Amazon web services aws iam-防止iam组或帐户提供任何服务

我试图使用AWS预算来避免不同部门过度利用AWS资源，我想知道，一旦AWS预算达到上限，我是否可以阻止他们提供任何新资源。是否可以通过IAM策略或SCP阻止帐户或IAM组在AWS中调配任何新资源？

是否有可用的IAM分类用于调配新资源的操作？ 不，我不这么认为。IAM提供所谓的访问级别，用于在AWS管理控制台中对不同类型的IAM操作进行分类。[1] 然而，我找不到任何可能通过IAM行动政策文件来引用它们。[2] 每个AWS服务[3]的操作名称中都有一些模式可用于引用具有访问级别写入的操作，例如

ec2:Create*

[4]。不幸的是，有些模式更微妙，比如

ec2:Run*

此外，IAM操作按访问级别写入进行分类并不意味着它会创建新资源或导致额外成本，例如，

ec2:Delete*

删除通常不会产生额外成本的某些资源

解决方法是使用相应服务的IAM参考表[3]手动确定可能增加成本的所有操作（例如，通过提供新资源）

如果违反了帐户的预算阈值，如何使用SCP阻止特定IAM操作？ 如果您有一个在达到预算限制后要阻止的操作列表，则可以按如下操作：

创建SNS主题并配置AWS预算，以便在达到给定阈值后发布到该主题。[5] [6]

使用CloudWatch事件触发Lambda函数，该函数使用AWS SDK将SCP附加到违反阈值的帐户。为此，您可以创建一个SCP，该SCP拒绝您以前标识为“预算增加”/“资源创建”的所有操作。您将该SCP附加为“拒绝列表”[7]，即除了现有的FullAWSAccess SCP之外

创建一个CloudWatch事件规则，该规则根据时间表[8]触发，即在每个月初触发一次（或在设置预算期开始时触发一次）。该规则调用Lambda函数，该函数使用AWS SDK从帐户中删除以前附加的SCP

工具书类 [1]
[2]
[3]
[4]
[5]
[6] （第16号）
[7] （“使用SCP作为拒绝列表”）
[8]