iam:阻止根用户的访问

成员账户中也存在根用户,SCP可以限制成员账号中根用户的使用。最佳安全实践建议不要使用根用户,特权管理员拆分权限后使用。因此可以通过SCP 阻止您的账户使用根用户,除了特定条件下才可以。

"Sid": "DenyAllForRootIfNoMFA",是使用MFA登录的root可以执行任意操作。否则不允许根用户执行任何操作。

可以根据需要选择某一个或者多个sid使用。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "DenyAllForRootIfNoMFA",
            "Effect": "Deny",
            "Action": "*",
            "Resource": "*",
            "Condition": {
                "BoolIfExists": {
                    "aws:MultiFactorAuthPresent": "false"
                },
                "StringLike": {
                    "aws:PrincipalArn": [
                        "arn:aws:iam::*:root"
                    ]
                }
            }
        }
    ]
}
上一页tagging:要求创建/运行某类资源时必须打了标签下一页iam: 阻止创建根用户的AKSK

最后更新于