Exemplos de política de controle de serviço - AWS Organizations

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Exemplos de política de controle de serviço

Os exemplos de políticas de controle de serviço (SCPs) exibidos neste tópico são apenas para fins informativos.

Antes de usar esses exemplos

Antes de usar esses exemplos SCPs em sua organização, faça o seguinte:

  • Analise e personalize cuidadosamente o SCPs de acordo com seus requisitos exclusivos.

  • Teste minuciosamente o SCPs em seu ambiente com o Serviços da AWS que você usa.

    Os exemplos de políticas nesta seção demonstram a implementação e o uso deSCPs. Eles não são destinados a ser interpretado como recomendações oficiais ou práticas recomendadas da AWS a serem implementadas exatamente como mostrado. É sua responsabilidade testar cuidadosamente quaisquer políticas baseadas em negação quanto à sua adequação para resolver os requisitos de negócios do seu ambiente. Políticas de controle de serviço baseadas em negação podem, sem querer, limitar ou bloquear seu uso, Serviços da AWS a menos que você adicione as exceções necessárias à política. Para ver um exemplo dessa exceção, veja o primeiro exemplo que isenta os serviços globais das regras que bloqueiam o acesso a serviços indesejados. Regiões da AWS

  • Lembre-se de que um SCP afeta todos os usuários e funções, incluindo o usuário root, em todas as contas às quais está vinculado.

  • Lembre-se de que e não SCP afeta as funções vinculadas ao serviço. As funções vinculadas ao serviço permitem que outras pessoas Serviços da AWS se integrem AWS Organizations e não possam ser restringidas por elas. SCPs

dica

Você pode usar os dados do último acesso do serviço IAMpara atualizar seus SCPs e restringir o acesso somente ao Serviços da AWS que você precisa. Para obter mais informações, consulte Exibindo os dados do último acesso do Organizations Service for Organizations no Guia IAM do usuário.

Todas as políticas a seguir são um exemplo de uma estratégia de política de lista de negações. As políticas da lista de negações devem ser anexadas a outras políticas que permitam as ações aprovadas nas contas afetadas. Por exemplo, a política padrão FullAWSAccess permite o uso de todos os serviços em uma conta. Essa política é anexada por padrão à raiz, a todas as unidades organizacionais (OUs) e a todas as contas. Na verdade, ele não concede as permissões; SCP não concede. Em vez disso, ele permite que os administradores dessa conta deleguem acesso a essas ações anexando políticas de permissões padrão AWS Identity and Access Management (IAM) a usuários, funções ou grupos na conta. Todas essas políticas de lista de negações substituem qualquer política bloqueando o acesso a serviços ou ações especificados.

Sumário