Création, mise à jour et suppression de politiques de contrôle des services

Une fois connecté au compte de gestion de votre organisation, vous pouvez créer et mettre à jour les politiques de contrôle des services (SCP). Vous créez des politiques SCP en créant des instructions qui refusent ou autorisent l'accès aux services et actions que vous spécifiez.

La configuration par défaut pour travailler avec des SCP consiste à utiliser une politique de « liste de blocage » dans laquelle toutes les actions sont implicitement autorisées à l'exception des actions que vous voulez bloquer en créant des instructions qui refusent l'accès. Avec des instructions de refus, vous pouvez spécifier des ressources et conditions pour l'instruction et utiliser l'élément NotAction. Pour les instructions d'autorisation, vous pouvez spécifier uniquement des services et des actions. Pour plus d'informations sur les instructions qui refusent et autorisent l'accès, consultez Évaluation du SCP.

Astuce

Vous pouvez utiliser les dernières informations consultées relatives aux services dans IAM pour mettre à jour vos politiques SCP afin de limiter l'accès uniquement aux services AWS dont vous avez besoin. Pour de plus amples informations, consultez Affichage des dernière informations consultées pour Organizations dans le Guide de l'utilisateur IAM.

Dans cette rubrique :

• Après avoir activé les politiques de contrôle des services pour votre organisation, vous pouvez créer une politique.

• Lorsque vos exigences de SCP changent, vous pouvez mettre à jour une politique existante.

• Lorsque vous n'avez plus besoin d'une politique et après l'avoir détachée de toutes les unités d'organisation (UO) et de tous les comptes, vous pouvez la supprimer.

Création d'une politique de contrôle des services (SCP)

Autorisations minimales

Pour créer des SCP, vous avez besoin d'une autorisation pour effectuer l'action suivante :

• organizations:CreatePolicy

AWS Management Console

Pour créer une politique de contrôle des services

1. Connectez-vous à la console AWS Organizations. Vous devez vous connecter en tant qu'utilisateur IAM, assumer un rôle IAM ou vous connecter en tant qu'utilisateur racine (non recommandé) dans le compte de gestion de l'organisation.

2. Sur la page Politiques de contrôle des services, choisissez Créer une politique.

3. Dans la page Créer une politique de contrôle des services, saisissez un Nom de politique et éventuellement une Description de la politique.

4. (Facultatif) Ajoutez une ou plusieurs balises en choisissant Ajouter une balise, puis en saisissant une clé et éventuellement une valeur. Laisser la valeur vide la définit à une chaîne vide ; elle ne prend pas la valeur null. Vous pouvez attacher jusqu'à 50 balises à une politique. Pour de plus amples informations, consultez Balisage de ressources AWS Organizations.

   Note

   Dans la plupart des étapes qui suivent, nous discutons de l'utilisation des contrôles sur le côté droit de l'éditeur JSON pour construire la politique, élément par élément. Alternativement, vous pouvez, à tout moment, simplement saisir du texte dans l'éditeur JSON sur le côté gauche de la fenêtre. Vous pouvez taper directement ou procéder par copier-coller.

5. Pour créer la politique, les étapes ultérieures varient selon que vous souhaitez ajouter une instruction qui refuse ou autorise l'accès. Pour de plus amples informations, veuillez consulter Évaluation du SCP. Si vous utilisez des instructions de Deny, vous disposez d'un contrôle supplémentaire, car vous pouvez limiter l'accès à des ressources spécifiques, définir des conditions pour le moment où les politiques de contrôle des services sont en vigueur et utiliser l'élément NotAction. Pour de plus amples informations sur la syntaxe, consultez Syntaxe d'une stratégie de contrôle de service.

   Pour ajouter une instruction qui refuse l'accès :

   1. Dans le volet droit Modifier l'instruction de l'éditeur, sous Ajouter des actions, choisissez un service AWS.

      À mesure que vous choisissez des options sur la droite, l'éditeur JSON est mis à jour pour afficher la politique JSON correspondante à gauche.

   2. Lorsque vous sélectionnez un service, une liste s'ouvre qui contient les actions disponibles pour ce service. Vous pouvez choisir Toutes les actions ou choisir une ou plusieurs actions individuelles que vous souhaitez refuser.

      L'éditeur JSON situé à gauche se met à jour pour inclure les actions que vous avez sélectionnées.

      Note

      Si vous sélectionnez une action individuelle, puis revenez en arrière et sélectionnez également Toutes les actions, l'entrée attendue pour servicename/* est ajoutée au JSON, mais les actions individuelles que vous avez précédemment sélectionnées sont laissées dans le JSON et ne sont pas supprimées.

   3. Si vous souhaitez ajouter des actions à partir de services supplémentaires, vous pouvez choisir Tous les services en haut de la zone Instruction, puis répéter les deux étapes précédentes selon vos besoins.

   4. Spécifiez les ressources à inclure dans l'instruction.

      • À côté de Ajouter une ressource, choisissez Ajouter.

      • Dans la boîte de dialogue Ajouter une ressource, choisissez dans la liste le service dont les ressources doivent être contrôlées. Vous ne pouvez choisir que parmi les services que vous avez sélectionnés à l'étape précédente.

      • Sous Type de ressource, choisissez le type de ressource que vous souhaitez contrôler.

      • Enfin, complétez l'Amazon Resource Name (ARN) dans ARN de la ressource pour identifier la ressource spécifique dont vous souhaitez contrôler l'accès. Vous devez remplacer tous les espaces réservés qui sont entourés d'accolades {}. Vous pouvez spécifier des caractères génériques (*) là où la syntaxe ARN de ce type de ressource le permet. Reportez-vous à la documentation d'un type de ressource spécifique pour plus d'informations sur l'emplacement où vous pouvez utiliser des caractères génériques.

      • Enregistrez votre ajout à la politique en choisissant Ajouter la ressource. L'élément Resource dans le JSON reflète vos ajouts ou modifications. L'élément Ressource est obligatoire.

      Astuce

      Pour spécifier toutes les ressources pour le service sélectionné, choisissez Toutes les ressources dans la liste ou modifiez directement l'instruction Resource dans le JSON pour lire "Resource":"*".

   5. (Facultatif) Pour spécifier des conditions qui limitent le moment où une instruction de politique est en vigueur, à côté de Ajouter une condition, choisissez Ajouter.

      • Clé de condition – Dans la liste, vous pouvez choisir n'importe quelle clé de condition disponible pour tous les services AWS (par exemple, aws:SourceIp) ou une clé spécifique à un service pour un seul des services que vous avez sélectionnés pour cette instruction.

      • Qualificateur – (Facultatif) Si vous saisissez plusieurs valeurs pour la condition selon la clé de condition spécifiée), vous pouvez spécifier un qualificateur pour tester les demandes par rapport aux valeurs.

        • Par défaut – Teste une valeur unique de la demande par rapport à la valeur de la clé de condition de la politique. La condition renvoie la valeur Vrai si la valeur dans la demande correspond à la valeur de la politique. Si la politique spécifie plusieurs valeurs, elles sont traitées comme un test « ou » et la condition renvoie Vrai si les valeurs de la demande correspondent à l'une des valeurs de la politique.

        • Pour n'importe quelle valeur dans une demande – Lorsque la demande peut avoir plusieurs valeurs, cette option teste si au moins une des valeurs de demande correspond à au moins l'une des valeurs de clé de condition de la politique. La condition renvoie la valeur Vrai si l'une des valeurs de clé de la demande correspond à l'une des valeurs de condition de la politique. Si aucune clé ne correspond ou si l'ensemble de données est inexistant (null), la condition renvoie la valeur Faux.

        • Pour toutes les valeurs d'une demande – Lorsque la demande peut avoir plusieurs valeurs, cette option teste si chaque valeur de la demande correspond à une valeur de clé de condition dans la politique. La condition renvoie la valeur Vrai si chaque valeur de clé de la demande correspond à au moins une valeur de la politique. Elle renvoie également la valeur Vrai si la demande ne comprend pas de clés ou si les valeurs de clé aboutissent à un ensemble de données nul, tel qu'une chaîne vide.

      • Opérateur – L'opérateurspécifie le type de comparaison à effectuer. Les options présentées dépendent du type de données de la clé de condition. Par exemple, la clé de condition globale aws:CurrentTime vous permet de choisir parmi l'un des opérateurs de comparaison de dates ou Null, que vous pouvez utiliser pour tester si la valeur est présente dans la demande.

        Pour tous les opérateurs de conditions, sauf le test Null, vous pouvez choisir l'option IfExists.

      • Valeur – (Facultatif) Spécifiez une ou plusieurs valeurs pour lesquelles vous souhaitez tester la demande.

      Choisissez Ajouter une condition.

      Pour de plus amples informations sur les clés de condition, consultez Éléments de politique JSON IAM : Condition dans le Guide de l'utilisateur IAM.

   6. (Facultatif) Pour utiliser l'élément NotAction afin de refuser l'accès à toutes les actions à l'exception de celles que vous avez spécifiées, remplacez Action dans le panneau de gauche par NotAction, juste après l'élément "Effect": "Deny",. Pour plus d'informations, consultez Éléments de politique JSON IAM : NotAction dans le Guide de l'utilisateur IAM.

6. Pour ajouter une instruction qui autorise l'accès :

   1. Dans l'éditeur JSON à gauche, changez la ligne "Effect": "Deny" en "Effect": "Allow".

      À mesure que vous choisissez des options sur la droite, l'éditeur JSON est mis à jour pour afficher la politique JSON correspondante à gauche.

   2. Lorsque vous sélectionnez un service, une liste s'ouvre qui contient les actions disponibles pour ce service. Vous pouvez choisir Toutes les actions ou choisir une ou plusieurs actions individuelles que vous souhaitez autoriser.

      L'éditeur JSON situé à gauche se met à jour pour inclure les actions que vous avez sélectionnées.

      Note

      Si vous sélectionnez une action individuelle, puis revenez en arrière et sélectionnez également Toutes les actions, l'entrée attendue pour servicename/* est ajoutée au JSON, mais les actions individuelles que vous avez précédemment sélectionnées sont laissées dans le JSON et ne sont pas supprimées.

   3. Si vous souhaitez ajouter des actions à partir de services supplémentaires, vous pouvez choisir Tous les services en haut de la zone Instruction, puis répéter les deux étapes précédentes selon vos besoins.

7. (Facultatif) Pour ajouter une instruction supplémentaire à la politique, choisissez Ajouter une instruction) et utilisez l'éditeur visuel pour créer la prochaine instruction.

8. Lorsque vous avez fini d'ajouter des instructions, choisissez Créer la politique) pour enregistrer la politique de contrôle des services (SCP) achevée.

Votre nouvelle politique SCP s'affiche dans la liste des politiques de l'organisation. Vous pouvez désormais attacher votre SCP à la racine, aux UO ou aux comptes.

AWS CLI & AWS SDKs

Pour créer une politique de contrôle des services

Vous pouvez utiliser l'une des commandes suivantes pour créer une politique SCP :

• AWS CLI : create-policy

  L'exemple suivant suppose que vous disposez d'un fichier nommé Deny-IAM.json contenant le texte de politique JSON. Il utilise ce fichier pour créer une nouvelle politique de contrôle des services.

  $ aws organizations create-policy \
      --content file://Deny-IAM.json \
      --description "Deny all IAM actions" \
      --name DenyIAMSCP \
      --type SERVICE_CONTROL_POLICY
  {
      "Policy": {
          "PolicySummary": {
              "Id": "p-i9j8k7l6m5",
              "Arn": "arn:aws:organizations::123456789012:policy/o-aa111bb222/service_control_policy/p-i9j8k7l6m5",
              "Name": "DenyIAMSCP",
              "Description": "Deny all IAM actions",
              "Type": "SERVICE_CONTROL_POLICY",
              "AwsManaged": false
          },
           "Content": "{\"Version\":\"2012-10-17\",\"Statement\":[{\"Sid\":\"Statement1\",\"Effect\":\"Deny\",\"Action\":[\"iam:*\"],\"Resource\":[\"*\"]}]}"
      }
  }

• SDK AWS : CreatePolicy

Note

Les politiques SCP n'ont pas d'effet sur le compte de gestion et dans quelques autres situations. Pour de plus amples informations, consultez Tâches et entités non restreintes par les SCP.

Mise à jour d'une politique de contrôle des services (SCP)

Une fois connecté au compte de gestion de votre organisation, vous pouvez renommer ou modifier le contenu d'une politique. La modification du contenu d'une politique SCP affecte immédiatement tous les utilisateurs, groupes et rôles de tous les comptes attachés.

Autorisations minimales

Pour mettre à jour une SCP, vous devez être autorisé à effectuer les actions suivantes :

• organizations:UpdatePolicy avec un élément Resource dans la même instruction de politique que celle qui inclut le nom ARN de la politique spécifiée (ou « * »).

• organizations:DescribePolicy avec un élément Resource dans la même instruction de politique que celle qui inclut le nom ARN de la politique spécifiée (ou « * »).

AWS Management Console

Pour mettre à jour une politique

1. Connectez-vous à la console AWS Organizations. Vous devez vous connecter en tant qu'utilisateur IAM, assumer un rôle IAM ou vous connecter en tant qu'utilisateur racine (non recommandé) dans le compte de gestion de l'organisation.

2. Dans la page Politiques de contrôle des services, choisissez le nom de la politique que vous souhaitez mettre à jour.

3. Sur la page des détails de la politique, choisissez Modifier la politique.

4. Effectuez une ou plusieurs des modifications suivantes :

   • Vous pouvez renommer la politique en saisissant un nouveau nom dans Nom de la politique.

   • Vous pouvez en changer la description en saisissant un nouveau texte dans Description de la politique.

   • Vous pouvez modifier le texte de la politique en modifiant la politique au format JSON dans le panneau de gauche. Par ailleurs, vous pouvez choisir une instruction dans l'éditeur situé à droite et en modifier les éléments à l'aide des commandes. Pour de plus amples informations sur chaque contrôle, consultez Création d'une procédure SCP plus haut dans cette rubrique.

5. Lorsque vous avez terminé, choisissez Enregistrer les modifications.

AWS CLI & AWS SDKs

Pour mettre à jour une politique

Vous pouvez utiliser l'une des commandes suivantes pour mettre à jour une politique :

• AWS CLI : update-policy

  L'exemple suivant renomme une politique.

  $ aws organizations update-policy \
      --policy-id p-i9j8k7l6m5 \
      --name "MyRenamedPolicy"
  {
      "Policy": {
          "PolicySummary": {
              "Id": "p-i9j8k7l6m5",
              "Arn": "arn:aws:organizations::123456789012:policy/o-aa111bb222/service_control_policy/p-i9j8k7l6m5",
              "Name": "MyRenamedPolicy",
              "Description": "Blocks all IAM actions",
              "Type": "SERVICE_CONTROL_POLICY",
              "AwsManaged": false
          },
          "Content": "{\"Version\":\"2012-10-17\",\"Statement\":[{\"Sid\":\"Statement1\",\"Effect\":\"Deny\",\"Action\":[\"iam:*\"],\"Resource\":[\"*\"]}]}"
      }
  }

  L'exemple suivant ajoute ou modifie la description d'une politique de contrôle des services.

  $ aws organizations update-policy \
      --policy-id p-i9j8k7l6m5 \
      --description "My new policy description"
  {
      "Policy": {
          "PolicySummary": {
              "Id": "p-i9j8k7l6m5",
              "Arn": "arn:aws:organizations::123456789012:policy/o-aa111bb222/service_control_policy/p-i9j8k7l6m5",
              "Name": "MyRenamedPolicy",
              "Description": "My new policy description",
              "Type": "SERVICE_CONTROL_POLICY",
              "AwsManaged": false
          },
          "Content": "{\"Version\":\"2012-10-17\",\"Statement\":[{\"Sid\":\"Statement1\",\"Effect\":\"Deny\",\"Action\":[\"iam:*\"],\"Resource\":[\"*\"]}]}"
      }
  }

  L'exemple suivant modifie le document de politique de la SCP en spécifiant un fichier contenant le nouveau texte de politique JSON.

  $ aws organizations update-policy \
      --policy-id p-zlfw1r64 
      --content file://MyNewPolicyText.json
  {
      "Policy": {
          "PolicySummary": {
              "Id": "p-i9j8k7l6m5",
              "Arn": "arn:aws:organizations::123456789012:policy/o-aa111bb222/service_control_policy/p-i9j8k7l6m5",
              "Name": "MyRenamedPolicy",
              "Description": "My new policy description",
              "Type": "SERVICE_CONTROL_POLICY",
              "AwsManaged": false
          },
          "Content": "{\"Version\":\"2012-10-17\",\"Statement\":[{\"Sid\":\"AModifiedPolicy\",\"Effect\":\"Deny\",\"Action\":[\"iam:*\"],\"Resource\":[\"*\"]}]}"
      }
  }

• SDK AWS : UpdatePolicy

Pour plus d'informations

Pour plus d'informations sur la création de politiques SCP, consultez les rubriques suivantes :

• Exemples de politiques de contrôle des services

• Syntaxe d'une stratégie de contrôle de service

Modification de balises attachées à une SCP

Lorsque vous vous connectez au compte de gestion de votre organisation, vous pouvez ajouter ou supprimer les balises attachées à une politique SCP. Pour plus d'informations sur le balisage, consultez Balisage de ressources AWS Organizations.

Autorisations minimales

Pour modifier les balises attachées à une politique SCP dans votre organisation AWS, vous devez disposer des autorisations suivantes :

• organizations:DescribeOrganization — requis uniquement si vous utilisez la console Organizations

• organizations:DescribePolicy — requis uniquement si vous utilisez la console Organizations

• organizations:TagResource

• organizations:UntagResource

AWS Management Console

Pour modifier les balises attachées à une politique de contrôle des services (SCP)

1. Connectez-vous à la console AWS Organizations. Vous devez vous connecter en tant qu'utilisateur IAM, assumer un rôle IAM ou vous connecter en tant qu'utilisateur racine (non recommandé) dans le compte de gestion de l'organisation.

2. Dans la page Politiques de contrôle des services, choisissez le nom de la politique à laquelle sont attachées les balises que vous souhaitez modifier.

3. Sur la page des détails de politique, cochez la caseBalises, puis choisissezGérer les balises.

4. Effectuez une ou plusieurs des modifications suivantes :

   • Modifiez la valeur d'une balise en entrant une nouvelle valeur en remplacement de l'ancienne. Vous ne pouvez pas modifier directement la clé de la balise. Pour modifier une clé, vous devez supprimer la balise avec l'ancienne clé, puis ajouter une balise avec la nouvelle clé.

   • Vous pouvez supprimer une balise existante en choisissant Supprimer).

   • Ajoutez une nouvelle paire clé/valeur de balise. Choisissez Ajouter une balise, puis entrez le nouveau nom de la clé et éventuellement une valeur dans les champs prévus. Si vous laissez vide le champ Valeur, la valeur est une chaîne vide ; elle ne prend pas la valeur null.

5. Lorsque vous avez terminé, sélectionnez Enregistrer les modifications.

AWS CLI & AWS SDKs

Pour modifier les balises attachées à une politique de contrôle des services (SCP)

Vous pouvez utiliser l'une des commandes suivantes pour modifier les balises attachées à une SCP :

• AWS CLI : tag-resource et untag-resource

• SDK AWS : TagResource et UntagResource

Suppression d'une politique de contrôle des services (SCP)

Quand vous êtes connecté au compte de gestion de votre organisation, vous pouvez supprimer une politique dont vous n'avez plus besoin dans votre organisation.

Remarques

• Avant de supprimer une politique, vous devez d'abord la détacher de toutes les entités attachées.

• Vous ne pouvez pas supprimer les politiques SCP gérées par AWS, comme celle nommée FullAWSAccess.

Autorisations minimales

Pour supprimer une SCP, vous devez être autorisé à effectuer l'action suivante :

• organizations:DeletePolicy

AWS Management Console

Pour supprimer une SCP

1. Connectez-vous à la console AWS Organizations. Vous devez vous connecter en tant qu'utilisateur IAM, assumer un rôle IAM ou vous connecter en tant qu'utilisateur racine (non recommandé) dans le compte de gestion de l'organisation.

2. Dans la page Politiques de contrôle des services, choisissez le nom de la SCP que vous souhaitez supprimer.

3. La politique à supprimer doit d'abord être détachée de l'ensemble des racines, unités d'organisation et comptes. Choisissez l'onglet Cibles, cochez la case d'option en regard de chaque racine, unité d'organisation ou compte affiché dans la liste Cibles, puis choisissez Détacher. Dans la boîte de dialogue de confirmation, choisissez Détacher. Répétez l'opération jusqu'à ce que toutes les cibles soient supprimées.

4. En haut de la page, choisissez Supprimer.

5. Dans la boîte de dialogue de confirmation, saisissez le nom de la politique, puis choisissez Supprimer.

AWS CLI & AWS SDKs

Pour supprimer une SCP

Vous pouvez utiliser l'une des commandes suivantes pour supprimer une politique :

• AWS CLI : delete-policy

  L'exemple suivant supprime la SCP spécifiée.

  $ aws organizations delete-policy \
      --policy-id p-i9j8k7l6m5

  Cette commande ne produit aucune sortie lorsqu'elle réussit.

• SDK AWS : DeletePolicy