通过服务控制策略拒绝创建新资源
Deny creation of new resources via Service Control Policy
是否可以创建这样的 SCP(服务控制策略)并将其附加到拒绝在此帐户中启动任何新资源(基础架构)的帐户?假设该账户是 AWS Organizations 的一部分。
问题源于以下困惑:
- SCP 能否限制启动基础设施等特定行为?
- SCP 能否应用于帐户级别(而不是组织级别!)?
是的,可以做到。
SCP 可以包含明确的拒绝规则,例如拒绝创建任何与 EC2 相关的实例和资源:
"Version": "2012-10-17",
"Statement": [
{
"Sid": "Statement1",
"Effect": "Deny",
"Action": [
"ec2:Create*"
],
"Resource": "*"
}
]
}
任何SCP都可以是attached to:
- 帐户
- 组织单位
- 根帐户
是否可以创建这样的 SCP(服务控制策略)并将其附加到拒绝在此帐户中启动任何新资源(基础架构)的帐户?假设该账户是 AWS Organizations 的一部分。
问题源于以下困惑:
- SCP 能否限制启动基础设施等特定行为?
- SCP 能否应用于帐户级别(而不是组织级别!)?
是的,可以做到。
SCP 可以包含明确的拒绝规则,例如拒绝创建任何与 EC2 相关的实例和资源:
"Version": "2012-10-17", "Statement": [ { "Sid": "Statement1", "Effect": "Deny", "Action": [ "ec2:Create*" ], "Resource": "*" } ] }任何SCP都可以是attached to:
- 帐户
- 组织单位
- 根帐户