Resource control policies — RCPs
https://aws.amazon.com/blogs/aws/introducing-resource-control-policies-rcps-a-new-authorization-policy/
Как SCP, но для ресурсов.
https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_rcps.html
Действует на уровне AWS Organizations. Перекрывает IAM права, как и SCP. В результате с помощью RCP можно просто запретить доступ к S3 бакетам извне организации.
RCP vs SCP — SCP для ролей, RCP для ресурсов, в чём-то перекрывают друг друга, RCP важное дополнение SCP.
На текущий момент поддерживает лишь следующие ресурсы:
• S3
• STS
• KMS
• SQS
• Secrets Manager
⚠️ Как и SCP, RCP не применяется к Management (главному, root) аккаунту.
#RCP #Organizations
https://aws.amazon.com/blogs/aws/introducing-resource-control-policies-rcps-a-new-authorization-policy/
Как SCP, но для ресурсов.
https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_rcps.html
Действует на уровне AWS Organizations. Перекрывает IAM права, как и SCP. В результате с помощью RCP можно просто запретить доступ к S3 бакетам извне организации.
RCP vs SCP — SCP для ролей, RCP для ресурсов, в чём-то перекрывают друг друга, RCP важное дополнение SCP.
На текущий момент поддерживает лишь следующие ресурсы:
• S3
• STS
• KMS
• SQS
• Secrets Manager
⚠️ Как и SCP, RCP не применяется к Management (главному, root) аккаунту.
#RCP #Organizations
Amazon
Introducing resource control policies (RCPs), a new type of authorization policy in AWS Organizations | Amazon Web Services
New Resource Control Policies let you centrally restrict AWS service access across accounts, bolstering security with preventative controls that supersede permissive policies - even for external users. See how these powerful governance tools complement Service…
🔥14✍3👍2❤1
AWS Notes
Resource control policies — RCPs https://aws.amazon.com/blogs/aws/introducing-resource-control-policies-rcps-a-new-authorization-policy/ Как SCP, но для ресурсов. https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_rcps.html…
Диаграмма работы IAM в AWS с учётом RCP
RCP политики "самые главные" — проверяются раньше SCP. Их цель такая же, как у SCP, то есть что-то запретить.
Чтобы разрешить доступ, потребуется иметь разрешение на следующих IAM уровнях.
#RCP #IAM
RCP политики "самые главные" — проверяются раньше SCP. Их цель такая же, как у SCP, то есть что-то запретить.
Чтобы разрешить доступ, потребуется иметь разрешение на следующих IAM уровнях.
#RCP #IAM
👍7
RCP policy для защиты от переключения извне в любую IAM Role любого вашего AWS аккаунта вашей AWS Organization:
Данная RCP жёстко убивает любые попытки взломать любой ваш аккаунт на уровне IAM. В том числе возможности оставить себе "дырочку" ходить в свой аккаунт для уволившихся сотрудников через шаринг переключения в IAM Role из какого-то AWS аккаунта.
#RCP #IAM #security
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Deny",
"Principal": "*",
"Action": "sts:AssumeRole",
"Resource": "*",
"Condition": {
"StringNotEqualsIfExists": {
"aws:PrincipalOrgID": "o-012345aabb"
},
"BoolIfExists": {
"aws:PrincipalIsAWSService": "false"
}
}
}
]
}Данная RCP жёстко убивает любые попытки взломать любой ваш аккаунт на уровне IAM. В том числе возможности оставить себе "дырочку" ходить в свой аккаунт для уволившихся сотрудников через шаринг переключения в IAM Role из какого-то AWS аккаунта.
#RCP #IAM #security
👍23🔥11
RCP (Resource control policies) examples:
https://github.com/aws-samples/data-perimeter-policy-examples/tree/main/resource_control_policies
◽ identity_perimeter_rcp – Enforces identity perimeter controls on resources within your Organizations organization.
◽ network_perimeter_rcp – Enforces network perimeter controls on resources within your Organizations organization.
◽ data_perimeter_governance_rcp – Includes controls for protecting data perimeter controls’ dependencies, such as session tags used to control their scope.
Note that the RCP policy do not grant any permissions; they only restrict access by explicitly denying specific data access patterns. You still have to grant appropriate permissions with explicit
#RCP #security
https://github.com/aws-samples/data-perimeter-policy-examples/tree/main/resource_control_policies
◽ identity_perimeter_rcp – Enforces identity perimeter controls on resources within your Organizations organization.
◽ network_perimeter_rcp – Enforces network perimeter controls on resources within your Organizations organization.
◽ data_perimeter_governance_rcp – Includes controls for protecting data perimeter controls’ dependencies, such as session tags used to control their scope.
Note that the RCP policy do not grant any permissions; they only restrict access by explicitly denying specific data access patterns. You still have to grant appropriate permissions with explicit
Allow statements in identity-based or resource-based policies.#RCP #security
GitHub
data-perimeter-policy-examples/resource_control_policies at main · aws-samples/data-perimeter-policy-examples
Example policies demonstrating how to implement a data perimeter on AWS. - aws-samples/data-perimeter-policy-examples
👍2🔥1