Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Contoh kebijakan kontrol layanan
Contoh Kebijakan Kontrol Layanan (SCP) yang ditampilkan dalam topik ini hanya untuk tujuan informasi.
Sebelum menggunakan contoh-contoh ini
Sebelum Anda menggunakan SCP contoh ini di organisasi Anda, lakukan hal berikut:
-
Tinjau dan sesuaikan SCP dengan cermat berdasarkan kebutuhan unik Anda.
-
Benar-benar menguji SCP di lingkungan Anda dengan layanan AWS yang Anda gunakan.
Contoh kebijakan di bagian ini menunjukkan implementasi dan penggunaan SCP. Contoh-contoh tersebut tidak dimaksudkan untuk ditafsirkan sebagai rekomendasi AWS resmi atau praktik terbaik untuk diimplementasikan persis seperti yang ditunjukkan. Adalah tanggung jawab Anda untuk secara hati-hati menguji setiap kebijakan berbasis penolakan untuk kesesuaiannya untuk menyelesaikan kebutuhan bisnis di lingkungan Anda. Kebijakan kontrol layanan berbasis penolakan dapat secara tidak sengaja membatasi atau memblokir penggunaan AWS kecuali jika Anda menambahkan pengecualian yang diperlukan untuk kebijakan. Untuk contoh pengecualian seperti itu, lihat contoh pertama yang membebaskan layanan global dari aturan yang memblokir akses ke Wilayah AWS yang tidak diinginkan.
-
Ingat bahwa SCP memengaruhi setiap pengguna dan peran, termasuk pengguna root, di setiap akun yang dilampirkan.
Tip
Anda dapat menggunakan Data layanan terakhir diakses di IAM untuk memperbarui SCP Anda untuk membatasi akses hanya ke layanan AWS yang Anda butuhkan. Untuk informasi selengkapnya, lihat: Melihat Data Layanan Organizations Terakhir Diakses untuk Organizations di Panduan Pengguna IAM.
Setiap kebijakan berikut adalah contoh dari strategi kebijakan daftar tolak. Kebijakan daftar tolak harus dilampirkan bersama dengan kebijakan lain yang memungkinkan tindakan yang disetujui di akun yang terpengaruh. Misalnya, kebijakan FullAWSAccess
default memungkinkan penggunaan semua layanan dalam sebuah akun. Kebijakan ini dilampirkan secara default ke akar, semua unit organizational (UO), dan semua akun. Kebijakan tersebut tidak benar-benar memberikan izin; tidak ada SCP yang melakukannya. Sebaliknya, kebijakan tersebut memungkinkan administrator dalam akun tersebut untuk mendelegasikan akses ke tindakan tersebut dengan melampirkan kebijakan izin AWS Identity and Access Management (IAM) standar untuk pengguna, peran, atau grup di akun. Masing-masing kebijakan daftar tolak ini kemudian menimpa kebijakan apapun dengan memblokir akses ke layanan atau tindakan yang ditentukan.
Daftar Isi
- Contoh Umum
- Menolak akses ke AWS berdasarkan Wilayah AWS yang diminta
- Mencegah pengguna dan peran IAM membuat perubahan tertentu
- Mencegah pengguna dan peran IAM membuat perubahan yang ditentukan, dengan pengecualian untuk peran admin tertentu
- Mewajibkan MFA untuk melakukan tindakan API
- Memblokir akses layanan untuk pengguna akar
- Mencegah akun anggota keluar dari organisasi
- Contoh SCP untuk Amazon CloudWatch
- Contoh SCP untuk AWS Config
- Contoh SCP untuk Amazon Elastic Compute Cloud (Amazon EC2)
- Contoh SCP untuk Amazon GuardDuty
- Contoh SCP untuk AWS Resource Access Manager
- Pengendali Pemulihan Pemulihan Aplikasi
- Contoh SCP untuk Amazon S3
- Contoh SCP untuk penandaan sumber daya
- Contoh SCP untuk Amazon Virtual Private Cloud (Amazon VPC)