服務控制政策範例

本主題中顯示的範例服務控制政策 (SCP) 僅供參考。

使用這些範例之前

您在組織中使用這些範例 SCP 前，請執行下列操作：

• 詳閱及自訂 SCP，使其符合您的獨特需求。

• 徹底測試您環境中的 SCP 與您使用的 AWS 服務。

  本節中的範例政策示範 SCP 的實作與使用。他們並非闡述為完全如圖所示實作的官方 AWS 建議或最佳實務。您有責任仔細測試任何拒絕型政策是否適合解決您環境的商業需求。拒絕型服務控制政策可能會意外限制或封鎖您使用 AWS 服務，除非您將必要的例外狀況新增至政策。如需此類例外狀況的範例，請參閱第一個範例，其從封鎖存取不需要的 AWS 區域 的規則中豁免全域服務。

• 請記住，SCP 會影響其連接到每個帳戶中的每個使用者、角色，包括根使用者。

提示

您可以使用IAM中服務上次存取的資料更新 SCP，以限制僅存取您所需的 AWS 服務。如需詳細資訊，請參閱 IAM 使用者指南中的檢視 Organizations 的 Organizations 服務上次存取資料。

以下每一個政策都是拒絕清單政策策略的範例。拒絕清單政策必須隨著在受影響帳戶中允許已核准動作的其他政策連接。例如，預設的 FullAWSAccess 政策會允許使用帳戶中的所有服務。此政策預設連接到根帳戶、所有組織單位 (OU) 和所有帳戶。它不會實際授予許可；沒有任何 SCP 會這麼做。相反地，此政策可讓該帳戶中的管理員，將標準 AWS Identity and Access Management (IAM) 許可政策連接至帳戶中的使用者、角色或群組，以委派對這些動作的存取。然後，這些拒絕清單政策會個別藉由封鎖對指定的服務或動作的存取，來覆寫任何政策。

內容

• 一般範例
  • AWS 根據要求拒絕存取 AWS 區域
  • 防止 IAM 使用者和角色進行某些變更
  • 防止 IAM 使用者和角色進行指定變更，且指定的管理員角色除外
  • 要求 MFA 執行 API 動作
  • 封鎖根使用者的服務存取
  • 防止成員帳戶離開組織。
• Amazon CloudWatch 範例 SCP
  • 防止使用者停用 CloudWatch 或更改其組態
• AWS Config 的範例 SCP
  • 防止使用者停用 AWS Config 或變更其規則
• Amazon Elastic Compute Cloud (Amazon EC2) 的範例 SCP
  • 要求 Amazon EC2 執行個體使用特定類型
  • 防止在沒有 IMDSv2 的情況下啟動 EC2 執行個體
  • 防止停用預設的 Amazon EBS 加密
• Amazon GuardDuty 的範例 SCP
  • 防止使用者停用 GuardDuty 或修更其組態
• 下列項目的 SCP 範例 AWS Resource Access Manager
  • 防止外部共享
  • 允許特定帳戶僅共享指定的資源類型
  • 防止與組織或組織單位 (OU) 共享
  • 僅允許與指定的 IAM 使用者和角色共享
• Amazon Route 53 Application Recovery Controller 的 SCP 範例
  • 防止使用者更新 Route 53 ARC 路由控制狀態
• 適用於 Amazon S3 的 SCP 範例
  • 防止 Amazon S3 未加密物件上傳
• 標記資源的 SCP 範例
  • 需要在建立的指定資源上使用標籤
  • 防止標籤被授權委託人以外的人員修改
• Amazon Virtual Private Cloud (Amazon VPC) 的範例 SCP
  • 防止使用者刪除 Amazon VPC 流程日誌
  • 防止尚沒有網際網路存取的任何 VPC 取得存取