Contoh kebijakan kontrol layanan

Contoh Kebijakan Kontrol Layanan (SCP) yang ditampilkan dalam topik ini hanya untuk tujuan informasi.

Sebelum menggunakan contoh-contoh ini

Sebelum Anda menggunakan SCP contoh ini di organisasi Anda, lakukan hal berikut:

• Tinjau dan sesuaikan SCP dengan cermat berdasarkan kebutuhan unik Anda.

• Benar-benar menguji SCP di lingkungan Anda dengan layanan AWS yang Anda gunakan.

  Contoh kebijakan di bagian ini menunjukkan implementasi dan penggunaan SCP. Contoh-contoh tersebut tidak dimaksudkan untuk ditafsirkan sebagai rekomendasi AWS resmi atau praktik terbaik untuk diimplementasikan persis seperti yang ditunjukkan. Adalah tanggung jawab Anda untuk secara hati-hati menguji setiap kebijakan berbasis penolakan untuk kesesuaiannya untuk menyelesaikan kebutuhan bisnis di lingkungan Anda. Kebijakan kontrol layanan berbasis penolakan dapat secara tidak sengaja membatasi atau memblokir penggunaan AWS kecuali jika Anda menambahkan pengecualian yang diperlukan untuk kebijakan. Untuk contoh pengecualian seperti itu, lihat contoh pertama yang membebaskan layanan global dari aturan yang memblokir akses ke Wilayah AWS yang tidak diinginkan.

• Ingat bahwa SCP memengaruhi setiap pengguna dan peran, termasuk pengguna root, di setiap akun yang dilampirkan.

Tip

Anda dapat menggunakan Data layanan terakhir diakses di IAM untuk memperbarui SCP Anda untuk membatasi akses hanya ke layanan AWS yang Anda butuhkan. Untuk informasi selengkapnya, lihat: Melihat Data Layanan Organizations Terakhir Diakses untuk Organizations di Panduan Pengguna IAM.

Setiap kebijakan berikut adalah contoh dari strategi kebijakan daftar tolak. Kebijakan daftar tolak harus dilampirkan bersama dengan kebijakan lain yang memungkinkan tindakan yang disetujui di akun yang terpengaruh. Misalnya, kebijakan FullAWSAccess default memungkinkan penggunaan semua layanan dalam sebuah akun. Kebijakan ini dilampirkan secara default ke akar, semua unit organizational (UO), dan semua akun. Kebijakan tersebut tidak benar-benar memberikan izin; tidak ada SCP yang melakukannya. Sebaliknya, kebijakan tersebut memungkinkan administrator dalam akun tersebut untuk mendelegasikan akses ke tindakan tersebut dengan melampirkan kebijakan izin AWS Identity and Access Management (IAM) standar untuk pengguna, peran, atau grup di akun. Masing-masing kebijakan daftar tolak ini kemudian menimpa kebijakan apapun dengan memblokir akses ke layanan atau tindakan yang ditentukan.

Daftar Isi

• Contoh Umum
  • Menolak akses ke AWS berdasarkan Wilayah AWS yang diminta
  • Mencegah pengguna dan peran IAM membuat perubahan tertentu
  • Mencegah pengguna dan peran IAM membuat perubahan yang ditentukan, dengan pengecualian untuk peran admin tertentu
  • Mewajibkan MFA untuk melakukan tindakan API
  • Memblokir akses layanan untuk pengguna akar
  • Mencegah akun anggota keluar dari organisasi
• Contoh SCP untuk Amazon CloudWatch
  • Mencegah pengguna menonaktifkan CloudWatch atau mengubah konfigurasinya
• Contoh SCP untuk AWS Config
  • Mencegah pengguna menonaktifkan AWS Config atau mengubah aturannya
• Contoh SCP untuk Amazon Elastic Compute Cloud (Amazon EC2)
  • Mengharuskan instans Amazon EC2 untuk menggunakan jenis tertentu
  • Mencegah peluncuran instans EC2 tanpa IMDSv2
  • Mencegah penonaktifan enkripsi Amazon EBS default
• Contoh SCP untuk Amazon GuardDuty
  • Mencegah pengguna menonaktifkan GuardDuty atau memodifikasi konfigurasinya
• Contoh SCP untuk AWS Resource Access Manager
  • Mencegah berbagi eksternal
  • Mengizinkan akun tertentu untuk hanya berbagi jenis sumber daya yang ditentukan
  • Mencegah berbagi dengan organisasi atau unit organisasi (OU)
  • Izinkan berbagi hanya dengan pengguna dan peran IAM tertentu
• Pengendali Pemulihan Pemulihan Aplikasi
  • Cegah pengguna memperbarui status kontrol perutean Route 53 ARC
• Contoh SCP untuk Amazon S3
  • Mencegah unggahan objek tak terenkripsi Amazon S3
• Contoh SCP untuk penandaan sumber daya
  • Mengharuskan tag pada sumber daya yang dibuat tertentu
  • Mencegah tag agar tidak dimodifikasi kecuali oleh prinsipal utama yang berwenang
• Contoh SCP untuk Amazon Virtual Private Cloud (Amazon VPC)
  • Mencegah pengguna menghapus log alur Amazon VPC
  • Mencegah VPC apa pun yang belum memiliki akses internet untuk mendapatkannya