AWS 於 2024 年 11 月 13 日推出了資源控制政策(Resource Control Policies,RCPs),這是一種新的授權政策,透過 AWS Organizations 管理,可在整個組織內設定資源的最大可用權限。RCPs 作為預防性控制措施,協助建立 AWS 環境中的資料邊界,並大規模限制對資源的外部存取。透過在 Organizations 中集中管理,RCPs 確保中央治理和安全團隊能夠確信其 AWS 帳戶內的資源存取符合組織的存取控制指南。
文章重點
## 1. RCPs是什麼?
– RCPs是一種新型授權政策,讓組織能夠為資源設定最大權限,作為預防性控制,建立資料邊界並限制外部訪問。
## 2. 與SCPs的不同之處:
– SCPs限制原則(如IAM角色)的權限,而RCPs則限制資源的權限。這意味著RCPs可以強制執行對資源的訪問控制,無論是誰發出API請求。
## 3. 支援的服務:
– 在推出時,RCPs支援服務包括Amazon S3、AWS STS、AWS KMS、Amazon SQS和AWS Secrets Manager。
## 4. 無額外費用:
– 啟用或使用RCPs不會產生額外費用。
## 5. 實施:
– 可通過AWS Organizations控制台、SDK或CLI啟用RCPs。組織必須使用「所有功能」選項來啟用RCPs。
## 6. 政策創建:
– 用戶可以創建RCPs來限制對資源(如S3存儲桶)的訪問,確保只有組織內的原則可以訪問它們。
## 7. 測試和部署:
– 建議在受控環境中測試RCPs,然後廣泛應用,以避免意外訪問問題。
## 8. 與CI/CD集成:
– 可將RCPs集成到現有的CI/CD管道中,用於大規模管理。
## 9. 結論:
– RCPs提供了一種集中管理權限並增強跨AWS資源安全性的方式,與現有的SCPs互補。