aws-samples/service-control-policy-examples

## 服务控制策略示例 **本仓库中的服务控制策略仅作为示例展示。您不应在未彻底测试策略对账户影响的情况下直接挂载 SCP。当您准备好要实施的策略后，我们建议在能够代表您生产环境的独立组织或 OU（组织单元）中进行测试。测试完成后，您应将变更部署到更具体的 OU，然后随着时间的推移慢慢将变更部署到范围更广的 OU。** [服务控制策略 (SCP)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html) 旨在用作粗粒度的护栏，它们不直接授予权限。管理员仍需将[基于身份或基于资源的策略](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_identity-vs-resource.html)挂载到您账户中的 IAM 主体或资源上，以实际授予权限。有效权限是服务控制策略/资源控制策略与身份策略的逻辑交集，或者是服务控制策略/资源控制策略与资源策略的逻辑交集。您可以在[此处](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html#scp-effects-on-permissions)获取有关 SCP 如何影响权限的更多详细信息。 [服务控制策略 (SCP)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html) 挂载到 AWS 组织、组织单元或账户时，可对组织、组织单元或账户中所有账户的最大可用权限提供集中控制。由于 SCP 可以在 AWS 组织的多个层级应用，了解 [SCP 如何评估](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps_evaluation.html) 可以帮助您编写出能产生正确结果的 SCP。要深入了解如何充分利用 SCP，请访问[博客](https://aws.amazon.com/blogs/security/get-more-out-of-service-control-policies-in-a-multi-account-environment/)。 我们建议您根据[基于功能的 OU](https://docs.aws.amazon.com/whitepapers/latest/organizing-your-aws-environment/benefits-of-using-ous.html#group-similar-accounts-based-on-function)、合规性要求或一组通用控制措施来组织账户，而不是照搬您组织的汇报结构。更多详情，请参考：[多账户策略的设计原则](https://docs.aws.amazon.com/whitepapers/latest/organizing-your-aws-environment/design-principles-for-your-multi-account-strategy.html)。如果您刚开始设置 AWS Organizations 组织，我们建议观看 [Morgan Stanley](https://youtu.be/KFphCnN8WJo?t=1592) 和 [Inter & Co.](https://www.youtube.com/watch?v=rP8AboiFAoQ&ab_channel=AWSEvents) 的展示，了解他们的 AWS 组织和 SCP 演进历程以及一路上学到的经验教训。 ## 本仓库 示例策略根据控制类型分为不同类别。这些示例并不代表完整列表，旨在供您根据自身环境的需求进行定制和扩展。 **注意**：本仓库中的 SCP 示例使用[拒绝列表策略](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps_strategies.html#orgs_policies_denylist)，这意味着您还需要将 [FullAWSAccess](https://console.aws.amazon.com/organizations/?#/policies/p-FullAWSAccess) 策略或其他允许访问的策略挂载到您的 AWS Organizations 组织实体，以允许操作。您仍然需要使用基于身份或基于资源的策略向您的主体授予适当的权限。 * **[数据边界护栏](https://github.com/aws-samples/data-perimeter-policy-examples)**：实施预防性护栏，帮助确保只有受信任的身份才能从预期的网络访问受信任的资源。 * **[拒绝更改安全服务](Deny-changes-to-security-services/README.md)**：AWS 提供安全服务来帮助您监控组织内的访问、安全态势和活动。实施护栏以限制成员账户禁用这些用于治理和合规、操作审计以及 AWS 账户风险审计的工具。 * **[特权访问控制](Privileged-access-controls/README.md)**：实施控制以确保您的角色和应用程序仅被授予执行其预期功能所需的基本权限。 * **[保护云平台资源](Protect-cloud-platform-resource/README.md)**：实施控制以保护您云中的资源不被修改或删除。 * **[区域控制](Region-controls/README.md)**：在您的多账户环境中实施控制，以禁止使用某些 AWS 区域。 * **[敏感数据保护](Sensitive-data-protection/README.md)**：实施控制以保护您的敏感数据，防止其被公开访问或被有意/无意删除。 * **[特定服务控制](Service-specific-controls/README.md)**：针对特定 AWS 服务的控制。 ## 入门首选 SCP 如果您刚刚开始在环境中实施 SCP，请考虑首选推荐的 SCP。 * [拒绝成员账户离开组织](Privileged-access-controls/Deny-member-accounts-from-leaving-your-AWS-organization.json) * [仅允许使用经批准的 AWS 区域](Region-controls/Deny-access-to-AWS-based-on-the-requested-AWS-region.json) * [阻止 AWS Organizations 中成员账户管理根凭证](Privileged-access-controls/Prevent-root-credentials-management-in-member-accounts-in-AWS-Organizations.json) * [拒绝使用根用户，S3 存储桶策略更改除外](Privileged-access-controls/Deny-the-root-user-from-performing-actions-except-S3-bucketpolicy-changes.json) * [拒绝更改安全服务](Deny-changes-to-security-services/README.md) * [保护您的敏感 Amazon S3 存储桶](Service-specific-controls/Amazon-S3/Deny-users-from-deleting-Amazon-S3-buckets-or-objects.json) ## 文档链接 * [服务控制策略 (SCP)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html) * [在多账户环境中充分利用服务控制策略](https://aws.amazon.com/blogs/security/get-more-out-of-service-control-policies-in-a-multi-account-environment/) * [通过 AWS Organizations SCP 的设计考量实现卓越运营](https://aws.amazon.com/blogs/mt/achieving-operational-excellence-with-design-considerations-for-aws-organizations-scps/) * [使用 AWS Organizations 实施企业级预防性控制](https://aws.amazon.com/blogs/mt/enforcing-enterprise-wide-preventive-controls-with-aws-organizations/) * [AWS re:Inforce 2022 - 充分利用您的服务控制策略，主讲 Morgan Stanley](https://www.youtube.com/watch?v=KFphCnN8WJo&t=1578s&ab_channel=AWSEvents) * [AWS re:Inforce 2023 - 创建企业级预防性护栏，主讲 Inter & Co.](https://www.youtube.com/watch?v=rP8AboiFAoQ&ab_channel=AWSEvents) * Pull 请求：https://github.com/aws-samples/service-control-policy-examples/pulls ## 安全 更多信息请参见 [CONTRIBUTING](CONTRIBUTING.md)。 ## 许可证 本库根据 MIT-0 许可证授权。请参阅 LICENSE 文件。

标签：AWS, AWS Organizations, DPI, Guardrails, Homebrew安装, IAM, Service Control Policies, Streamlit, 云基础设施, 人工智能安全, 合规性, 安全基线, 教学环境, 权限管理, 模型越狱, 治理, 策略示例, 组织单元, 访问控制