Resumen Requisitos previos y limitaciones Tools (Herramientas)Prácticas recomendadas Epics Recursos relacionados

Impedir el acceso a Internet de las cuentas mediante una política de control de servicios

Sergiy Shevchenko, Sean O'Sullivan y Victor Mazeo Whitaker, Amazon Web Services

Resumen

Con frecuencia, las organizaciones quieren limitar el acceso a Internet para los recursos de las cuentas que deben permanecer privados. En estas cuentas, los recursos de las nubes privadas virtuales (VPCs) no deberían acceder a Internet de ninguna manera. Muchas organizaciones eligen una arquitectura de inspección centralizada. En el caso del tráfico este-oeste (de VPC a VPC) en una arquitectura de inspección centralizada, debe asegurarse de que las cuentas radiales y sus recursos no tengan acceso a Internet. En el caso del tráfico norte-sur (salida a Internet y entornos en las instalaciones), se recomienda permitir el acceso a Internet únicamente a través de la VPC de inspección.

Este patrón utiliza una política de control de servicios (SCP) para evitar el acceso a Internet. Puede aplicar esta SCP a las cuentas o a las unidades organizativas (UO). La SCP limita la conectividad a Internet al impedir lo siguiente:

Crear o adjuntar una puerta de enlace IPv6 a Internet IPv4 o una puerta de enlace que permita el acceso directo a Internet a la VPC
Crear o aceptar una conexión de emparejamiento de VPC que pueda permitir el acceso indirecto a Internet a través de otra VPC
Crear o actualizar una configuración de AWS Global Accelerator que pueda permitir que los recursos de la VPC tengan acceso directo a Internet.

Requisitos previos y limitaciones

Requisitos previos

Una o varias Cuentas de AWS administradas como una organización en. AWS Organizations
Todas las funciones están habilitadas en AWS Organizations.
SCPs están habilitadas en la organización.
Permisos para:
- Acceda a la cuenta de administración de su organization.
- Crear SCPs. Para obtener más información sobre los permisos mínimos, consulte Creating an SCP.
- Adjunta el SCP a las cuentas o unidades organizativas de destino (OUs). Para obtener más información sobre los permisos mínimos, consulte Attaching and detaching service control policies.

Limitaciones

SCPs no afectan a los usuarios ni a las funciones de la cuenta de administración. Afectan solo a las cuentas de miembro de su organización.
SCPs afectan únicamente a los usuarios y roles AWS Identity and Access Management (de IAM) gestionados por las cuentas que forman parte de la organización. Para más información, consulte Efectos de las SCP en los permisos.

Tools (Herramientas)

Servicios de AWS

AWS Organizationses un servicio de administración de cuentas que le ayuda a consolidar múltiples cuentas Cuentas de AWS en una organización que puede crear y administrar de forma centralizada. En este patrón, se utilizan las políticas de control de servicios (SCPs) en AWS Organizations.
Amazon Virtual Private Cloud (Amazon VPC) le ayuda a lanzar AWS recursos en una red virtual que haya definido. Esa red virtual es similar a la red tradicional que utiliza en su propio centro de datos, con los beneficios de usar la infraestructura escalable de AWS.

Prácticas recomendadas

Tras establecer este SCP en su organización, asegúrese de actualizarlo con frecuencia para abordar cualquier novedad Servicios de AWS o función que pueda afectar al acceso a Internet.

Epics

Tarea	Descripción	Habilidades requeridas
Cree la SCP.	Inicie sesión en la consola de AWS Organizations. Debe iniciar sesión en la cuenta de administración de la organización. En el panel izquierdo, elija Políticas. En la pestaña de políticas, seleccione Políticas de control de servicios. En la página Políticas de control de servicios, seleccione Crear política. En la página Crear nueva política de control de servicios, ingrese un Nombre de la política y una Descripción de la política (opcional). (Opcional) Agregue etiquetas de AWS a la política. En el editor JSON, elimine la política de marcadores de posición. Pegue la siguiente política de en el editor JSON. `{ "Version": "2012-10-17", "Statement": [ { "Action": [ "ec2:AttachInternetGateway", "ec2:CreateInternetGateway", "ec2:CreateVpcPeeringConnection", "ec2:AcceptVpcPeeringConnection", "ec2:CreateEgressOnlyInternetGateway" ], "Resource": "", "Effect": "Deny" }, { "Action": [ "globalaccelerator:Create", "globalaccelerator:Update" ], "Resource": "", "Effect": "Deny" } ] }` Elija Crear política.	Administrador de AWS
Adjunte la SCP.	En la página Políticas de control de servicios, elija la política que creó. En la pestaña Objetivos, seleccione Adjuntar. Seleccione la cuenta o UO a la que desea adjuntar la política. Puede que tenga que ampliarlo OUs para encontrar la unidad organizativa o la cuenta que desee. Elija Asociar política.	Administrador de AWS

Recursos relacionados

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Notificar cuando se cree un usuario de IAM

Informe de las identidades de IAM Identity Center y sus asignaciones