AWS:服务控制策略 (SCP) 不能影响服务相关角色
AWS: Service control policies (SCPs) can't affect service-linked roles
https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html
这个页面说了这些。这些到底是什么意思?这个限制有什么问题吗?
- SCP 不会影响任何服务相关角色。服务相关角色使其他 AWS 服务能够与 AWS Organizations 集成,并且不受 SCP 限制。
- 使用附加到服务相关角色的权限执行的任何操作(在“不受 SCP 限制的任务和实体”部分)。
想法
- 用户可以创建具有任何权限的新服务相关角色,而不管 SCP。因此,用户可以让EC2实例(例如)做用户不能直接做的事情。
- 用户可以使用 SCP 允许的权限创建新的服务相关角色。但是,服务相关角色可以由同一组织内的其他账户共享。因此,共享服务相关角色可能拥有 SCP 不允许的权限。
实例角色不是服务相关角色。 only service-linked roles for EC2 用于 Spot 实例请求和 Spot 队列请求。因此,您无法通过实例角色绕过 SCP。 ECS 和 Lambda 角色相同。
不确定我是否理解这个问题,但服务角色只能由 AWS 服务承担。它们不适用于 IAM 用户、组或 IAM 角色。
https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html
这个页面说了这些。这些到底是什么意思?这个限制有什么问题吗?
- SCP 不会影响任何服务相关角色。服务相关角色使其他 AWS 服务能够与 AWS Organizations 集成,并且不受 SCP 限制。
- 使用附加到服务相关角色的权限执行的任何操作(在“不受 SCP 限制的任务和实体”部分)。
想法
- 用户可以创建具有任何权限的新服务相关角色,而不管 SCP。因此,用户可以让EC2实例(例如)做用户不能直接做的事情。
- 用户可以使用 SCP 允许的权限创建新的服务相关角色。但是,服务相关角色可以由同一组织内的其他账户共享。因此,共享服务相关角色可能拥有 SCP 不允许的权限。
实例角色不是服务相关角色。 only service-linked roles for EC2 用于 Spot 实例请求和 Spot 队列请求。因此,您无法通过实例角色绕过 SCP。 ECS 和 Lambda 角色相同。
不确定我是否理解这个问题,但服务角色只能由 AWS 服务承担。它们不适用于 IAM 用户、组或 IAM 角色。