使用SCP限制根用户的行为

  1. 打开控制台的AWS Organizations。

  2. 打开菜单AWS accounts,打开Root也就是最顶端的组织;

  3. 在Policies页签下面,Service control policies,点击Attach;

  4. 创建一个新的策略:Deny-Root-Actions,内容填写

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "Deny-Root-Actions",
      "Effect": "Deny",
      "Action": [
        "*"
      ],
      "Resource": [
        "*"
      ],
      "Condition": {
        "ArnLike": {
          "aws:PrincipalArn": [
            "arn:aws:iam::*:root"
          ]
        }
      }
    }
  ]
}

也可以加上限制条件,比如有MFA的情况可以使用root,其他情况拒绝:

{
  "Version": "2012-10-17",
  "Statement": [
  {
    "Sid": "DenyAllForRootIfNoMFA",
    "Effect": "Deny",
    "Action": "*",
    "Resource": "*",
    "Condition": {
      "BoolIfExists": { "aws:MultiFactorAuthPresent": "false" },
      "StringLike": { "aws:PrincipalArn": ["arn:aws:iam::*:root"] }
    }
  }]
}

  1. 绑定这个新创建的策略到Root上则完成通过SCP限制根用户的行为。

上一页限制使用AdministratorAccess策略的用户或者角色下一页Centralize Root Access In AWS(AssumeRoot)

最后更新于