В этом руководстве объясняется процесс создания политики управления службами с использованием следующих методов:
Предварительное условие: включить политику управления службами
Чтобы создать политику управления службами в AWS, необходимо включить ее на панели инструментов AWS Organizations:
На панели «Организации» нажмите « Политики ” на левой панели, чтобы перейти на его страницу:
Нажать на ' Политики управления услугами ” из “ Поддерживаемые типы политик ' раздел:
Нажать на ' Включить политики управления службами ” на странице политик управления службами, чтобы включить свои службы:
Способ 1. Использование Консоли управления AWS
После включения политик управления службами просто нажмите « Создать политику ' кнопка:
Теперь запустите настройку политики управления службами, введя ее имя:
Добавление тегов является необязательным процессом, поэтому пользователь может добавлять теги для идентификации SCP, а вкладка с пустым значением будет генерировать нулевую строку для ключа:
Прокрутите вниз, чтобы найти раздел «Политика», и введите имя службы, чтобы добавить заявление о политике в формате JSON:
После выбора службы AWS просто выберите действия, чтобы разрешить или запретить политику:
Пользователь может добавить ресурс или условие, которое будет прикреплено к политике, просто щелкнув значок « Добавлять ' кнопка:
Чтобы добавить ресурс с заявлением о политике, просто выберите услугу, а также выберите тип ресурса, прежде чем нажать « Добавить ресурс ' кнопка:
После всех настроек просто просмотрите политику и нажмите кнопку « Создать политику ' кнопка:
Политика была успешно создана, просто щелкните ее имя, чтобы перейти на страницу сведений:
Детали политики доступны на этой странице, и пользователь всегда может отредактировать политику или создать новую:
Способ 2: использование интерфейса командной строки AWS
Чтобы создать политику управления службами с помощью интерфейса командной строки AWS, необходимо создать инструкцию для политики в формате JSON. Ниже приведен пример заявления о политике, запрещающего все действия IAM в формате JSON:
{'Версия' : '2012-10-17' ,
'Заявление' : [
{
'Сид' : 'Отказать в доступе к ASpecificRole' ,
'Эффект' : 'Отрицать' ,
'Действие' : [
'джем:аттачролеполици' ,
'джем:удалитьроль' ,
'iam: DeleteRolePermissionsBoundary' ,
'iam: DeleteRolePolicy' ,
'iam:DetachRolePolicy' ,
'iam:путролепермисионсбаундари' ,
'джем:путролеполици' ,
'iam:UpdateAssumRolePolicy' ,
'iam:UpdateRole' ,
'iam:обновлениероледескриптион'
] ,
'Ресурс' : [
'arn:aws:iam::*:role/name-of-role-to-deny'
]
}
]
}
После этого используйте следующую команду AWS CLI, чтобы создать политику в сервисе AWS Organizations, используя файл JSON, хранящийся в локальном каталоге. Эта команда содержит имя, описание и тип политики управления службами, которую необходимо добавить в организацию:
правила создания организаций aws --содержание файл: // Deny-IAM.json --описание «Запретить все действия IAM» --имя DenyIAMSCP --тип SERVICE_CONTROL_POLICY
Чтобы проверить создание политики управления службами, просто перейдите на панель инструментов и щелкните имя политики:
На странице сведений о политике нажмите « Содержание » и прокрутите вниз, чтобы проверить содержание политики:
На следующем снимке экрана показано содержимое политики, и пользователь может изменить ее:
Это все о создании политики управления сервисом в сервисе AWS Organization.
Заключение
Чтобы создать « Политика управления услугами ” на панели управления AWS Organizations необходимо сначала включить политику. После этого пользователь может создать SCP либо с помощью Консоли управления AWS, либо с помощью интерфейса командной строки AWS. В этом руководстве объясняется процесс создания политики управления службами в организации AWS с использованием обоих методов.