Exemples de politiques de contrôle des services - AWS Organizations

Exemples de politiques de contrôle des services

Les exemples de politiques de contrôle des services (SCP) affichés dans cette rubrique sont fournis à titre d'information uniquement.

Avant d'utiliser ces exemples

Avant de tenter d'utiliser ces exemples de politiques de contrôle des services dans votre organisation, prenez les précautions suivantes :

  • Vérifiez attentivement et personnalisez les SCP en fonction de vos exigences uniques.

  • Testez soigneusement les SCP dans votre environnement avec les services AWS que vous utilisez.

    Les exemples de politiques présentés dans cette section illustrent la mise en œuvre et l'utilisation des politiques SCP. Ils ne sont pas destinés à être interprétés comme des recommandations ou des bonnes pratiques AWS officielles à mettre en œuvre exactement comme indiqué. Il est de votre responsabilité de tester soigneusement toute politique à base de refus afin de déterminer si elle répond aux exigences professionnelles de votre environnement. Les politiques de contrôle des services à base de refus peuvent limiter ou bloquer involontairement votre utilisation de services AWS, à moins d'ajouter les exceptions nécessaires à la politique. Pour obtenir un exemple d'exception, consultez le premier exemple qui exempte les services globaux des règles qui bloquent l'accès aux Régions AWS indésirables.

  • N'oubliez pas qu'une politique de contrôle des services affecte chaque utilisateur et chaque rôle, y compris l'utilisateur root, dans chaque compte auquel elle est attachée.

Astuce

Vous pouvez utiliser les dernières informations consultées relatives aux services dans IAM pour mettre à jour vos politiques SCP afin d'en limiter l'accès uniquement aux services AWS dont vous avez besoin. Pour de plus amples informations, consultez Affichage des dernière informations consultées pour Organizations dans le Guide de l'utilisateur IAM.

Chacune des politiques suivantes est un exemple de stratégie de politique de liste de refus. Les politiques de liste de refus doivent être attachées avec d'autres politiques qui autorisent les actions approuvées dans les comptes concernés. Par exemple, la politique FullAWSAccess par défaut autorise l'utilisation de tous les services d'un compte. Cette politique est attachée par défaut à la racine, à toutes les unités d'organisation et à tous les comptes. Elle n'accorde en fait pas réellement d'autorisations ; aucune politique SCP ne le fait. Au lieu de cela, elle permet aux administrateurs de ce compte de déléguer l'accès à ces actions en attachant des politiques d'autorisations AWS Identity and Access Management (IAM) standard à des utilisateurs, des rôles ou des groupes dans le compte. Chacune de ces politiques de liste de refus remplace toute autre politique en bloquant l'accès aux services ou actions spécifiés.

Table des matières