Beschränken des Zugriffs mitAWS OrganizationsService-Kontrollrichtlinien - AWS Verwaltung von Benutzerkonten

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Beschränken des Zugriffs mitAWS OrganizationsService-Kontrollrichtlinien

In diesem Thema finden Sie Beispiele, die zeigen, wie Sie Service-Kontrollrichtlinien (SCPs) verwenden können, um einzuschränken, was die Benutzer und Rollen in den Konten in Ihrer Organisation tun können. Weitere Informationen zu Service-Kontrollrichtlinien finden Sie in folgenden Themen im.AWS OrganizationsBenutzerhandbuch:

Beispiel 1: Verhindern Sie, dass Konten ihre eigenen alternativen Kontakte ändern

Das folgende Beispiel bestreitet diePutAlternateContactundDeleteAlternateContactAPI-Operationen werden von keinem Mitgliedskonto in aufgerufenStandalone-Konto-Modusaus. Dadurch wird verhindert, dass ein Auftraggeber in den betroffenen Konten seine eigenen alternativen Kontakte ändert.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "Statement1",
            "Effect": "Deny",
            "Action": [
                "account:PutAlternateContact",
                "account:DeleteAlternateContact"
            ],
            "Resource": [ "arn:aws:account::*:account" ]
        }
    ]
}
Beispiel 2: Verhindern, dass ein Mitgliedskonto alternative Kontakte für ein anderes Mitgliedskonto in der Organisation ändert

Das folgende Beispiel verallgemeinert dieResource-Element auf „*“, was bedeutet, dass es für beide giltAnforderungen im eigenständigen Modus und Anforderungen im Organisationsmodusaus. Dies bedeutet, dass selbst das delegierte Administratorkonto für die Kontoverwaltung, falls der SCP darauf zutrifft, daran gehindert wird, alternative Kontakte für ein Konto in der Organisation zu ändern. 

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "Statement1",
            "Effect": "Deny",
            "Action": [
                "account:PutAlternateContact",
                "account:DeleteAlternateContact"
            ],
            "Resource": [ "*" ]
        }
    ]
}
Beispiel 3: Verhindern, dass ein Mitgliedskonto in einer Organisationseinheit seine eigenen alternativen Kontakte ändert

Das folgende Beispiel für SCP enthält eine Bedingung, die den Organisationspfad des Kontos mit einer Liste von zwei Organisationseinheiten vergleicht. Dies führt dazu, dass ein Principal in einem Konto in den angegebenen OUs daran gehindert wird, seine eigenen alternativen Kontakte zu ändern.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "Statement1",
            "Effect": "Deny",
            "Action": "account:PutAlternateContact",
            "Resource": [
                "arn:aws:account::*:account"
            ],
            "Condition": {
                "ForAnyValue:StringLike": {
                    "account:AccountResourceOrgPath": [
                        "o-aa111bb222/r-a1b2/ou-a1b2-f6g7h111/", 
                        "o-aa111bb222/r-a1b2/ou-a1b2-f6g7h222/"
                    ]
                }
            }
    ]
}