3.6. 服务控制策略(SCP)的最小有效权限集
服务控制策略(SCP)是管理机构中权限的组织策略类型。SCP 确保您的组织保留在您定义的访问控制指南中。这些策略在 AWS 机构中维护,并控制附加的 AWS 帐户中提供的服务。SCP 管理是客户的职责。
使用 AWS 安全令牌服务(STS)时,您必须确保服务控制策略不会阻断以下资源:
-
ec2:{}
-
iam:{}
-
tag:*
验证您的服务控制策略(SCP)是否不限制任何这些所需的权限。
Service | Actions | 效果 | |
---|---|---|---|
必需 | Amazon EC2 | All | Allow |
Amazon EC2 自动扩展 | All | Allow | |
Amazon S3 | All | Allow | |
身份和访问管理 | All | Allow | |
Elastic Load Balancing | All | Allow | |
Elastic Load Balancing V2 | All | Allow | |
Amazon CloudWatch | All | Allow | |
Amazon CloudWatch Events | All | Allow | |
Amazon CloudWatch Logs | All | Allow | |
AWS EC2 实例连接 | SendSerialConsoleSSHPublicKey | Allow | |
AWS Support | All | Allow | |
AWS 密钥管理服务 | All | Allow | |
AWS 安全令牌服务 | All | Allow | |
AWS Tiro | CreateQuery GetQueryAnswer GetQueryExplanation | Allow | |
AWS Marketplace | 订阅 取消订阅 查看订阅 | Allow | |
AWS Resource Tagging | All | Allow | |
AWS Route53 DNS | All | Allow | |
AWS Service Quotas | ListServices GetRequestedServiceQuotaChange GetServiceQuota RequestServiceQuotaIncrease ListServiceQuotas | Allow | |
选填 | AWS Billing | ViewAccount Viewbilling ViewUsage | Allow |
AWS 成本和使用量报告 | All | Allow | |
AWS Cost Explorer Services | All | Allow |
其他资源