Score:0

นโยบายการควบคุมบริการ - ป้องกันการรูท

ธง ng

ฉันต้องการป้องกันไม่ให้บัญชีรูทในองค์กร AWS ของฉันดำเนินการกับบัญชีอื่นๆ ทั้งหมดในองค์กร ดังนั้นฉันจึงวางแผนที่จะตั้งค่านโยบายการควบคุมบริการเพื่อบล็อกบัญชีรูทซึ่งเป็นคำแนะนำที่แนะนำจาก AWS

ฟังดูดีในทางทฤษฎี แต่บัญชีรูทไม่สามารถลบนโยบายการควบคุมบริการได้หรือไม่

Score:0
ธง gp
Tim

ใช่ รูทสามารถลบ SCP ได้ แต่ก็ยังเป็นแนวปฏิบัติที่ดีที่จะบล็อกรูทไม่ให้ดำเนินการกับทรัพยากร นี่คือรางป้องกันแบบอ่อนเพื่อเตือนผู้คนว่าอย่าใช้รูทสำหรับสิ่งนี้

AWS มีตัวอย่าง SCP ที่นี่.

{
  "เวอร์ชัน": "2012-10-17",
  "คำแถลง": [
    {
      "ซิด": "จำกัด EC2ForRoot",
      "ผล": "ปฏิเสธ",
      "หนังบู๊": [
        "ec2:*"
      ]
      "ทรัพยากร": [
        "*"
      ]
      "เงื่อนไข": {
        "StringLike": {
          "aws:PrincipalArn": [
            "arn:aws:iam::*:root"
          ]
        }
      }
    }
  ]
}

โพสต์คำตอบ

คนส่วนใหญ่ไม่เข้าใจว่าการถามคำถามมากมายจะปลดล็อกการเรียนรู้และปรับปรุงความสัมพันธ์ระหว่างบุคคล ตัวอย่างเช่น ในการศึกษาของ Alison แม้ว่าผู้คนจะจำได้อย่างแม่นยำว่ามีคำถามกี่ข้อที่ถูกถามในการสนทนา แต่พวกเขาไม่เข้าใจความเชื่อมโยงระหว่างคำถามและความชอบ จากการศึกษาทั้ง 4 เรื่องที่ผู้เข้าร่วมมีส่วนร่วมในการสนทนาด้วยตนเองหรืออ่านบันทึกการสนทนาของผู้อื่น ผู้คนมักไม่ตระหนักว่าการถามคำถามจะมีอิทธิพลหรือมีอิทธิพลต่อระดับมิตรภาพระหว่างผู้สนทนา