As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Exemplos de política de controle de serviço
Os exemplos de políticas de controle de serviço (SCPs) exibidos neste tópico são apenas para fins informativos.
Antes de usar esses exemplos
Antes de usar esses exemplos SCPs em sua organização, faça o seguinte:
-
Analise e personalize cuidadosamente o SCPs de acordo com seus requisitos exclusivos.
-
Teste minuciosamente o SCPs em seu ambiente com o Serviços da AWS que você usa.
Os exemplos de políticas nesta seção demonstram a implementação e o uso deSCPs. Eles não são destinados a ser interpretado como recomendações oficiais ou práticas recomendadas da AWS a serem implementadas exatamente como mostrado. É sua responsabilidade testar cuidadosamente quaisquer políticas baseadas em negação quanto à sua adequação para resolver os requisitos de negócios do seu ambiente. Políticas de controle de serviço baseadas em negação podem, sem querer, limitar ou bloquear seu uso, Serviços da AWS a menos que você adicione as exceções necessárias à política. Para ver um exemplo dessa exceção, veja o primeiro exemplo que isenta os serviços globais das regras que bloqueiam o acesso a serviços indesejados. Regiões da AWS
-
Lembre-se de que um SCP afeta todos os usuários e funções, incluindo o usuário root, em todas as contas às quais está vinculado.
-
Lembre-se de que e não SCP afeta as funções vinculadas ao serviço. As funções vinculadas ao serviço permitem que outras pessoas Serviços da AWS se integrem AWS Organizations e não possam ser restringidas por elas. SCPs
dica
Você pode usar os dados do último acesso do serviço IAMpara atualizar seus SCPs e restringir o acesso somente ao Serviços da AWS que você precisa. Para obter mais informações, consulte Exibindo os dados do último acesso do Organizations Service for Organizations no Guia IAM do usuário.
Todas as políticas a seguir são um exemplo de uma estratégia de política de lista de negações. As políticas da lista de negações devem ser anexadas a outras políticas que permitam as ações aprovadas nas contas afetadas. Por exemplo, a política padrão FullAWSAccess
permite o uso de todos os serviços em uma conta. Essa política é anexada por padrão à raiz, a todas as unidades organizacionais (OUs) e a todas as contas. Na verdade, ele não concede as permissões; SCP não concede. Em vez disso, ele permite que os administradores dessa conta deleguem acesso a essas ações anexando políticas de permissões padrão AWS Identity and Access Management (IAM) a usuários, funções ou grupos na conta. Todas essas políticas de lista de negações substituem qualquer política bloqueando o acesso a serviços ou ações especificados.
Sumário
- Exemplos gerais
- Negar acesso a AWS com base no solicitado Região da AWS
- Impeça que IAM usuários e funções façam determinadas alterações
- Impedir que IAM usuários e funções façam alterações específicas, com exceção de uma função de administrador especificada
- MFAExigir a execução de uma API operação
- Bloquear o acesso ao serviço para o usuário root
- Impedir que a conta membro saia da organização
- Exemplo de SCPs para o Amazon CloudWatch
- Exemplo de SCPs para o AWS Config
- Exemplo de SCPs para Amazon Elastic Compute Cloud (Amazon EC2)
- Exemplo de SCPs para o Amazon GuardDuty
- Exemplo SCPs para AWS Resource Access Manager
- Exemplo SCPs de Amazon Application Recovery Controller (ARC)
- Exemplos de SCPs para o Amazon S3
- Exemplo SCPs de marcação de recursos
- Exemplo de SCPs para a Amazon Virtual Private Cloud (Amazon VPC)