如何检测违反/与AWS策略冲突的AWS资源?
如何检测违反/与AWS策略冲突的AWS资源?
提问于 2022-01-13 07:20:57
AWS组织是一种帐户管理服务,使您能够将多个AWS帐户合并到您创建和集中管理的组织中。AWS组织包括帐户管理和统一记帐功能,使您能够更好地满足业务的预算、安全性和遵从性需求。
服务控制策略( SCP )指定用户和角色可以在SCP影响的帐户中使用的服务和操作的策略。SCPs与IAM权限策略类似,只是它们不授予任何权限。相反,SCP指定组织、组织单位(OU)或帐户的最大权限。当将SCP附加到组织根或OU时,SCP限制成员帐户中实体的权限。
问题是,“是否有任何机制,我们可以找到所有的资源( IAM政策)与SCP的执行冲突?”
回答 1
Stack Overflow用户
回答已采纳
发布于 2022-01-14 03:09:42
我没找到办法去发现这些资源。
但无论如何,如果帐户用户或角色的权限超过SCP允许的权限,SCP策略将获得优先权,用户/角色将无法执行该操作(例如,具有管理员权限的用户和SCP块将无法管理该区域上的资源,尽管他拥有管理员访问权限)。
来自文档
SCP限制IAM用户的权限和成员帐户中的角色,包括成员帐户的根用户。任何帐户都只有上面每个父级所允许的权限。如果权限在帐户之上的任何级别被阻塞,则隐式地(通过不包括在允许策略语句中)或显式(通过包含在拒绝策略语句中),受影响帐户中的用户或角色不能使用该权限,即使帐户管理员将AdministratorAccess IAM策略附加到用户。
页面原文内容由Stack Overflow提供。腾讯云小微IT领域专用引擎提供翻译支持
原文链接:
https://stackoverflow.com/questions/70692754
复制相关文章
相似问题
腾讯云开发者
