W tym przewodniku wyjaśniono proces tworzenia zasad kontroli usług przy użyciu następujących metod:
Warunek wstępny: Włącz zasady kontroli usług
Aby utworzyć politykę kontroli usług w AWS, wymagane jest włączenie jej z pulpitu nawigacyjnego AWS Organizacje:
Na pulpicie nawigacyjnym Organizacji kliknij przycisk „ Zasady ” z lewego panelu, aby przejść do jego strony:
Kliknij na ' Zasady kontroli usług przycisk „ z „ Obsługiwane typy zasad ' Sekcja:
Kliknij na ' Włącz zasady kontroli usług ” na stronie zasad kontroli usług, aby włączyć swoje usługi:
Metoda 1: Korzystanie z konsoli zarządzania AWS
Po włączeniu zasad kontroli usług wystarczy kliknąć przycisk „ Utwórz zasady ' przycisk:
Teraz rozpocznij konfigurację Polityki kontroli usług wpisując jej nazwę:
Dodawanie tagów jest procesem opcjonalnym, więc użytkownik może dodać tagi do identyfikacji SCP, a pusta zakładka wartości wygeneruje łańcuch pusty dla klucza:
Przewiń w dół, aby znaleźć sekcję Zasady i wpisz nazwę usługi, aby dodać oświadczenie o zasadach w formacie JSON:
Po wybraniu usługi AWS wystarczy wybrać działania, aby zezwolić lub odrzucić politykę:
Użytkownik może dodać zasób lub warunek, który ma zostać dołączony do polityki, po prostu klikając przycisk „ Dodać ' przycisk:
Aby dodać zasób z deklaracją zasad, po prostu wybierz usługę i typ zasobu, a następnie kliknij przycisk „ Dodaj zasób ' przycisk:
Po całej konfiguracji przejrzyj zasady i kliknij przycisk „ Utwórz zasady ' przycisk:
Polityka została pomyślnie utworzona, po prostu kliknij jej nazwę, aby przejść do strony szczegółów:
Szczegóły polityki są dostępne na tej stronie, a użytkownik zawsze może edytować politykę lub utworzyć nową:
Metoda 2: Korzystanie z interfejsu wiersza polecenia AWS
Aby utworzyć Politykę kontroli usług z wykorzystaniem AWS CLI, wymagane jest utworzenie zestawienia dla Polityki w formacie JSON. Poniżej znajduje się przykład oświadczenia o zasadach odrzucania wszystkich działań IAM w formacie JSON:
{'Wersja' : „2012-10-17” ,
'Oświadczenie' : [
{
„Sid” : „Odmów dostępu do określonej roli” ,
'Efekt' : 'Zaprzeczyć' ,
'Działanie' : [
„jam:Dołącz zasady roli” ,
„jam: Usuń rolę” ,
„iam:UsuńRolęPermissionsGranica” ,
„iam: Usuń zasady roli” ,
„iam:Odłącz zasady roli” ,
„iam:PutRolePermissionsBoundary” ,
„jam: PutRolePolicy” ,
„iam:UpdateAssumeRolePolicy” ,
'iam:AktualizacjaRola' ,
'iam:Opis roli aktualizacji'
] ,
'Ratunek' : [
'arn:aws:iam::*:rola/nazwa-roli-do-odrzucenia'
]
}
]
}
Następnie użyj następującego polecenia AWS CLI, aby utworzyć politykę w usłudze AWS Organizacje przy użyciu pliku JSON przechowywanego w katalogu lokalnym. To polecenie zawiera nazwę, opis i typ zasad kontroli usług, które mają zostać dodane do organizacji:
organizacje aws tworzą zasady --treść plik: // Deny-IAM.json --opis „Odrzuć wszystkie działania IAM” --nazwa Odmów IAMCP --typ SERVICE_CONTROL_POLICY 
Aby zweryfikować utworzenie Polityki kontroli usług, po prostu przejdź do pulpitu nawigacyjnego i kliknij nazwę polityki:
Na stronie szczegółów zasad kliknij przycisk „ Treść ” i przewiń w dół, aby sprawdzić treść polityki:
Poniższy zrzut ekranu przedstawia treść polityki, a użytkownik może edytować oświadczenie:
To wszystko na temat tworzenia Polityki kontroli usług w usłudze AWS Organization.
Wniosek
Stworzyć ' Zasady kontroli usług ” na pulpicie nawigacyjnym AWS Organizacje, konieczne jest uprzednie włączenie polityki. Następnie użytkownik może utworzyć SCP za pomocą konsoli zarządzania AWS lub interfejsu wiersza poleceń AWS. W tym przewodniku wyjaśniono proces tworzenia polityki kontroli usług w organizacji AWS przy użyciu obu metod.