![](/img/trans.png)
[英]How can I generate a list of all my IAM roles and the services using those roles on AWS
[英]How can i restrict all regions except one for all services using SCP in aws
對於在 aws 中使用 SCP 的所有服務和操作,我如何限制除一個區域以外的所有區域。 下面的 SCP 不工作。
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Deny",
"Action": "*",
"Resource": "*",
"Condition": {
"StringNotEquals": {
"aws:RequestedRegion": "eu-west-1"
}
}
}
]
}
您可以使用 AWS 服務控制策略 (SCP) 來允許或禁止操作和資源。 以下是將服務限制在指定區域的策略(注意 - 根據需要更改區域)
首先,指定允許在您希望使用的區域中執行操作的策略。
其次,指定 DENY 策略拒絕所有其他區域的所有操作。 (注意 StringNotEquals)
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "*",
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:RequestedRegion": "us-east-1"
}
}
},
{
"Effect": "Deny",
"Action": "*",
"NotAction": "*",
"Resource": "*",
"NotResource": "*",
"Condition": {
"StringNotEquals": {
"aws:RequestedRegion": "us-east-1"
}
}
}
]
}
注意,以上是一個非常嚴格的規則。 您應該包括允許操作員/管理員訪問其他區域的策略。
AWS 提供了一些可用於自定義策略的示例 SCP 策略: https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps_examples_general.html#example-scp-deny-region
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.