Всесторонний документ, почему IAM – это боль:

https://www.effectiveiam.com/

Очень полезен и для того, чтобы разобраться в том, как работает IAM, и для того, чтобы глубже понять проблемы настройки политик, и для того, чтобы шире взглянуть на то, почему это так проблематично вообще (спойлер – всё сложно, в прямом смысле этого слова).

Описываются подходы и для настройки IAM политик в рамках одного аккаунта, и для выстраивания процессов в рамках Organizations.

#IAM #security #best_practices

​​SCP Best Practices

🔹 Deny list strategy
🔹 Allow list strategy

🔹 https://aws.amazon.com/blogs/mt/codify-your-best-practices-using-service-control-policies-part-1/

🔸 Organizational Units

🔸 https://aws.amazon.com/blogs/mt/best-practices-for-organizational-units-with-aws-organizations/

▪️ Deny Changes to CloudWatch monitors
▪️ Deny Changes to CloudWatch Logs
▪️ Deny Changes to Config
▪️ Deny accounts from leaving the organization
▪️ Deny all actions
▪️ Deny access to IAM with role exception
▪️ Deny actions outside approved regions
▪️ Deny ability to pass IAM roles
▪️ Deny changes to GuardDuty
▪️ Deny changes to AWS Budget Actions
▪️ Limit changes to Cost Anomaly Detection, except when using a specific IAM Role

▪️ https://aws.amazon.com/blogs/mt/codify-your-best-practices-using-service-control-policies-part-2/

☮️

#SCP #security #best_practices