Tato příručka vysvětlí proces vytváření zásad řízení služeb pomocí následujících metod:
Předpoklad: Povolte zásady řízení služeb
Chcete-li vytvořit zásadu řízení služeb v AWS, je nutné ji povolit z řídicího panelu organizace AWS:
Na hlavním panelu Organizace klikněte na „ Opatření ” z levého panelu pro přechod na jeho stránku:
Klikněte na „ Zásady řízení služeb ” tlačítko z “ Podporované typy zásad sekce:
Klikněte na „ Povolit zásady řízení služeb ” na stránce Zásady řízení služeb pro aktivaci jejích služeb:
Metoda 1: Použití konzoly pro správu AWS
Jakmile jsou povoleny zásady řízení služeb, jednoduše klikněte na „ Vytvořte politiku ' knoflík:
Nyní spusťte konfiguraci zásady řízení služeb zadáním jejího názvu:
Přidání značek je volitelný proces, takže uživatel může přidat značky pro identifikaci SCP a prázdná karta s hodnotou vygeneruje pro klíč nulový řetězec:
Přejděte dolů a vyhledejte sekci Zásady a zadejte název služby, chcete-li přidat prohlášení o zásadách ve formátu JSON:
Po výběru služby AWS jednoduše vyberte akce pro povolení nebo zamítnutí zásady:
Uživatel může přidat zdroj nebo podmínku, která má být připojena k zásadě, jednoduše kliknutím na „ Přidat ' knoflík:
Chcete-li přidat zdroj s prohlášením o zásadách, jednoduše vyberte službu a vyberte také typ zdroje před kliknutím na „ Přidat zdroj ' knoflík:
Po dokončení konfigurace jednoduše zkontrolujte zásady a klikněte na „ Vytvořte politiku ' knoflík:
Zásady byly úspěšně vytvořeny, stačí kliknout na její název a přejít na stránku s podrobnostmi:
Podrobnosti o zásadách jsou k dispozici na této stránce a uživatel může zásady kdykoli upravit nebo také vytvořit nové:
Metoda 2: Použití AWS CLI
Chcete-li vytvořit zásadu řízení služeb pomocí AWS CLI, je nutné vytvořit příkaz pro zásadu ve formátu JSON. Níže je uveden příklad prohlášení o zásadách k odmítnutí všech akcí IAM ve formátu JSON:
{'Verze' : '2012-10-17' ,
'Prohlášení' : [
{
'Sid' : 'DenyAccessToASpecificRole' ,
'Účinek' : 'Odmítnout' ,
'Akce' : [
'jam:AttachRolePolicy' ,
'jam:DeleteRole' ,
'iam:DeleteRolePermissionsBoundary' ,
'iam:DeleteRolePolicy' ,
'iam:DetachRolePolicy' ,
'iam:PutRolePermissionsBoundary' ,
'jam:PutRolePolicy' ,
'iam:UpdateAssumeRolePolicy' ,
'iam:UpdateRole' ,
'iam:UpdateRoleDescription'
] ,
'zdroj' : [
'arn:aws:iam::*:role/jméno-role-k-popírání'
]
}
]
}
Poté použijte následující příkaz AWS CLI k vytvoření zásady ve službě AWS Organizations pomocí souboru JSON uloženého v místním adresáři. Tento příkaz obsahuje název, popis a typ zásady řízení služby, kterou chcete přidat do organizace:
aws organizace vytvářejí-politiku --obsah soubor: // Odepřít-IAM.json --popis 'Odmítnout všechny akce IAM' --název OdepřítIAMSCP --typ SERVICE_CONTROL_POLICY 
Chcete-li ověřit vytvoření zásady řízení služby, jednoduše přejděte na řídicí panel a klikněte na název zásady:
Na stránce Podrobnosti o zásadách klikněte na „ Obsah “ a přejděte dolů a zkontrolujte obsah zásad:
Následující snímek obrazovky zobrazuje obsah zásady a uživatel může prohlášení upravit:
To je vše o vytvoření zásady řízení služby ve službě AWS Organization.
Závěr
Chcete-li vytvořit „ Zásady kontroly služeb ” na řídicím panelu AWS Organizations, je nutné nejprve povolit politiku. Poté může uživatel vytvořit SCP buď pomocí konzoly pro správu AWS nebo rozhraní příkazového řádku AWS. Tato příručka vysvětlila proces vytváření zásad řízení služeb v organizaci AWS pomocí obou metod.