我想阻止所有用户访问几乎所有 aws 区域。您不能“禁用”默认启用的区域。我也知道帐户级别的权限,不能在区域内受到限制。
我不想为每个用户/角色/组添加这样的策略
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "*",
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:RequestedRegion": [
"eu-west-1",
"eu-west-2",
"eu-west-3"
]
}
}
}
]
}
你不能嵌套组。所以我不能有一个顶级组,我把所有其他组都放在里面有这个政策。
您不能将角色添加到组。因此,对于我的无服务器应用程序的SAM 模板,我是否必须将此策略添加到所有这些模板?他们为每个应用程序动态创建一个独特的角色和策略(我想保持这种方式)
有没有办法为账户中的所有用户和角色强制执行策略?我一定错过了一些东西,因为这似乎是一个需要管理的皮塔饼。
在 Active Directory 中,我们可以轻松地在 OU/domain/site/etc 级别应用策略。感觉就像是安全和身份平台的基本功能
有没有办法在我的 AWS 组织级别应用此策略?
服务控制策略完全符合您的要求。您可以阻止区域,但要注意某些服务是全球性的,因此需要列入白名单。例如 IAM、WAF、Route53、CloudFront,S3 的某些部分需要被列入白名单才能在允许的区域之外运行。
AWS 服务控制策略示例页面将此作为第一个示例,因为它是 SCP 最常见的用例。此政策拒绝列出的两个以外的地区,很容易更改