Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Esempi di policy di controllo dei servizi
Le policy di controllo dei servizi (SCP) di esempio riportate in questo argomento sono solo a scopo informativo.
Prima di utilizzare questi esempi
Prima di utilizzare queste SCP di esempio nella tua organizzazione, esegui le operazioni descritte di seguito:
-
Esamina attentamente e personalizza le SCP per i tuoi requisiti specifici.
-
Testa accuratamente le SCP nel tuo ambiente con i servizi AWS che utilizzi.
Le policy di esempio riportate in questa sezione illustrano l'implementazione e l'utilizzo delle SCP. Non devono essere interpretate come suggerimenti o best practice AWS ufficiali da implementare esattamente come mostrato. È tua responsabilità testare accuratamente l'idoneità di qualsiasi policy basata su rifiuto a risolvere i requisiti aziendali del tuo ambiente. Le policy di controllo dei servizi basate sul diniego possono limitare o bloccare involontariamente l'utilizzo dei servizi AWS a meno che non si aggiungano le opportune eccezioni alla policy. Per un esempio di tale eccezione, consulta il primo esempio che esenta i servizi globali dalle regole che bloccano l'accesso a Regioni AWS indesiderate.
-
Ricorda che una SCP influisce su ogni utente e ruolo, incluso l'utente root, in ogni account a cui è collegata.
Suggerimento
È possibile utilizzare i dati sull'ultimo accesso al servizio in IAM per aggiornare le SCP in modo da limitare l'accesso esclusivamente ai servizi AWS necessari. Per ulteriori informazioni, consulta Visualizzazione degli ultimi dati di accesso al servizio per Organizations nella Guida per l'utente di IAM.
Ciascuna delle seguenti policy è l'esempio di una strategia di policy di elenco di rifiuto. Le policy di elenco di rifiuto devono essere collegate assieme ad altre policy che consentono le operazioni approvate negli account interessati. Ad esempio, la policy FullAWSAccess predefinita permette l'uso di tutti i servizi in un account. Questa policy è collegata per impostazione predefinita alla root, a tutte le unità organizzative (UO) e a tutti gli account. In realtà non concede alcuna autorizzazione (nessuna SCP lo fa). Piuttosto, consente agli amministratori nell'account di delegare l'accesso alle operazioni collegando le policy delle autorizzazioni AWS Identity and Access Management (IAM) standard a utenti, ruoli o gruppi nell'account. Ognuna di queste policy di elenco di rifiuto sovrascrive qualsiasi policy bloccando l'accesso ai servizi o alle operazioni specificati.
Examples (Esempi)
- Esempi generali
- Rifiuta l'accesso a AWS in base alla Regione AWS richiesta.
- Impedire agli utenti e ai ruoli IAM di apportare alcune modifiche
- Impedire agli utenti e ai ruoli IAM di apportare modifiche specifiche, con un'eccezione per un ruolo di amministratore specificato
- Richiedere la MFA per eseguire un'operazione API
- Bloccare l'accesso al servizio per l'utente root
- L'account di gestione può anche impedire agli account membri di lasciare l'organizzazione.
- SCP di esempio per Amazon CloudWatch
- SCP di esempio per AWS Config
- SCP di esempio per Amazon Elastic Compute Cloud (Amazon EC2)
- SCP di esempio per Amazon GuardDuty
- SCP di esempio per AWS Resource Access Manager
- Esempi di SCP per il Sistema di controllo Amazon Route 53 per il ripristino di applicazioni (Route53 ARC)
- Esempi di SCP per Amazon S3
- SCP di esempio per l'assegnazione di tag alle risorse
- SCP di esempio per Amazon Virtual Private Cloud (Amazon VPC)
