Políticas de controle de serviço de exemplo - AWS Organizations

Políticas de controle de serviço de exemplo

O exemplo de políticas de controle de serviço (SCPs) exibido neste tópico tem finalidade apenas informativa.

Antes de usar esses exemplos

Antes de usar esses exemplos de SCPs em sua organização, faça o seguinte:

  • Revise atentamente e personalize os SCPs de acordo com suas necessidades específicas.

  • Teste detalhadamente os SCPs em seu ambiente com os serviços AWS que você usa.

    Os exemplos de políticas nesta seção demonstram a implementação e o uso de SCPs. Eles não são destinados a ser interpretado como recomendações oficiais ou práticas recomendadas da AWS a serem implementadas exatamente como mostrado. É sua responsabilidade testar cuidadosamente quaisquer políticas baseadas em negação quanto à sua adequação para resolver os requisitos de negócios do seu ambiente. As políticas de controle de serviço baseadas em negação podem limitar ou bloquear involuntariamente o uso de serviços da AWS, a menos que você adicione as exceções necessárias à política. Para obter um exemplo dessa exceção, consulte o primeiro exemplo que isenta os serviços globais das regras que bloqueiam o acesso a Regiões da AWS indesejadas.

  • Lembre-se de que uma SCP afeta cada usuário e perfil, inclusive o usuário raiz, em cada conta à qual ela é anexada.

dica

Você pode usar os dados de serviços acessados mais recentemente no IAM para atualizar suas SCPs para restringir o acesso a apenas os serviços da AWS necessários. Para obter mais informações, consulte Visualizar dados de serviço da organização acessados mais recentemente da organização no Guia do usuário do IAM.

Todas as políticas a seguir são um exemplo de uma estratégia de política de lista de negações. As políticas da lista de negações devem ser anexadas a outras políticas que permitam as ações aprovadas nas contas afetadas. Por exemplo, a política padrão FullAWSAccess permite o uso de todos os serviços em uma conta. Essa política é anexada por padrão na raiz, em todas as unidades organizacionais (UOs) e em todas as contas. Na verdade, não concede as permissões; nenhuma SCP faz isso. Em vez disso, ela permite que os administradores nessa conta deleguem acesso a essas ações anexando políticas de permissão padrão do AWS Identity and Access Management (IAM) a usuários, funções ou grupos na conta. Todas essas políticas de lista de negações substituem qualquer política bloqueando o acesso a serviços ou ações especificados.

Sumário