Questa guida spiegherà il processo di creazione di un criterio di controllo del servizio utilizzando i seguenti metodi:
Prerequisito: abilitare il criterio di controllo del servizio
Per creare una policy di controllo del servizio in AWS, è necessario abilitarla dal dashboard di AWS Organizations:
Nella dashboard Organizzazioni, fai clic su ' Politiche ” dal pannello di sinistra per andare alla sua pagina:
Clicca sul ' Politiche di controllo del servizio ” pulsante dal “ Tipi di criteri supportati ' sezione:
Clicca sul ' Abilita i criteri di controllo del servizio ” dalla pagina Criteri di controllo del servizio per abilitare i suoi servizi:
Metodo 1: utilizzo della Console di gestione AWS
Una volta abilitate le politiche di controllo del servizio, è sufficiente fare clic sul pulsante ' Crea criterio pulsante ':
Ora avvia la configurazione della policy di controllo del servizio digitandone il nome:
L'aggiunta di tag è un processo facoltativo, quindi l'utente può aggiungere tag per l'identificazione dell'SCP e una scheda valore vuota genererà una stringa nulla per la chiave:
Scorri verso il basso per individuare la sezione Policy e digita il nome del servizio per aggiungere una dichiarazione di policy in formato JSON:
Dopo aver scelto il servizio AWS, seleziona semplicemente le azioni per consentire o negare la policy:
L'utente può aggiungere una risorsa o una condizione da allegare alla policy semplicemente cliccando sul pulsante “ Aggiungere pulsante ':
Per aggiungere una risorsa con la dichiarazione della politica, seleziona semplicemente il servizio e scegli anche il tipo di risorsa prima di fare clic su ' Aggiungi risorsa pulsante ':
Dopo tutta la configurazione, rivedi semplicemente la politica e fai clic su ' Crea criterio pulsante ':
La policy è stata creata con successo, basta cliccare sul suo nome per entrare nella sua pagina dei dettagli:
I dettagli della politica sono disponibili in questa pagina e l'utente può sempre modificare la politica o crearne una nuova:
Metodo 2: utilizzo dell'AWS CLI
Per creare una policy di controllo del servizio utilizzando AWS CLI, è necessario creare un'istruzione per la policy nel formato JSON. Di seguito è riportato un esempio della dichiarazione di policy per negare tutte le azioni IAM nel formato JSON:
{'Versione' : '2012-10-17' ,
'Dichiarazione' : [
{
'Sid' : 'DenyAccessToASpecificRole' ,
'Effetto' : 'Negare' ,
'Azione' : [
'jam:AttachRolePolicy' ,
'jam:Elimina ruolo' ,
'iam:DeleteRolePermissionsBoundary' ,
'iam:DeleteRolePolicy' ,
'iam:DetachRolePolicy' ,
'iam:PutRolePermissionsBoundary' ,
'jam:PutRolePolicy' ,
'iam:UpdateAssumeRolePolicy' ,
'iam:UpdateRole' ,
'iam:UpdateRoleDescription'
] ,
'Risorsa' : [
'arn:aws:iam::*:ruolo/nome-del-ruolo-da-negare'
]
}
]
}
Successivamente, utilizza il seguente comando AWS CLI per creare una policy nel servizio AWS Organizations utilizzando un file JSON archiviato nella directory locale. Questo comando contiene il nome, la descrizione e il tipo di policy di controllo del servizio da aggiungere all'organizzazione:
le organizzazioni AWS creano criteri --contenuto file: // Deny-IAM.json --descrizione 'Nega tutte le azioni IAM' --nome DenyIAMSCP --tipo SERVICE_CONTROL_POLICY
Per verificare la creazione della policy di controllo dei servizi è sufficiente visitare la dashboard e cliccare sul nome della policy:
Nella pagina dei dettagli della politica, fai clic su ' Contenuto ” e scorri verso il basso per verificare il contenuto della policy:
Lo screenshot seguente mostra il contenuto della policy e l'utente può modificare la dichiarazione:
Si tratta di creare una policy di controllo del servizio nel servizio AWS Organization.
Conclusione
Per creare un “ Politica di controllo del servizio ” nella dashboard di AWS Organizations, è necessario prima abilitare la policy. Successivamente, l'utente può creare la SCP utilizzando la Console di gestione AWS o l'interfaccia a riga di comando AWS. Questa guida ha spiegato il processo di creazione di una policy di controllo del servizio nell'organizzazione AWS utilizzando entrambi i metodi.