使用 AWS re:Post 即表示您同意 AWS re:Post 使用條款
AWS re:Postre:Post

是否有一种方法可以使用SCP策略阻止AWS组织外部的角色扮演尝试

0

【以下的问题经过翻译处理】 我尝试了这个:

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "DenyAssumption",
      "Effect": "Deny",
      "Action": "sts:AssumeRole",
      "Resource": "arn:aws:iam::2XXXXXXXX:role/Role"
    }
  ]
}

但我仍然可以从外部去扮演组织中的角色。

主題
安全性、身分識別與合規管理與治理
標籤
AWS Identity and Access ManagementAWS 管理主控台AWS Organizations
語言
中文 (简体)
profile picture
專家
rePost Polyglot
已提問 5 個月前檢視次數 34 次
1 個回答
0

【以下的回答经过翻译处理】 这不能使用SCP来完成。您必须通过附加在角色上的信任策略来允许此操作。类似于以下内容:

{
  "Effect": "Deny",
  "Principal": { "AWS": "*" },
  "Action": "sts:AssumeRole", 
  "Condition": {
    "StringNotEquals": {
      "aws:PrincipalOrgId": "${aws:ResourceOrgId}"
    }, 
    "BoolIfExists": { 
       "aws:PrincipalIsAWSService": "false"
    }
  }
}

并在需要的所有角色中使用相同的方法。

SCP用于仅限于组织内部的访问限制。在使用上述信任策略后,您可以使用SCP限制意外的人无法修改角色信任策略。

profile picture
專家
rePost Polyglot
已回答 5 個月前

您尚未登入。 登入 去張貼答案。

一個好的回答可以清楚地回答問題並提供建設性的意見回饋,同時有助於提問者的專業成長。

回答問題指南

相關內容