2022年5月19日 星期四

[AWS] AWS Organizations 中 OU and SCP 權限配置邏輯

管理組織單位 (OU)可以使用組織單位 (OU) 將帳戶群組在一起,以單一單位的形式進行管理。這可大幅簡化帳戶的管理,可以將以政策為基礎的控制連接到 OU,而 OU 內的所有帳戶會自動繼承政策。您可以在單一組織內建立多個 OU,您也可以在其他 OU 內建立 OU。每個 OU 可以包含多個帳戶,而且您可以在 OU 之間移動帳戶。但是,OU 的名稱在父系 OU 或根中必須是唯一的。

服務控制政策 (SCP) : 服務控制政策 (SCP) 是一種組織政策類型,可用來管理組織中的許可。SCP 可集中控制組織中所有帳戶可用的許可上限。SCP 可協助您確保您的帳戶符合組織的存取控制指導方針。SCP 只有在啟用所有功能的組織中才能使用。

SCP 很重要的規則: 1. SCP 是定義權限的範圍並不是賦予權限 2. SCP 預設都是 Deny 的權限,除非明確 Allow 相關的權限 3. Deny 的權限高於 Allow 權限,並且 Deny 權限預設繼承到每一個 OU 和帳號上

Deny list strategy:
  1. SCP 預設都是 Deny 的權限,所以在完全沒有附加任何的 SCP 時,在 root 和 OU上所有的權限都是Deny。
  2. 當我們採取反向列表的方式來拒絕部分的權限時,預設都會在 root 和每一個 OU上都自動附加FullAWSAccess。
  3. 因為 Deny 的權限高於 Allow 權限並且 OU 也會預設繼承 Deny 的權限,所以該 OU 的範圍內將只剩下預設 Deny 的權限和 DisableOrg,雖然有繼承 FullAWSAccess,但因為 OU 上明確的 Deny 權限將完全取代繼承下來的 FullAWSAccess。
Allow list strategy: 1. SCP 預設都是 Deny 的權限,所以在完全沒有附加任何的 SCP 時,在 root 和 OU 上所有的權限都是Deny。 2. 我們只需要允許 EC2 的權限,所以在 root 附加 FullEC2Access,這時候因為 OU 內預設是 Deny 的權限,即使 FullEC2Access 有繼承下來,但因為 OU 本身的權限優先於繼承下來的權限,所以這時候 OU 內還是Deny的狀態。 3. 當我們在 OU 上附加 FullEC2Access 後,因為明確的賦予 EC2 的權限,所以 OU 底下的帳號將可以擁有 EC2 的權限。 所以在 root 和每一個 OU 上的權限必須是明確附加的 Allow 權限,一旦沒有明確的附加 Allow 權限將會被 Deny權限給取代,所以繼承的 Allow 權限將被 OU 內預設 Deny 的權限給取代,以下是繼承的規則: 1. SCP 內如果定義 Allow 權限將需要在每一個需要這個權限的地方都附加上去。 2. SCP 內如果定義 Deny 權限,將可以發揮繼承的效果,在 OU 或子 OU 上發揮作用。



沒有留言:

張貼留言