資源控制政策範例 - AWS Organizations
一般範例

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

資源控制政策範例

本主題中顯示的範例資源控制政策 (RCPs) 僅供參考。如需資料周邊範例,請參閱 GitHub 中的資料周邊政策範例

使用這些範例之前

在組織中使用這些範例 RCPs之前,請執行下列動作:

  • 仔細檢閱和自訂 RCPs以滿足您的唯一需求。

  • 使用您使用 AWS 的服務,徹底測試您環境中的 RCPs。

本節中的範例政策示範 RCPs的實作和使用。他們並非闡述為完全如圖所示實作的官方 AWS 建議或最佳實務。您有責任仔細測試任何政策是否適合解決您環境的業務需求。拒絕型資源控制政策可能會意外限制或封鎖您使用 AWS 服務,除非您將必要的例外狀況新增至政策。

一般範例

RCPFullAWSAccess

下列政策是 AWS 受管政策,當您啟用資源控制政策 (RCPs) 時,會自動連接到組織根目錄、每個 OU 和組織中的每個帳戶。您無法分離此政策。此預設 RCP 允許所有委託人和動作存取您的資源,這表示在您開始建立和連接 RCPs 之前,您所有現有的 IAM 許可都會繼續照常運作。您不需要測試此政策的效果,因為它將允許現有授權行為繼續您的資源。

JSON
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": "*",
            "Action": "*",
            "Resource": "*"
        }
    ]
}

跨服務混淆代理人保護

有些 AWS 服務 (呼叫服務) 會使用其 AWS 服務 委託人從其他 AWS 服務 (稱為 服務) 存取 AWS 資源。當無意存取 AWS 資源的演員嘗試使用 AWS 服務 委託人信任與其無意存取的資源互動時,稱為跨服務混淆代理人問題。如需詳細資訊,請參閱《IAM 使用者指南》中的混淆代理人問題

下列政策要求存取 資源的 AWS 服務 委託人僅代表您組織的請求執行此操作。此政策只會對aws:SourceAccount已存在的請求套用控制項,因此不需要使用 的服務整合aws:SourceAccount不會受到影響。如果請求內容中存在 aws:SourceAccount ,則 Null條件將評估為 true,導致強制執行aws:SourceOrgID金鑰。

JSON
{
    "Version": "2012-10-17",
    "Statement": [
        {            
            "Sid": "EnforceConfusedDeputyProtection",
            "Effect": "Deny",
            "Principal": "*",
            "Action": [
                "s3:*",
                "sqs:*",
                "kms:*",
                "secretsmanager:*",
                "sts:*"
            ],
            "Resource": "*",
            "Condition": {
                "StringNotEqualsIfExists": {
                    "aws:SourceOrgID": "my-org-id",
                    "aws:SourceAccount": [
                        "third-party-account-a",
                        "third-party-account-b"
                    ]
                },  
                "Bool": {
                    "aws:PrincipalIsAWSService": "true"
                },
                 "Null": {
                    "aws:SourceArn": "false"
                }
            }
        }
    ]
}

限制只能存取資源的 HTTPS 連線

下列政策要求只有透過 HTTPS (TLS) 的加密連線才能存取您的 資源。這可協助您防止潛在攻擊者操控網路流量。

JSON
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "EnforceSecureTransport",
            "Effect": "Deny",
            "Principal": "*",
            "Action": [
                "sts:*",
                "s3:*",
                "sqs:*",
                "secretsmanager:*",
                "kms:*"
            ],
            "Resource": "*",
            "Condition": {
                "BoolIfExists": {
                    "aws:SecureTransport": "false"
                }
            }
        }
    ]
}

一致的 Amazon S3 儲存貯體政策控制

下列 RCP 包含多個陳述式,可對組織中的 Amazon S3 儲存貯體強制執行一致的存取控制。

JSON
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "EnforceS3TlsVersion",
            "Effect": "Deny",
            "Principal": "*",
            "Action": "s3:*",
            "Resource": "*",
            "Condition": {                
                "NumericLessThan": {
                    "s3:TlsVersion": [
                        "1.2"
                    ]
                }
            }
        },
        {
            "Sid": "EnforceKMSEncryption",
            "Effect": "Deny",
            "Principal": "*",
            "Action": "s3:PutObject",
            "Resource": "*",
            "Condition": {
                "Null": {
                    "s3:x-amz-server-side-encryption-aws-kms-key-id": "true"
                }
            }
        }
    ]
}

  • 陳述式 ID EnforceS3TlsVersion – 存取 S3 儲存貯體需要 1.2 的最低 TLS 版本。

  • 陳述式 ID EnforceKMSEncryption – 要求使用 KMS 金鑰對物件進行伺服器端加密。