主页 / server / 问题 / 963599
Accepted
Tim
Asked: 2019-04-18 19:18:30 +0800 CST

使用 SCP(服务控制策略)在 AWS 组织内实施 EBS 加密

  • 772

是否可以强制 AWS 组织内的所有账户只能创建加密的 EBS 卷?

我知道您可以使用IAM 角色来执行它,但我想知道它是否可以使用 SCP 来完成。

到目前为止,这是我想出的,但它不起作用。我已将此附加到我组织内的一个帐户,但我可以创建加密和未加密的卷。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Deny",
            "Action": "ec2:CreateVolume",
            "Resource": "*",
            "Condition": {
                "Bool": {
                    "ec2:Encrypted": "false"
                }
            }
        }
    ]
}
amazon-web-services

1 个回答

  1. Best Answer

    2020 年 9 月更新

    下面链接的 AWS 页面上的信息已更改。EC2 和 root 用户的限制似乎已被删除。以下政策应该有效

    {
  "Effect": "Deny",
  "Action": "ec2:CreateVolume",
  "Resource": "*",
  "Condition": {
    "Bool": {
      "ec2:Encrypted": "false"
    }
  }
},
{
  "Sid": "PreventEc2MountUnencryptedVolume",
  "Effect": "Deny",
  "Action": "ec2:RunInstances",
  "Resource": "arn:aws:ec2:*:*:volume/*",
  "Condition": {
    "Bool": {
      "ec2:Encrypted": "false"
     }
   }
}

    您可以并且可能应该使用此页面上的策略更普遍地限制 root 用户。root 用户不应该用于日常管理,但让它们可用并有权执行关键任务作为打破玻璃是明智的。

    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "RestrictEC2ForRoot",
      "Effect": "Deny",
      "Action": [
        "ec2:*",
        "s3:*",
        "kms:*"
      ],
      "Resource": [
        "*"
      ],    
      "Condition": {
        "StringLike": {
          "aws:PrincipalArn": [
            "arn:aws:iam::*:root"
          ]
        }
      }
    }
  ]
}

    原始答案 2019 年 4 月

    事实证明,SCP 按预期工作,但有一个问题 - 根据此 AWS 页面“使用根凭证时不评估以“ec2”开头的所有条件键”。

    因为要加密的卷的要求在条件密钥内,所以当我以 root 身份登录时,它没有被强制执行。当我以 IAM 用户身份登录时,SCP 已按预期执行。

    这是 AWS 文档的全文。

    AWS 文档

    目前,当使用根用户凭证发出 Amazon EC2 请求时,资源和条件策略元素无法按以下方式按预期运行:

    Resource ARNs – If you specify an AWS resource ARN in an SCP's resource element, it won't match the resource the root user performs

    策略评估期间的 Amazon EC2 操作。这意味着此操作的指定限制不适用于 root 用户。为根用户正确评估为 Amazon EC2 操作指定所有资源(“资源”:“*”)的拒绝语句。

    Amazon EC2 condition keys – All condition keys that start with "ec2" aren't evaluated when using root credentials. Because policy

    没有为 root 用户正确评估条件,具有 root 凭证的用户可能会意外访问 Amazon EC2 操作。

    此问题不影响 IAM 用户和角色或除 Amazon EC2 之外的任何 AWS 服务。只有 root 用户会遇到此问题。如果您不希望您的根用户有权访问 Amazon EC2 操作,请将 SCP(如限制根用户访问 Amazon EC2 示例)附加到您的组织根。

    这是他们链接到的 SCP

    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "RestrictEC2ForRoot",
      "Effect": "Deny",
      "Action": [
        "ec2:*"
      ],
      "Resource": [
        "*"
      ],
      "Condition": {
        "StringLike": {
          "aws:PrincipalArn": [
            "arn:aws:iam::*:root"
          ]
        }
      }
    }
  ]
}
    • 0

相关问题