Allow",
"Action": [
"ec2:*",
"dynamodb:*",
"lambda:*"
],
"Resource": "*"
}
]
}
Then Suspended OU
. その後、すべてのアカウントに適用されますSuspended OU
. FullAWSAccess
. それ以外の場合は、両方のアクセス許可が適用されます.これはusecaseではない.にWithlist
アプローチはすべてデフォルトで禁止されます.Note: You can attach SCP policy to member account as well. But it is always recommanded that attach SCP policy to OU lavel Then it will be applied to all accounts and OUs under that OU.
効果:このSCP方針は、どんな影響を受けるアカウントででもユーザーまたは役割を許します
ec2
, dynamoDB
& lambda
情報資源論.( rootユーザであっても)他の権限を持たない場合を除きます.ユーザーがユーザまたはロールの他の許可を添付したにもかかわらず、彼は他の許可を得ていません.ユーザーまたはロールが取得できる最大の制限は、SCPロールで定義されます.For more example follow this
制限
ただし、あなたの組織のアカウントのすべてが後に作成されたことを確信していない限り
September 15, 2017
, これらの操作を制限するためにscpsに依存しないことを推奨します.概要
SCPは、中央の場所からあなたの組織許可を管理するすばらしい方法です.あなたは、組織OU(組織単位)またはメンバーアカウントの許可を許すか、否定することによって、制限をセットすることができます.それはあなたの組織インフラに良い自信を与える.あなたの組織でこれを使用して、深い眠りをしてください.
もっと学ぶためにAWS Organization Service control policies (SCPs) documentation .
読書ありがとう!ハッピークラウドコンピューティング!
接続してください.
Reference
この問題について(「サービスコントロールポリシー( SCP )」を使用して組織の権限を管理する), 我々は、より多くの情報をここで見つけました https://dev.to/noyonict/control-your-organizations-permission-using-service-control-policy-scp-3bkdテキストは自由に共有またはコピーできます。ただし、このドキュメントのURLは参考URLとして残しておいてください。
Collection and Share based on the CC Protocol