我想允许我的 AWS 组织 (在多个不同的 OU 下) 中的所有账户中的用户仅访问少数 AWS 服务:RDS、EC2、S3 等。换句话说,我需要阻止访问其他任何服务。我曾考虑使用 SCP,但拒绝访问这么多服务似乎不是一个好主意(默认情况下会附加 FullAWSAccess 服务控制策略)。我想问您是否曾经做过类似的事情,如果有,怎么做的?
答案1
SCP 是可行的方法。
您可以使用白名单条件拒绝所有内容。
请记住,您需要缩小 SCP 的范围,否则您最终将禁用 AWS 服务角色来执行标准操作,例如如果您使用 CloudFormation 堆栈。
因此,您应该仅将此 SCP 应用于您的用户和服务使用的角色。
提示:使用一个角色来实现 SCP,使用另一个角色来测试它。从小处着手,循序渐进。否则,您可能会被排除在 AWS 控制台的任何服务之外。