服务控制策略 - 阻止 Root

tag-icon tag-icon amazon-web-services
服务控制策略 - 阻止 Root

我想阻止我的 AWS 组织中的根账户在组织中的所有其他账户中采取行动,因此我计划设置服务控制策略来阻止根账户,这也是 AWS 推荐的指导。

理论上听起来不错,但 root 帐户不能删除服务控制策略吗?

答案1

是的,root 可以删除 SCP,但阻止 root 操作资源仍然是一个好习惯。这是一个软护栏,提醒人们不要使用 root 做这种事情。

AWS 有一个示例 SCP这里

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "RestrictEC2ForRoot",
      "Effect": "Deny",
      "Action": [
        "ec2:*"
      ],
      "Resource": [
        "*"
      ],
      "Condition": {
        "StringLike": {
          "aws:PrincipalArn": [
            "arn:aws:iam::*:root"
          ]
        }
      }
    }
  ]
}

相关内容