堆栈内存溢出
  繁体   English   中英

我如何限制所有区域,除了一个区域用于在 aws 中使用 SCP 的所有服务

[英]How can i restrict all regions except one for all services using SCP in aws

 原文  2022-12-29 16:33:54       amazon-web-services

问题描述

对于在 aws 中使用 SCP 的所有服务和操作,我如何限制除一个区域以外的所有区域。 下面的 SCP 不工作。

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Deny",
      "Action": "*",
      "Resource": "*",
      "Condition": {
        "StringNotEquals": {
          "aws:RequestedRegion": "eu-west-1"
        }
      }
    }
  ]
}

1 个解决方案

解决方案1
 0  2022-12-30 05:04:27

您可以使用 AWS 服务控制策略 (SCP) 来允许或禁止操作和资源。 以下是将服务限制在指定区域的策略(注意 - 根据需要更改区域)

首先,指定允许在您希望使用的区域中执行操作的策略。

其次,指定 DENY 策略拒绝所有其他区域的所有操作。 (注意 StringNotEquals)

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "*",
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "aws:RequestedRegion": "us-east-1"
                }
            }
        },
        {
            "Effect": "Deny",
            "Action": "*",
            "NotAction": "*",
            "Resource": "*",
            "NotResource": "*",
            "Condition": {
                "StringNotEquals": {
                    "aws:RequestedRegion": "us-east-1"
                }
            }
        }
    ]
}

注意,以上是一个非常严格的规则。 您应该包括允许操作员/管理员访问其他区域的策略。

AWS 提供了一些可用于自定义策略的示例 SCP 策略: https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps_examples_general.html#example-scp-deny-region

暂无
暂无

声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.

相关问题 如何生成我的所有 IAM 角色以及在 AWS 上使用这些角色的服务的列表 如何限制对 AWS s3 存储桶的所有访问 为什么 ec2.describe_regions() 不通过 Boto3 返回所有 AWS 区域? 如何在一个命令中为整个 vpc 或所有区域启用 GCP 流日志? 对 aws 中的所有服务实施标签策略 如何限制从 API 网关到 AWS Lambda 的负载中的特定参数? 无法使用来自 AWS EC2 的 SCP 将 MongoDB 检索到本地驱动器 如何让一个 Kubernetes LoadBalancer 平衡多个服务? 使用 Firebase 托管,如何将 PURGE 请求限制为特定 IP 如何使用 AWS CLI 创建 AWS Lambda 函数?
相关标签
 
粤ICP备18138465号  © 2020-2024 STACKOOM.COM