Denne veiledningen vil forklare prosessen med å lage en tjenestekontrollpolicy ved å bruke følgende metoder:
Forutsetning: Aktiver tjenestekontrollpolicy
For å opprette en tjenestekontrollpolicy i AWS, er det nødvendig å aktivere den fra dashbordet for AWS organisasjoner:
På organisasjonsdashbordet klikker du på ' Retningslinjer ”-knappen fra venstre panel for å gå til siden:
Klikk på ' Tjenestekontrollpolicyer '-knappen fra ' Støttede policytyper ' seksjon:
Klikk på ' Aktiver tjenestekontrollpolicyer ”-knappen fra siden med retningslinjer for tjenestekontroll for å aktivere tjenestene:
Metode 1: Bruk av AWS Management Console
Når retningslinjene for tjenestekontroll er aktivert, klikker du bare på ' Lag politikk ”-knapp:
Start nå konfigurasjonen av tjenestekontrollpolicyen ved å skrive inn navnet:
Å legge til tagger er en valgfri prosess, slik at brukeren kan legge til tagger for identifisering av SCP, og en tom verdifane vil generere en null-streng for nøkkelen:
Rull ned for å finne policydelen og skriv inn navnet på tjenesten for å legge til en policyerklæring i JSON-format:
Etter å ha valgt AWS-tjenesten, velg ganske enkelt handlingene for å tillate eller avvise policyen:
Brukeren kan legge til en ressurs eller en betingelse som skal knyttes til policyen ved ganske enkelt å klikke på ' Legg til ”-knapp:
For å legge til en ressurs med policyerklæringen, velg ganske enkelt tjenesten og velg også ressurstypen før du klikker på ' Legg til ressurs ”-knapp:
Etter all konfigurasjonen, se gjennom retningslinjene og klikk på ' Lag politikk ”-knapp:
Policyen har blitt opprettet, bare klikk på navnet for å gå inn på detaljsiden:
Policydetaljene er tilgjengelige på denne siden, og brukeren kan alltid redigere policyen eller opprette en ny også:
Metode 2: Bruk av AWS CLI
For å opprette en tjenestekontrollpolicy ved å bruke AWS CLI, er det nødvendig å opprette en erklæring for policyen i JSON-formatet. Et eksempel på policyerklæringen for å nekte alle IAM-handlinger i JSON-formatet er nevnt nedenfor:
{'Versjon' : '2012-10-17' ,
'Uttalelse' : [
{
'Sid' : 'Deny AccessToASpesificRole' ,
'Effekt' : 'Benekte' ,
'Handling' : [
'jam:AttachRolePolicy' ,
'jam:DeleteRole' ,
'iam:DeleteRolePermissionsBoundary' ,
'iam:DeleteRolePolicy' ,
'iam:DetachRolePolicy' ,
'iam:PutRolePermissionsBoundary' ,
'jam:PutRolePolicy' ,
'iam:UpdateAssumeRolePolicy' ,
'iam:UpdateRole' ,
'iam:UpdateRoleDescription'
] ,
'Ressurs' : [
'arn:aws:iam::*:rolle/name-of-rolle-to-deny'
]
}
]
}
Deretter bruker du følgende AWS CLI-kommando for å lage en policy i AWS Organizations-tjenesten ved å bruke en JSON-fil som er lagret i den lokale katalogen. Denne kommandoen inneholder navnet, beskrivelsen og typen tjenestekontrollpolicy som skal legges til i organisasjonen:
aws-organisasjoner lager-policy --innhold fil: // Deny-IAM.json --beskrivelse 'Nekt alle IAM-handlinger' --Navn NektIAMSCP --type SERVICE_CONTROL_POLICY
For å bekrefte opprettelsen av tjenestekontrollpolicyen, gå ganske enkelt til dashbordet og klikk på navnet på policyen:
På siden med retningslinjer, klikk på ' Innhold '-delen og rull ned for å sjekke innholdet i retningslinjene:
Følgende skjermbilde viser innholdet i policyen, og brukeren kan redigere uttalelsen:
Det handler om å lage en tjenestekontrollpolicy i AWS Organization-tjenesten.
Konklusjon
For å lage en ' Tjenestekontrollpolicy ” i AWS Organizations-dashbordet er det nødvendig å aktivere policyen først. Etter det kan brukeren opprette SCP enten ved å bruke AWS Management Console eller AWS Command Line Interface. Denne veiledningen har forklart prosessen med å lage en tjenestekontrollpolicy i AWS-organisasjonen ved å bruke begge metodene.