Aws最佳实践建议通过禁止使用root用户凭据访问帐户来保护Aws帐户。
这是他们提供的模板
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "GRRESTRICTROOTUSER",
"Effect": "Deny",
"Action": "*",
"Resource": [
"*"
],
"Condition": {
"StringLike": {
"aws:PrincipalArn": [
"arn:aws:iam::*:root"
]
}
}
}
]
}
我理解这一点的方式是,如果我将其附加到我的帐户,我将不再拥有作为root用户的权限。但我愿意。如果我不愿意,那就意味着我会把自己锁在任何手术之外。
但是,如果我将其添加到创建的另一个帐户中,则该帐户和该帐户中的任何其他IAM用户的权限将不再具有权限。
我很困惑。以下是不允许为根用户创建访问密钥的文档
更新
我执行该政策的方式是通过组织SCP。
我认为这项政策应该通过控制塔来实施。这就是为什么我认为我努力实现的目标是不可能的。我仍然不清楚,因此没有答案。
可能是您的SCP不工作的帐户是您的管理(以前称为主(帐户。
根据文件:
重要信息:SCP不会影响管理帐户中的用户或角色。他们仅影响组织中的成员帐户。