Amazon web services aws iam-防止iam组或帐户提供任何服务
我试图使用AWS预算来避免不同部门过度利用AWS资源,我想知道,一旦AWS预算达到上限,我是否可以阻止他们提供任何新资源。是否可以通过IAM策略或SCP阻止帐户或IAM组在AWS中调配任何新资源?是否有可用的IAM分类用于调配新资源的操作? 不,我不这么认为。IAM提供所谓的访问级别,用于在AWS管理控制台中对不同类型的IAM操作进行分类。[1] 然而,我找不到任何可能通过IAM行动政策文件来引用它们。[2] 每个AWS服务[3]的操作名称中都有一些模式可用于引用具有访问级别写入的操作,例如Amazon web services aws iam-防止iam组或帐户提供任何服务,amazon-web-services,amazon-iam,Amazon Web Services,Amazon Iam,我试图使用AWS预算来避免不同部门过度利用AWS资源,我想知道,一旦AWS预算达到上限,我是否可以阻止他们提供任何新资源。是否可以通过IAM策略或SCP阻止帐户或IAM组在AWS中调配任何新资源?是否有可用的IAM分类用于调配新资源的操作? 不,我不这么认为。IAM提供所谓的访问级别,用于在AWS管理控制台中对不同类型的IAM操作进行分类。[1] 然而,我找不到任何可能通过IAM行动政策文件来引用它们。[2] 每个AWS服务[3]的操作名称中都有一些模式可用于引用具有访问级别写入的操作,例如ec
ec2:Create*
[4]。不幸的是,有些模式更微妙,比如ec2:Run*
此外,IAM操作按访问级别写入进行分类并不意味着它会创建新资源或导致额外成本,例如,ec2:Delete*
删除通常不会产生额外成本的某些资源
解决方法是使用相应服务的IAM参考表[3]手动确定可能增加成本的所有操作(例如,通过提供新资源)
如果违反了帐户的预算阈值,如何使用SCP阻止特定IAM操作?
如果您有一个在达到预算限制后要阻止的操作列表,则可以按如下操作:
[2]
[3]
[4]
[5]
[6] (第16号)
[7] (“使用SCP作为拒绝列表”)
[8]