Mencegah akses internet di tingkat akun dengan menggunakan kebijakan kontrol layanan - AWS Prescriptive Guidance
RingkasanPrasyarat dan batasanAlatPraktik terbaikEpikSumber daya terkait

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Mencegah akses internet di tingkat akun dengan menggunakan kebijakan kontrol layanan

Sergiy Shevchenko, Sean O'Sullivan, dan Victor Mazeo Whitaker, Amazon Web Services

Ringkasan

Organizations sering ingin membatasi akses internet untuk sumber daya akun yang harus tetap pribadi. Dalam akun ini, sumber daya di awan pribadi virtual (VPCs) tidak boleh mengakses internet dengan cara apa pun. Banyak organisasi memilih arsitektur inspeksi terpusat. Untuk lalu lintas timur-barat (VPC-to-VPC) dalam arsitektur inspeksi terpusat, Anda perlu memastikan bahwa akun spoke dan sumber dayanya tidak memiliki akses ke internet. Untuk lalu lintas utara-selatan (jalan keluar internet dan lokal), Anda ingin mengizinkan akses internet hanya melalui VPC inspeksi.

Pola ini menggunakan kebijakan kontrol layanan (SCP) untuk membantu mencegah akses internet. Anda dapat menerapkan SCP ini di tingkat akun atau unit organisasi (OU). SCP membatasi konektivitas internet dengan mencegah hal-hal berikut:

  • Membuat atau melampirkan gateway IPv4 atau IPv6 internet yang memungkinkan akses internet langsung ke VPC

  • Membuat atau menerima koneksi peering VPC yang memungkinkan akses internet tidak langsung melalui VPC lain

  • Membuat atau memperbarui AWS Global Acceleratorkonfigurasi yang memungkinkan akses internet langsung ke sumber daya VPC

Prasyarat dan batasan

Prasyarat

Batasan

  • SCPs tidak memengaruhi pengguna atau peran di akun manajemen. SCP tersebut hanya mempengaruhi akun anggota di organisasi Anda.

  • SCPs hanya mempengaruhi AWS Identity and Access Management (IAM) pengguna dan peran yang dikelola oleh akun yang merupakan bagian dari organisasi. Untuk informasi selengkapnya, lihat efek SCP pada izin.

Alat

Layanan AWS

  • AWS Organizationsadalah layanan manajemen akun yang membantu Anda mengkonsolidasikan beberapa Akun AWS ke dalam organisasi yang Anda buat dan kelola secara terpusat. Dalam pola ini, Anda menggunakan kebijakan kontrol layanan (SCPs) di AWS Organizations.

  • Amazon Virtual Private Cloud (Amazon VPC) membantu Anda meluncurkan AWS sumber daya ke jaringan virtual yang telah Anda tentukan. Jaringan virtual ini menyerupai jaringan tradisional yang akan Anda operasikan di pusat data Anda sendiri, dengan manfaat menggunakan infrastruktur yang dapat diskalakan. AWS

Praktik terbaik

Setelah membuat SCP ini di organisasi Anda, pastikan untuk sering memperbaruinya untuk mengatasi fitur baru Layanan AWS atau yang mungkin memengaruhi akses internet.

Epik

TugasDeskripsiKeterampilan yang dibutuhkan

Buat SCP.

  1. Masuk ke konsol AWS Organizations tersebut. Anda harus masuk ke akun manajemen organisasi.

  2. Di panel kiri, pilih Kebijakan.

  3. Pada halaman kebijakan, pilih Kebijakan kontrol layanan.

  4. Pada halaman Kebijakan kontrol layanan, pilih Buat kebijakan.

  5. Pada halaman Buat kebijakan kontrol layanan baru, masukkan nama Kebijakan dan deskripsi Kebijakan opsional.

  6. (Opsional) Tambahkan AWS tag ke kebijakan Anda.

  7. Di editor JSON, hapus kebijakan placeholder.

  8. Tempelkan kebijakan berikut ke editor JSON.

    {
  "Version": "2012-10-17",		 	 	 
  "Statement": [
    {
      "Action": [
        "ec2:AttachInternetGateway",
        "ec2:CreateInternetGateway",        
        "ec2:CreateVpcPeeringConnection",
        "ec2:AcceptVpcPeeringConnection",
        "ec2:CreateEgressOnlyInternetGateway"
      ],
      "Resource": "*",
      "Effect": "Deny"
    },
    {
      "Action": [
        "globalaccelerator:Create*",
        "globalaccelerator:Update*"
      ],
      "Resource": "*",
      "Effect": "Deny"
    }
  ]
}

  9. Pilih Buat kebijakan.

Administrator AWS

Lampirkan SCP.

  1. Pada halaman Kebijakan kontrol layanan, pilih kebijakan yang Anda buat.

  2. Di tab Target, pilih Lampirkan.

  3. Pilih OU atau akun yang ingin Anda lampirkan kebijakan. Anda mungkin harus memperluas OUs untuk menemukan OU atau akun yang Anda inginkan.

  4. Pilih Lampirkan kebijakan.

Administrator AWS

Sumber daya terkait