Quero bloquear todos os acessos de usuários a quase todas as regiões aws. Você não pode "desabilitar" uma região que está habilitada por padrão. Também estou ciente das permissões que estão no nível da conta e não podem ser restritas regionalmente.
Eu não quero ter que adicionar uma política como essa para cada usuário/função/grupo
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "*",
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:RequestedRegion": [
"eu-west-1",
"eu-west-2",
"eu-west-3"
]
}
}
}
]
}
Você não pode aninhar grupos. Então eu não posso ter um grupo de nível superior, eu coloco todos os outros grupos que têm essa política.
Você não pode adicionar funções a grupos. Então, para meus modelos de SAM para meus aplicativos sem servidor, preciso adicionar essa política a todos eles? Eles criam dinamicamente uma função e uma política exclusivas para cada aplicativo (e quero manter assim)
Existe alguma maneira de impor uma política para todos os usuários e funções em uma conta? Devo estar faltando alguma coisa porque isso parece um pita para gerenciar.
No Active Directory, poderíamos simplesmente aplicar políticas no nível de OU/domínio/site/etc facilmente. Parece um recurso básico de uma plataforma de segurança e identidade
Existe uma maneira de aplicar essa política no nível da minha organização da AWS?
As Políticas de Controle de Serviço fazem exatamente o que você pediu. Você pode bloquear regiões, mas cuidado, alguns serviços são globais, portanto, precisam ser incluídos na lista de permissões. Por exemplo, IAM, WAF, Route53, CloudFront, algumas partes do S3 precisam estar na lista de permissões para serem executadas fora das regiões permitidas.
A página Exemplo de política do AWS Service Control tem isso como o primeiro exemplo, pois é o caso de uso mais comum para SCPs. Esta política nega regiões fora das duas listadas. É fácil alterar