通过服务控制策略拒绝创建新资源

时间:2019-05-26 15:22:12

标签: amazon-web-services amazon-iam amazon-policy

是否可以创建这样的SCP(服务控制策略)并将其附加到拒绝该帐户中启动的任何新资源(基础结构)的帐户?假设该帐户是AWS Organizations的一部分。

问题来自以下困惑:

  • SCP可以限制启动基础设施之类的特定行动吗?
  • 可以在帐户级别(而不是组织级别)应用SCP吗?

1 个答案:

答案 0 :(得分:1)

是的,有可能。

  1. SCP可以包含明确的拒绝规则,例如,拒绝创建任何与EC2相关的实例和资源:

        "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "Statement1",
            "Effect": "Deny",
            "Action": [
                "ec2:Create*"
            ],
            "Resource": "*"
        }
    ]
}

  2. 任何SCP都可以attached to

    • 帐户
    • 组织单位
    • 根帐户
相关问题
最新问题