Чтобы ограничить доступ на отдельный #Region, то в #IAM с середины 2018-го года имеется специальный #condition
aws:RequestedRegion:{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "DenyAllRegionsExceptFrankfurt",
"Effect": "Deny",
"NotAction": [
"iam:*",
"organizations:*",
"support:*",
"aws-portal:*",
"route53:*"
],
"Resource": "*",
"Condition": {
"StringNotEquals": {
"aws:RequestedRegion": [
"eu-central-1"
]
}
}
}
]
}
Блок "NotAction" добавлен для регионов, которые глобальные (чтобы к ним не применялось это правило).Amazon
Easier way to control access to AWS regions using IAM policies | Amazon Web Services
Update on February 20, 2019: We updated the policy example to remove the “iam:AttachRolePolicy” permission. We also added a reference to the permissions boundaries security blog post to show how to grant developers the permissions to create roles they can…
IAM + OU Condition
IAM в рамках #multi_account_strategy тренда продолжает обрастать функционалом для #Organizations и теперь позволяет управлять доступом для OU (Organization Unit):
https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-principalorgpaths
Например, для мультиаккаунтной схемы типа этой, можно сделать общий бакет для проекта Project1 и в него будут иметь доступ все
IAM в рамках #multi_account_strategy тренда продолжает обрастать функционалом для #Organizations и теперь позволяет управлять доступом для OU (Organization Unit):
https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-principalorgpaths
Например, для мультиаккаунтной схемы типа этой, можно сделать общий бакет для проекта Project1 и в него будут иметь доступ все
dev-test-stg-prd аккаунты OU Project1:{
"Sid": "Full access for Project1 OU",
"Effect": "Allow",
"Principal": {
"AWS": "*"
},
"Action": "s3:*",
"Resource": [
"arn:aws:s3:::project1-bucket",
"arn:aws:s3:::project1-bucket/*"
],
"Condition": {
"ForAnyValue:StringLike": {
"aws:PrincipalOrgPaths":["o-dtj1bor777/ou-d1n7-h8xzxidp*"]
}
}
}
#IAM #S3 #OrganizationsAmazon
AWS global condition context keys - AWS Identity and Access Management
Describes each of the AWS global condition keys available to use in IAM policies.
Форсирование создания ресурсов только через CloudFormation
Если раньше создание ресурсов через CloudFormation было лишь рекомендацией и #best_practices, то теперь с помощью нового
https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-calledviafirst
Также, в продолжение предыдущего поста - можно защитить окружение от создания Терраформом. Не знаю зачем, но можно. :)
#IAM #SCP #Condition #CloudFormation
Если раньше создание ресурсов через CloudFormation было лишь рекомендацией и #best_practices, то теперь с помощью нового
Condition параметра aws:CalledViaFirst это можно сделать требованием:https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-calledviafirst
Также, в продолжение предыдущего поста - можно защитить окружение от создания Терраформом. Не знаю зачем, но можно. :)
#IAM #SCP #Condition #CloudFormation
Weekly Summary on AWS (
🔸 Audit Manager + AWS Config custom rules
🔸 CloudFormation + AWS::EC2::KeyPair 👍
🔸 Connect
➖ API to search by name, agent hierarchies, and tags
➖ PutUserStatus
➖ Search and review Voice ID results
🔸 EC2
🔸 EC2 key pairs
➖ Retrieve public key and creation date
➖ PPK for ED25519
🔸 IAM + aws:ResourceAccount, aws:ResourceOrgPaths, and aws:ResourceOrgID 👀
🔸 Interactive Video Service + stream chat
🔸 Lambda + Insights via Application Insights
🔸 Lightsail
➖ HTTPS redirects
➖ TLS policy
🔸 MSK Serverless + GA 🎉
🔸 Network Firewall + AWS Managed Threat Signatures
🔸 Rekognition Streaming Video Events + GA 🎉
🔸 RDS
➖ IPv6 👍
➖ Query results in JSON
➖ Usage metrics against AWS service limits
🔸 SageMaker Data Wrangler
➖ Data Quality and Insights Report
➖ Random and stratified samples
🔸 SES v2 + 40MB message size
🔸 Service Catalog CDK constructs ⚠️
🔸 Snow
➖ Large Data Migration Manager
➖ Managing devices remotely
➖ Update of device certificates
🔹 Control Tower landing zone v.2.9
🔹 EKS + Karpenter v0.9.0 with Pod Affinity 👈
🔹 Launch Wizard + clone inputs for SAP
🔹 Polly + Neural TTS voice in Brazilian Portuguese
🔹 RDS for MariaDB +
🔹 RDS for MySQL +
🔹 RDS for PostgreSQL +
🔹 Wavelength Zone + Toronto
#AWS_week
April 24-30)🔸 Audit Manager + AWS Config custom rules
🔸 CloudFormation + AWS::EC2::KeyPair 👍
🔸 Connect
➖ API to search by name, agent hierarchies, and tags
➖ PutUserStatus
➖ Search and review Voice ID results
🔸 EC2
i4i instances 💥🔸 EC2 key pairs
➖ Retrieve public key and creation date
➖ PPK for ED25519
🔸 IAM + aws:ResourceAccount, aws:ResourceOrgPaths, and aws:ResourceOrgID 👀
🔸 Interactive Video Service + stream chat
🔸 Lambda + Insights via Application Insights
🔸 Lightsail
➖ HTTPS redirects
➖ TLS policy
🔸 MSK Serverless + GA 🎉
🔸 Network Firewall + AWS Managed Threat Signatures
🔸 Rekognition Streaming Video Events + GA 🎉
🔸 RDS
➖ IPv6 👍
➖ Query results in JSON
➖ Usage metrics against AWS service limits
🔸 SageMaker Data Wrangler
➖ Data Quality and Insights Report
➖ Random and stratified samples
🔸 SES v2 + 40MB message size
🔸 Service Catalog CDK constructs ⚠️
🔸 Snow
➖ Large Data Migration Manager
➖ Managing devices remotely
➖ Update of device certificates
🔹 Control Tower landing zone v.2.9
🔹 EKS + Karpenter v0.9.0 with Pod Affinity 👈
🔹 Launch Wizard + clone inputs for SAP
🔹 Polly + Neural TTS voice in Brazilian Portuguese
🔹 RDS for MariaDB +
m6i/r6i instances🔹 RDS for MySQL +
m6i/r6i instances🔹 RDS for PostgreSQL +
m6i/r6i instances🔹 Wavelength Zone + Toronto
#AWS_week
👍6❤1