Question

Можно ли создать такую SCP (политику управления службами) и прикрепить ее к учетной записи, которая запрещает запуск любых новых ресурсов (инфраструктуры) в этой учетной записи?Предполагая, что учетная запись является частью организаций AWS.

Вопрос возникает из-за следующих недоразумений:

может ли SCP ограничивать определенные действия, такие как запуск инфраструктуры?
может ли SCPприменяться на уровне учетной записи (не на организационном уровне!)?

Andremoniy · Answer 1 · 26 мая 2019

Да, это можно сделать.

SCP может содержать явные правила запрета, например, запретить создание любых связанных с EC2 экземпляров и ресурсов:

    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "Statement1",
            "Effect": "Deny",
            "Action": [
                "ec2:Create*"
            ],
            "Resource": "*"
        }
    ]
}

Любой SCP может быть привязан к :
- Счета
- Организационные единицы
- Root account

Запретить создание новых ресурсов с помощью политики управления службами

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

1 Ответ

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Запретить создание новых ресурсов с помощью политики управления службами

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

1 Ответ

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Похожие темы