นโยบายการควบคุมบริการ - ป้องกันการรูท

ServerMonkey

17/9/23 04:30

ฉันต้องการป้องกันไม่ให้บัญชีรูทในองค์กร AWS ของฉันดำเนินการกับบัญชีอื่นๆ ทั้งหมดในองค์กร ดังนั้นฉันจึงวางแผนที่จะตั้งค่านโยบายการควบคุมบริการเพื่อบล็อกบัญชีรูทซึ่งเป็นคำแนะนำที่แนะนำจาก AWS

ฟังดูดีในทางทฤษฎี แต่บัญชีรูทไม่สามารถลบนโยบายการควบคุมบริการได้หรือไม่

0 + 0

อเมซอนเว็บบริการ

Score:0

Server

Tim

17/9/23 18:39

ใช่ รูทสามารถลบ SCP ได้ แต่ก็ยังเป็นแนวปฏิบัติที่ดีที่จะบล็อกรูทไม่ให้ดำเนินการกับทรัพยากร นี่คือรางป้องกันแบบอ่อนเพื่อเตือนผู้คนว่าอย่าใช้รูทสำหรับสิ่งนี้

AWS มีตัวอย่าง SCP ที่นี่.

{
  "เวอร์ชัน": "2012-10-17",
  "คำแถลง": [
    {
      "ซิด": "จำกัด EC2ForRoot",
      "ผล": "ปฏิเสธ",
      "หนังบู๊": [
        "ec2:*"
      ]
      "ทรัพยากร": [
        "*"
      ]
      "เงื่อนไข": {
        "StringLike": {
          "aws:PrincipalArn": [
            "arn:aws:iam::*:root"
          ]
        }
      }
    }
  ]
}

0 + 0

Kulap

คำถามนี้เป็นภาษาอื่นๆ:

EN: Service Control Policy - Prevent Root

TH: นโยบายการควบคุมบริการ - ป้องกันการรูท

RO: Politica de control al serviciului - Preveniți root

RU: Политика управления службами — запретить рут

VI: Chính sách kiểm soát dịch vụ - Ngăn chặn root

โพสต์คำตอบ

คนส่วนใหญ่ไม่เข้าใจว่าการถามคำถามมากมายจะปลดล็อกการเรียนรู้และปรับปรุงความสัมพันธ์ระหว่างบุคคล ตัวอย่างเช่น ในการศึกษาของ Alison แม้ว่าผู้คนจะจำได้อย่างแม่นยำว่ามีคำถามกี่ข้อที่ถูกถามในการสนทนา แต่พวกเขาไม่เข้าใจความเชื่อมโยงระหว่างคำถามและความชอบ จากการศึกษาทั้ง 4 เรื่องที่ผู้เข้าร่วมมีส่วนร่วมในการสนทนาด้วยตนเองหรืออ่านบันทึกการสนทนาของผู้อื่น ผู้คนมักไม่ตระหนักว่าการถามคำถามจะมีอิทธิพลหรือมีอิทธิพลต่อระดับมิตรภาพระหว่างผู้สนทนา