As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Exemplos de política de controle de serviço
O exemplo de políticas de controle de serviço (SCPs) exibido neste tópico tem finalidade apenas informativa.
Antes de usar esses exemplos
Antes de usar esses exemplos de SCPs em sua organização, faça o seguinte:
-
Revise atentamente e personalize os SCPs de acordo com suas necessidades específicas.
-
Teste detalhadamente os SCPs em seu ambiente com os serviços AWS que você usa.
Os exemplos de políticas nesta seção demonstram a implementação e o uso de SCPs. Eles não são destinados a ser interpretado como recomendações oficiais ou práticas recomendadas da AWS a serem implementadas exatamente como mostrado. É sua responsabilidade testar cuidadosamente quaisquer políticas baseadas em negação quanto à sua adequação para resolver os requisitos de negócios do seu ambiente. As políticas de controle de serviço baseadas em negação podem limitar ou bloquear involuntariamente o uso de serviços da AWS, a menos que você adicione as exceções necessárias à política. Para obter um exemplo dessa exceção, consulte o primeiro exemplo que isenta os serviços globais das regras que bloqueiam o acesso a Regiões da AWS indesejadas.
-
Lembre-se de que uma SCP afeta cada usuário e perfil, inclusive o usuário raiz, em cada conta à qual ela é anexada.
dica
Você pode usar os dados de serviços acessados mais recentemente no IAM para atualizar suas SCPs para restringir o acesso a apenas os serviços da AWS necessários. Para obter mais informações, consulte Visualizar dados de serviço da organização acessados mais recentemente da organização no Guia do usuário do IAM.
Todas as políticas a seguir são um exemplo de uma estratégia de política de lista de negações. As políticas da lista de negações devem ser anexadas a outras políticas que permitam as ações aprovadas nas contas afetadas. Por exemplo, a política padrão FullAWSAccess permite o uso de todos os serviços em uma conta. Essa política é anexada por padrão na raiz, em todas as unidades organizacionais (UOs) e em todas as contas. Na verdade, não concede as permissões; nenhuma SCP faz isso. Em vez disso, ela permite que os administradores nessa conta deleguem acesso a essas ações anexando políticas de permissão padrão do AWS Identity and Access Management (IAM) a usuários, funções ou grupos na conta. Todas essas políticas de lista de negações substituem qualquer política bloqueando o acesso a serviços ou ações especificados.
Sumário
- Exemplos gerais
- Negar acesso a AWS com base na Região da AWS solicitada
- Evite que usuários e funções do IAM façam determinadas alterações
- Impedir que usuários e funções do IAM façam alterações especificadas, com uma exceção para uma função de administrador especificada
- Exigir MFA para executar uma ação de API
- Bloquear o acesso ao serviço para o usuário root
- Impedir que a conta membro saia da organização
- Exemplo de SCPs para o Amazon CloudWatch
- Exemplo de SCPs para o AWS Config
- Exemplo de SCPs para Amazon Elastic Compute Cloud (Amazon EC2)
- Exemplo de SCPs para o Amazon GuardDuty
- Exemplo de SCPs para o AWS Resource Access Manager
- Exemplos de SPCs para Amazon Route 53 Application Recovery Controller
- Exemplos de SCPs para o Amazon S3
- Exemplo de SCPs para marcação de recursos
- Exemplo de SCPs para a Amazon Virtual Private Cloud (Amazon VPC)
