Durch die Nutzung von AWS re:Post stimmt du den AWS re:Post Nutzungsbedingungen
AWS re:Postre:Post

是否有一种方法可以使用SCP策略阻止AWS组织外部的角色扮演尝试

0

【以下的问题经过翻译处理】 我尝试了这个:

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "DenyAssumption",
      "Effect": "Deny",
      "Action": "sts:AssumeRole",
      "Resource": "arn:aws:iam::2XXXXXXXX:role/Role"
    }
  ]
}

但我仍然可以从外部去扮演组织中的角色。

Themen
Sicherheit, Identität & KonformitätManagement & Unternehmensführung
Tags
AWS Identity and Access ManagementAWS Management ConsoleAWS Organisationen
Sprache
中文 (简体)
profile picture
EXPERTE
rePost Polyglot
gefragt vor 5 Monaten34 Aufrufe
1 Antwort
0

【以下的回答经过翻译处理】 这不能使用SCP来完成。您必须通过附加在角色上的信任策略来允许此操作。类似于以下内容:

{
  "Effect": "Deny",
  "Principal": { "AWS": "*" },
  "Action": "sts:AssumeRole", 
  "Condition": {
    "StringNotEquals": {
      "aws:PrincipalOrgId": "${aws:ResourceOrgId}"
    }, 
    "BoolIfExists": { 
       "aws:PrincipalIsAWSService": "false"
    }
  }
}

并在需要的所有角色中使用相同的方法。

SCP用于仅限于组织内部的访问限制。在使用上述信任策略后,您可以使用SCP限制意外的人无法修改角色信任策略。

profile picture
EXPERTE
rePost Polyglot
beantwortet vor 5 Monaten

Du bist nicht angemeldet. Anmelden um eine Antwort zu veröffentlichen.

Eine gute Antwort beantwortet die Frage klar, gibt konstruktives Feedback und fördert die berufliche Weiterentwicklung des Fragenstellers.

Richtlinien für die Beantwortung von Fragen

Relevanter Inhalt