為避免同仁誤觸到其他region,故要 deny 掉沒有在用的 region,
目前SSO user 進去 payer 沒有 SCP permission 操作介面,且 Organization level 的服務監控也需要手動設定,不能透過Organization 直接 apply,查詢相關資料後,
須建立 policy & apply 到帳號上,所以須申請SCP權限
以下確認權限不足
如只是Organization level 的服務監控,用 Organization 直接 apply 啟用就可以
可參考文檔
https://docs.aws.amazon.com/zh_tw/organizations/latest/userguide/orgs_manage_policies.html
但發現文檔只適用 2019 之後開放的 region在這之前的全部預設啟用
IAM雖可以符合部分需求,而不需要申請SCP權限
https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-regions.html
1.可以先使用AWS頁面,將不必要的區域進行關閉
2.策略使用IAM進行控管 避免同仁誤觸
主要需要SCP權限,是因要從 account level block,避免其他同仁誤觸,故向原廠申請
