View a markdown version of this page

使用服务控制策略在账户级别阻止访问互联网 - AWS 规范指引
Summary先决条件和限制工具最佳实践操作说明相关资源

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

使用服务控制策略在账户级别阻止访问互联网

Sergiy Shevchenko、Sean O'Sullivan 和 Victor Mazeo Whitaker,Amazon Web Services

Summary

一般而言,组织都会希望限制本应保持私密的账户资源访问互联网。在这些账户中,虚拟私有云 (VPCs) 中的资源不应以任何方式访问互联网。许多组织选择采用集中式检查架构。对于集中式检查架构中的东西向(VPC 到 VPC)流量,必须确保分支账户及其资源无法访问互联网。对于南北向(互联网出口与本地网络)流量,仅允许通过检查 VPC 访问互联网。

此模式使用服务控制策略(SCP)来协助阻止访问互联网。可以在账户或组织单元(OU)级别应用此 SCP。SCP 通过阻止以下情况来限制互联网连接:

先决条件和限制

先决条件

限制

  • SCPs 不要影响管理账户中的用户或角色。它们仅影响组织中的成员账户。

  • SCPs 仅影响由属于组织的账户管理的 AWS Identity and Access Management (IAM) 用户和角色。有关更多信息,请参阅 SCP 对权限的影响

工具

AWS 服务

  • AWS Organizations是一项账户管理服务,可帮助您将多个账户整合 AWS 账户 到一个由您创建和集中管理的组织中。在此模式中,您可以在中使用服务控制策略 (SCPs) AWS Organizations。

  • Amazon Virtual Private Cloud(亚马逊 VPC)可帮助您将 AWS 资源启动到您定义的虚拟网络中。该虚拟网络类似于您在数据中心中运行的传统网络,并具有使用 AWS的可扩展基础设施的优势。

最佳实践

在您的组织中建立此 SCP 后,请务必经常对其进行更新,以解决可能影响互联网访问的任何新功能 AWS 服务 或新功能。

操作说明

Task说明所需技能

创建 SCP。

  1. 登录 AWS Organizations 控制台。必须登录组织的管理账户。

  2. 在左侧窗格中,选择策略

  3. 在策略选项卡上,选择服务控制策略

  4. Service control policies (服务控制策略) 页面上,选择 Create policy (创建策略)

  5. 创建新的服务控制策略页面上,输入策略名称,可选择输入策略说明

  6. (可选)为策略添加 AWS 标签

  7. 在 JSON 编辑器中,删除占位符策略。

  8. 将如下策略粘贴到 JSON 编辑器中。

    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Action": [
        "ec2:AttachInternetGateway",
        "ec2:CreateInternetGateway",        
        "ec2:CreateVpcPeeringConnection",
        "ec2:AcceptVpcPeeringConnection",
        "ec2:CreateEgressOnlyInternetGateway"
      ],
      "Resource": "*",
      "Effect": "Deny"
    },
    {
      "Action": [
        "globalaccelerator:Create*",
        "globalaccelerator:Update*"
      ],
      "Resource": "*",
      "Effect": "Deny"
    }
  ]
}

  9. 选择创建策略

AWS 管理员

附加 SCP。

  1. 服务控制策略页面上,选择您创建的策略。

  2. Targets (目标) 选项卡上,选择 Attach (附加)

  3. 选择要将策略附加至的 OU 或账户。您可能需要展开 OUs 才能找到所需的 OU 或帐户。

  4. 选择附加策略

AWS 管理员

相关资源