堆棧內存溢出
  簡體   English   中英

我如何限制所有區域,除了一個區域用於在 aws 中使用 SCP 的所有服務

[英]How can i restrict all regions except one for all services using SCP in aws

 原文  2022-12-29 16:33:54       amazon-web-services

問題描述

對於在 aws 中使用 SCP 的所有服務和操作,我如何限制除一個區域以外的所有區域。 下面的 SCP 不工作。

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Deny",
      "Action": "*",
      "Resource": "*",
      "Condition": {
        "StringNotEquals": {
          "aws:RequestedRegion": "eu-west-1"
        }
      }
    }
  ]
}

1 個解決方案

解決方案1
 0  2022-12-30 05:04:27

您可以使用 AWS 服務控制策略 (SCP) 來允許或禁止操作和資源。 以下是將服務限制在指定區域的策略(注意 - 根據需要更改區域)

首先,指定允許在您希望使用的區域中執行操作的策略。

其次,指定 DENY 策略拒絕所有其他區域的所有操作。 (注意 StringNotEquals)

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "*",
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "aws:RequestedRegion": "us-east-1"
                }
            }
        },
        {
            "Effect": "Deny",
            "Action": "*",
            "NotAction": "*",
            "Resource": "*",
            "NotResource": "*",
            "Condition": {
                "StringNotEquals": {
                    "aws:RequestedRegion": "us-east-1"
                }
            }
        }
    ]
}

注意,以上是一個非常嚴格的規則。 您應該包括允許操作員/管理員訪問其他區域的策略。

AWS 提供了一些可用於自定義策略的示例 SCP 策略: https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps_examples_general.html#example-scp-deny-region

暫無
暫無

聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.

相關問題 如何生成我的所有 IAM 角色以及在 AWS 上使用這些角色的服務的列表 如何限制對 AWS s3 存儲桶的所有訪問 為什么 ec2.describe_regions() 不通過 Boto3 返回所有 AWS 區域? 如何在一個命令中為整個 vpc 或所有區域啟用 GCP 流日志? 對 aws 中的所有服務實施標簽策略 如何限制從 API 網關到 AWS Lambda 的負載中的特定參數? 無法使用來自 AWS EC2 的 SCP 將 MongoDB 檢索到本地驅動器 如何讓一個 Kubernetes LoadBalancer 平衡多個服務? 使用 Firebase 托管,如何將 PURGE 請求限制為特定 IP 如何使用 AWS CLI 創建 AWS Lambda 函數?
相關標簽
 
粵ICP備18138465號  © 2020-2024 STACKOOM.COM