「サービスコントロールポリシー( SCP )」を使用して組織の権限を管理する

あなたの組織の許可を管理するのに苦労しているか、あなたがIAMユーザーまたは役割許可について心配しているならば.これはあなたのためです.SCP(サービス制御ポリシー)あなたのすべての問題を解決します.ちょうどそれを使用＆長い眠りを取る.

If you don't have the organization already then follow

サービス制御ポリシー( SCP ):Service control policies (SCPs) はorganizational policy それはあなたに役立ちますcontrol access あなたにall accounts 組織の.SCPSは、あなたのアカウントのすべてがあなたの組織の中にとどまることを保証しますaccess control guidelines (組織のルートアカウントまたは管理アカウントを除く).
SCPはあなたの組織のアカウントへのアクセス許可を与えていませんguardrail or set limits でactions アカウントの管理者がIAM users and roles 影響を受けたアカウントで.

Note: SCPs will affect the IAM Users and Roles of the affected accounts, including the root user. They don't affect resource-based policies directly. They also don't affect users or roles from accounts outside the organization.

あなたの組織のSCPを可能にする

組織の管理アカウントまたはルートアカウントに移動します.それから、AWS Organizations コンソール.
それからPolicies タブオープンService control policies .
ジャストクリックEnable service control policies 有効にするボタンSCP あなたの組織のために.

Note: SCPs are available only in an organization that has all features enabled.

SCPを正常に有効にしました.によってFullAWSAccess ポリシーは、すべてのアカウントの添付されます.
SCPポリシー:

SCP方針はIAM方針と同じフォーマットに続きます

SCPポリシーは、OU(組織単位)またはメンバーアカウントにアタッチします.

すべてのouかアカウントは1つのSCP方針を付けなければなりません.デフォルトFullAWSAccess ポリシーを添付.

これらの制限は、組織内のメンバーアカウントの管理者をオーバーライドします.メンバーアカウントの管理者が明示的にIAMポリシーでそのような権限を付与した場合でも、このブロックは有効です.

SCPポリシーは、リソースベースのポリシーに直接影響しません.また、組織外のアカウントからのユーザーまたはロールに影響しません.

SCP方針を作成して、AU /口座に接続して/取り外します

必要に応じて多くのポリシーを作成できます.ポリシーsyntexはIAMポリシーのようになります.

SCPポリシーリストからポリシーを添付または分離できます.

Or
あなたは、またはOUまたはアカウントビューからそれを添付または分離することができます.任意のouまたはアカウントをクリックすると、ポリシーオプションも表示されます.次に、ポリシーをアタッチしたり分離したりする必要があります.

SCP使用戦略

ブロックリストまたは拒否リスト:すべてのアクションがデフォルトで許可され、何を指定するservices and actions are prohibited . Default configuration .
whitelistまたはallow list :デフォルトではすべてのアクションが禁止され、何が指定されますかservices and actions are allowed .

例

組織図が次のようになります

ここでは、我々は我々がいるのを見ることができます

1管理口座

2つの(組織単位)

3 AWSメンバーアカウント.どこ

第1項及び第2項

アンダープロダクション

ブロックリストまたは拒否リストアプローチ:これはAWS組織SCPのデフォルト構成です.我々が我々の生産に非常に関心があると仮定してくださいCloudWatch , Config , GuardDuty & CloudTrail サービスと我々は誰もそれらのサービスを無効にすることを許可したくない.次に、ブロックリストまたは拒否リストのアプローチは、このユースケースに最適です.
ポリシーを作成するdenyLogServices (必要なものは何でも)

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Deny",
      "Action": [
        "cloudwatch:DeleteAlarms",
        "cloudwatch:DeleteDashboards",
        "cloudwatch:DisableAlarmActions",
        "cloudwatch:PutDashboard",
        "cloudwatch:PutMetricAlarm",
        "cloudwatch:SetAlarmState",
        "config:DeleteConfigRule",
        "config:DeleteConfigurationRecorder",
        "config:DeleteDeliveryChannel",
        "config:StopConfigurationRecorder",
        "guardduty:AcceptInvitation",
        "guardduty:ArchiveFindings",
        "guardduty:CreateDetector",
        "guardduty:CreateFilter",
        "guardduty:CreateIPSet",
        "guardduty:CreateMembers",
        "guardduty:CreatePublishingDestination",
        "guardduty:CreateSampleFindings",
        "guardduty:CreateThreatIntelSet",
        "guardduty:DeclineInvitations",
        "guardduty:DeleteDetector",
        "guardduty:DeleteFilter",
        "guardduty:DeleteInvitations",
        "guardduty:DeleteIPSet",
        "guardduty:DeleteMembers",
        "guardduty:DeletePublishingDestination",
        "guardduty:DeleteThreatIntelSet",
        "guardduty:DisassociateFromMasterAccount",
        "guardduty:DisassociateMembers",
        "guardduty:InviteMembers",
        "guardduty:StartMonitoringMembers",
        "guardduty:StopMonitoringMembers",
        "guardduty:TagResource",
        "guardduty:UnarchiveFindings",
        "guardduty:UntagResource",
        "guardduty:UpdateDetector",
        "guardduty:UpdateFilter",
        "guardduty:UpdateFindingsFeedback",
        "guardduty:UpdateIPSet",
        "guardduty:UpdatePublishingDestination",
        "guardduty:UpdateThreatIntelSet",
        "cloudtrail:Delete*",
        "cloudtrail:Update*",
      ],
      "Resource": "*"
    }
  ]
}

Then

このSCPポリシーをProduction OU . 次に、すべてのアカウントの下で適用されますProduction OU . たとえ他のアカウントを追加したとしてもProduction OU このポリシーはそこでも適用されます.

それから、デフォルトの' fullsaccess ' scp方針を切り離してください.何故ならBlocklist アプローチはすべてデフォルトで許可されます.

Note: If you attach this policy to the Root OU then it will be effected all of your OUs and accounts. Which is not our usecase.

効果:このSCP方針は、どんな影響を受けたアカウントのユーザーまたは役割も無効にするのを防ぎますCloudWatch , Config , GuardDuty & CloudTrail またはその設定を変更する.これは効果的に読み取り専用のアクセスをCloudWatch , Config , GuardDuty & CloudTrail 情報資源論.影響を受けたアカウントのrootユーザでもこれはできません.
ホワイトリストまたは許可リストのアプローチSuspended OU . ここで、EC 2、DynamoDB、およびラムダサービスのみが使用されています.それで、私たちはそれら以外のそれらのアカウントのすべてのサービスを公開したくありません.このユースケースではwhitelist アプローチは、このusecaseに最適です.
ポリシーを作成するallowLegacyServices (必要なものは何でも)

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowsAllActions",
            "Effect": "Allow",
            "Action": [
              "ec2:*",
              "dynamodb:*",
              "lambda:*"
            ],
            "Resource": "*"
        }
    ]
}

Then

ポリシーをSuspended OU . その後、すべてのアカウントに適用されますSuspended OU .

それからデフォルトのSCP許可を切り離してくださいFullAWSAccess . それ以外の場合は、両方のアクセス許可が適用されます.これはusecaseではない.にWithlist アプローチはすべてデフォルトで禁止されます.

Note: You can attach SCP policy to member account as well. But it is always recommanded that attach SCP policy to OU lavel Then it will be applied to all accounts and OUs under that OU.

効果:このSCP方針は、どんな影響を受けるアカウントででもユーザーまたは役割を許しますec2 , dynamoDB & lambda 情報資源論.( rootユーザであっても)他の権限を持たない場合を除きます.ユーザーがユーザまたはロールの他の許可を添付したにもかかわらず、彼は他の許可を得ていません.ユーザーまたはロールが取得できる最大の制限は、SCPロールで定義されます.

For more example follow this

制限

ただし、あなたの組織のアカウントのすべてが後に作成されたことを確信していない限りSeptember 15, 2017 , これらの操作を制限するためにscpsに依存しないことを推奨します.

概要

SCPは、中央の場所からあなたの組織許可を管理するすばらしい方法です.あなたは、組織OU(組織単位)またはメンバーアカウントの許可を許すか、否定することによって、制限をセットすることができます.それはあなたの組織インフラに良い自信を与える.あなたの組織でこれを使用して、深い眠りをしてください.
もっと学ぶためにAWS Organization Service control policies (SCPs) documentation .
読書ありがとう!ハッピークラウドコンピューティング!
接続してください.