🌞

AWS SCP là gì

Sửa bài viết này

AWS SCP là gì

SCP là một tập hợp các rule cấp quyền sử dụng resource AWS trên tất cả account trong một AWS Organization

Tại sao sử dụng SCP

Khi một tổ chức có nhiều account cần quản lý, việc quản lý sẽ khó khăn nếu chỉ sử dụng IAM

IAM cho phép chúng ta kiểm soát quyền hạn trên từng user và role của một account, nhưng nếu chúng ta cần quản lý quyền hạn trên nhiều role/nhiều account cùng lúc sẽ cần đến một công cụ bao quát hơn

OU (Organizational Unit) = tổ hợp các account được quản lý, SCP sẽ áp các rule trên từng OU

Như hình trên OU sẽ thường được định danh như các đơn vị ban ngành trong một tổ chức, chúng ta có đội nằm trong Core, đội làm Application, đội Development

Lưu ý chỉ có thể áp tối đa 5 SCP trên một root/OU/account

Ví dụ khai báo một policy deny việc sử dụng AWS Shield service

{
	"Version": "2012-10-17",
	"Statement": [
		{
			"Sid": "Statement1",
			"Effect": "Deny",
			"Action": ["shield:*"],
			"Resource": ["*"]
		}
	]
}

Vì SCP cũng có thể áp dụng trên root account, nên hãy rất cẩn thận và test kỹ trước khi áp dụng policy nào đó trên root account, tránh trường hợp mất các quyền quan trọng

SCP vs Permission Boundary vs IAM User/Role Permission

SCP không phải chỉ để cấp quyền, nó còn có thể deny, có thể hình dung nó như một danh sách có thể làm gì và không được làm gì (Deny/Allow action) trên một nhóm đối tượng trong Organization

SCP IAM Policies
Dùng với OU Dùng với Principal (Ai)
Không thay thế IAM Policy identity-base -> dùng với user, group, role. resource-base -> dùng với AWS resource như S3
Dùng được với Root account Không dùng được với Root account
Một account con chỉ có số quyền như account cha hoặc ít hơn Chỉ 1 trong 2: allow hoặc deny, nếu allow thì ngầm hiểu phần còn lại deny, nếu deny ngầm hiều phần còn lại allow

Còn về Permission Boundaries nó được sử dụng cho user/role (một IAM entity), nó cấp maximum permission mà identity-base có thể cấp cho một IAM entity, nó không dùng được với resource-base, trong khi đó SCP có thể áp dụng trên cả identity-base và resource-base

Tóm tắt thuật ngữ

Thuật ngữ Giải thích
resource-base policy policy dùng với user, group, role
identity-base policy policy dùng với các service của AWS
Organization Đơn vị chúng ta khai bảo để tiện quản lý

Initializing...