Amazon web services 如何为AWS IAM中的所有现有用户和新用户添加IAM策略?
我有一个AWS帐户,其中包含我所有的东西,并希望它的安全 我想创建一个包含一些拒绝操作的IAM策略,并将该策略应用于所有现有和未来用户。我该怎么做 我尝试使用IAM组,但有人可以创建没有特定组的用户。此外,我尝试了组织SCP,但它似乎与主帐户不起作用 我想创建一个包含一些拒绝操作的IAM策略,并将该策略应用于所有现有和未来用户 在这些情况下,SCP是一条出路。并遵循一条规则,即所有用户只能在子帐户中创建。对于复杂的组织来说,创建一个单独的账户仅用于IAM管理甚至是一种方法 如果要拒绝特定资源s3、kms,。。您可以应用资源策略来拒绝某些操作,并拒绝更新除root/专用用户之外的策略 组织SCP,但它似乎与主帐户不起作用 的确如此 如果确实希望强制所有用户都在特定组中,而不管是否为根帐户,则可以创建AWS配置规则来检查用户成员资格,并在用户不符合该规则时向组中添加用户 或者可能有一个CloudTrail日志,其中包含一条规则,即在创建/更新用户时,检查并分配组。然后必须保护AWS配置或CloudTrail设置Amazon web services 如何为AWS IAM中的所有现有用户和新用户添加IAM策略?,amazon-web-services,amazon-iam,Amazon Web Services,Amazon Iam,我有一个AWS帐户,其中包含我所有的东西,并希望它的安全 我想创建一个包含一些拒绝操作的IAM策略,并将该策略应用于所有现有和未来用户。我该怎么做 我尝试使用IAM组,但有人可以创建没有特定组的用户。此外,我尝试了组织SCP,但它似乎与主帐户不起作用 我想创建一个包含一些拒绝操作的IAM策略,并将该策略应用于所有现有和未来用户 在这些情况下,SCP是一条出路。并遵循一条规则,即所有用户只能在子帐户中创建。对于复杂的组织来说,创建一个单独的账户仅用于IAM管理甚至是一种方法 如果要拒绝特定资源s3