IAM SCP的应用场景

IAM service control policies(SCPs) 是JSON格式的策略，规定了一个组织organization或组织单位OU的最大权限。

• SCP优先于IAM Policy：即使一个principle被允许执行某个动作（通过IAM策略授予），如果附加的SCP对该动作拒绝Deny，它将覆盖允许的动作，SCP优先于IAM策略policy。

• 默认禁用：当您将SCP应用于一个OU或单个AWS帐户时，您可以选择启用（白名单），或禁用（黑名单）指定的AWS服务。SCP没有明确允许任何服务的访问，则所关联的账户没有任何访问权限。

• 父级账户限制权限，所有子账户也都无法访问：任何账户只有父级账户允许的权限，也就是父级账户添加了SCP限制权限，则所有子账户都无法使用这个权限。

数据访问边界

Data perimeters on AWS

数据访问边界用于帮助确保只有您的受信任身份才能从预期的网络访问受信任的资源。数据访问边界的目的是在众多的AWS账户和资源集合中作为永远在线的边界，以帮助保护您的数据。这些组织范围的护栏不会取代您现有的细粒度访问控制。相反，它们通过确保所有AWS身份和访问管理（IAM）用户、角色和资源遵守一套预定的安全标准，帮助改善您的安全策略。

[WhitePaper] Building a Data Perimeter on AWS

Many organizations want to implement perimeter controls to help protect against unintended access and configuration errors through always-on guardrails. This paper outlines the best practices and available services for creating a perimeter around your identities, resources, and networks in AWS.

访问权限边界

可以作为一个额外的权限层，防止任何IAM角色扩大其权限。

比如：

• 使用SCP限制根用户的行为

• 通过Service Control Policies(SCP)限制只能使用某个区域的AWS服务

通过ABAC保护公有子网

Help protect public subnets by using attribute-based access control (ABAC)

本模式描述了如何通过AWS组织中的服务控制策略（SCP）和AWS身份和访问管理（IAM）中的策略实现ABAC，从而帮助保护公共子网的安全。您将SCP应用于组织的成员帐户或组织单元（OU）。这些ABAC策略允许用户在目标子网中部署NAT网关，并阻止他们部署其他亚马逊弹性计算云（Amazon EC2）资源，如EC2实例和弹性网络接口（ENI）。