إذا كنت مهتم بـ #الحوسبة_السحابية، وبالتحديد #AWS
في هذا الثريد سأتحدث عن Services Control Policy
أو ما يسمى بـ SCP.
🔸كيف ومتى نستخدمها؟
🔸ما الفرق بينها وبين IAM؟
🔸بمثال تطبيقي، ماذا نعني بها؟
كل الإجابات موجودة في التغريدات التالية، باختصار، وبلغة بسيطة.
في هذا الثريد سأتحدث عن Services Control Policy
أو ما يسمى بـ SCP.
🔸كيف ومتى نستخدمها؟
🔸ما الفرق بينها وبين IAM؟
🔸بمثال تطبيقي، ماذا نعني بها؟
كل الإجابات موجودة في التغريدات التالية، باختصار، وبلغة بسيطة.
على مستوى المنظمة، عند عمل Migration للكلاود، يتم استخدام AWS Organizations لعمل consilidation او تجميع لكل الـ AWS accounts المستخدمة.
نستخدم OUs مختلفة لأغراض مختلفة. ونرفق SCPs لكل منها حسب الحاجة.
|
في التغريدة التالية شرح مبسط لـ Root, OU, AWS Account
نستخدم OUs مختلفة لأغراض مختلفة. ونرفق SCPs لكل منها حسب الحاجة.
|
في التغريدة التالية شرح مبسط لـ Root, OU, AWS Account
🔸حساب الـ root أو ما نسميه بـ MPA
Master Payer Account
يعد بمثابة الـ parent container لكل الحسابات.
🔸أما الـ Organizational Unit أو OU، تمكننا من إنشاء
hierarchy "upside-down tree"
🔸وبالنسبة للـ Account، فهو حساب AWS الذي يحتوي الخدمات والـ resources للـ application.
Master Payer Account
يعد بمثابة الـ parent container لكل الحسابات.
🔸أما الـ Organizational Unit أو OU، تمكننا من إنشاء
hierarchy "upside-down tree"
🔸وبالنسبة للـ Account، فهو حساب AWS الذي يحتوي الخدمات والـ resources للـ application.
يتم استخدام SCP، والمشابهة لـ IAM، على مستوى الـ account أو الـ OU.
على سبيل المثال:
نريد أن يتم استخدام region أو availability zone (AZ) معينة، مثلاً US-EAST-1 بحكم أنها تحتوي على أغلب الـ AZs and Services، يمكن عمل ذلك من خلال SCP!
على سبيل المثال:
نريد أن يتم استخدام region أو availability zone (AZ) معينة، مثلاً US-EAST-1 بحكم أنها تحتوي على أغلب الـ AZs and Services، يمكن عمل ذلك من خلال SCP!
الآن، ماذا لو كان هنالك IAM Policies and SCPs، ما الأذونات التي تكون متاحة لدينا؟
الإجابة في الصورة :)
|
ثلاث نقاط هامة:
- Deny overrides Allow.
- Permission Boundary overlaps Policies.
- SCP overlaps everything!
الإجابة في الصورة :)
|
ثلاث نقاط هامة:
- Deny overrides Allow.
- Permission Boundary overlaps Policies.
- SCP overlaps everything!
مثال عملي:
لو كان لدينا حساب مخترق compromised account، ما الإجراءات المتبعة؟
هل نقوم بتعطيل الحساب أو الـ IAM Policies؟
بالطبع لا. نحتاج هذه المعلومات لأغراض التحقيق الجنائي الرقمي.
ببساطة، نقوم بعمل Attach لـ SCP نسميها Isolation على سبيل المثال، ويتم تعريفها لعمل عزل للحساب.
لو كان لدينا حساب مخترق compromised account، ما الإجراءات المتبعة؟
هل نقوم بتعطيل الحساب أو الـ IAM Policies؟
بالطبع لا. نحتاج هذه المعلومات لأغراض التحقيق الجنائي الرقمي.
ببساطة، نقوم بعمل Attach لـ SCP نسميها Isolation على سبيل المثال، ويتم تعريفها لعمل عزل للحساب.
مثال آخر:
نريد عمل Deny لكل الـ Actions المتعلقة بكل الـ Resources من حساب الـ root.
في هذه الحالة، تكون لدينا الـ SCP كما في الصورة هنا.
نريد عمل Deny لكل الـ Actions المتعلقة بكل الـ Resources من حساب الـ root.
في هذه الحالة، تكون لدينا الـ SCP كما في الصورة هنا.
الآن، أين يتم إنشاء الـ SCP؟
يتم ذلك من خلال تبويب Policies في AWS Organizations.
|
كيف يتم عمل Attach/Detach للـ SCP؟
الجواب بالتفصيل هنا:
aws.amazon.com
يتم ذلك من خلال تبويب Policies في AWS Organizations.
|
كيف يتم عمل Attach/Detach للـ SCP؟
الجواب بالتفصيل هنا:
aws.amazon.com
لدى AWS طريقة مميزة لتقييم IAM Policy
أو ما أسموه بـ IAM Policy Evaluation Logic
يمكن الاطلاع عليها في الصورة.
أو ما أسموه بـ IAM Policy Evaluation Logic
يمكن الاطلاع عليها في الصورة.
للمزيد عن SCP يمكن زيارة الرابط التالي:
docs.aws.amazon.com
|
لمزيد عن IAM يمكن زيارة الرابط التالي:
aws.amazon.com
docs.aws.amazon.com
|
لمزيد عن IAM يمكن زيارة الرابط التالي:
aws.amazon.com
جاري تحميل الاقتراحات...