Denne vejledning vil forklare processen med at oprette en servicekontrolpolitik ved hjælp af følgende metoder:
Forudsætning: Aktiver servicekontrolpolitik
For at oprette en servicekontrolpolitik i AWS, er det nødvendigt at aktivere den fra AWS Organisations dashboard:
På Organisations-dashboardet skal du klikke på ' Politikker knappen fra venstre panel for at gå til siden:
Klik på ' Servicekontrolpolitikker '-knappen fra ' Understøttede politiktyper ” afsnit:
Klik på ' Aktiver servicekontrolpolitikker knappen fra siden Tjenestekontrolpolitikker for at aktivere dens tjenester:
Metode 1: Brug af AWS Management Console
Når servicekontrolpolitikkerne er aktiveret, skal du blot klikke på ' Opret politik ” knap:
Start nu konfigurationen af servicekontrolpolitikken ved at skrive dens navn:
Tilføjelse af tags er en valgfri proces, så brugeren kan tilføje tags til identifikation af SCP'en, og en tom værdifane vil generere en null-streng for nøglen:
Rul ned for at finde afsnittet Politik og skriv navnet på tjenesten for at tilføje en politikerklæring i JSON-format:
Når du har valgt AWS-tjenesten, skal du blot vælge handlingerne for at tillade eller afvise politikken:
Brugeren kan tilføje en ressource eller en betingelse, der skal knyttes til politikken ved blot at klikke på ' Tilføje ” knap:
For at tilføje en ressource med politikerklæringen skal du blot vælge tjenesten og også vælge ressourcetypen, før du klikker på ' Tilføj ressource ” knap:
Efter al konfigurationen skal du blot gennemgå politikken og klikke på ' Opret politik ” knap:
Politikken er blevet oprettet med succes, klik blot på dens navn for at gå ind på siden med detaljer:
Politikdetaljerne er tilgængelige på denne side, og brugeren kan altid redigere politikken eller også oprette en ny:
Metode 2: Brug af AWS CLI
For at oprette en tjenestekontrolpolitik ved hjælp af AWS CLI, er det nødvendigt at oprette en erklæring for politikken i JSON-formatet. Et eksempel på politikerklæringen om at afvise alle IAM-handlinger i JSON-formatet er nævnt nedenfor:
{'Version' : '2012-10-17' ,
'Udmelding' : [
{
'Sid' : 'Nægt adgang til en specifik rolle' ,
'Effekt' : 'Nægte' ,
'Handling' : [
'jam:AttachRolePolicy' ,
'jam:DeleteRole' ,
'iam:DeleteRolePermissionsBoundary' ,
'iam:DeleteRolePolicy' ,
'iam:DetachRolePolicy' ,
'iam:PutRolePermissionsBoundary' ,
'jam:PutRolePolicy' ,
'iam:UpdateAssumeRolePolicy' ,
'iam:UpdateRole' ,
'iam:UpdateRoleDescription'
] ,
'Ressource' : [
'arn:aws:iam::*:rolle/navn-på-rolle-at-benægte'
]
}
]
}
Brug derefter følgende AWS CLI-kommando til at oprette en politik i AWS Organisations-tjenesten ved hjælp af en JSON-fil, der er gemt i den lokale mappe. Denne kommando indeholder navnet, beskrivelsen og typen af den servicekontrolpolitik, der skal tilføjes til organisationen:
aws organisationer skaber-politik --indhold fil: // Deny-IAM.json --beskrivelse 'Afvis alle IAM-handlinger' --navn AfvisIAMSCP --type SERVICE_CONTROL_POLICY
For at bekræfte oprettelsen af servicekontrolpolitikken skal du blot besøge dashboardet og klikke på politikkens navn:
På siden med oplysninger om politik skal du klikke på ' Indhold ” og rul ned for at kontrollere indholdet af politikken:
Følgende skærmbillede viser indholdet af politikken, og brugeren kan redigere erklæringen:
Det handler om at skabe en servicekontrolpolitik i AWS Organisation-tjenesten.
Konklusion
For at oprette en ' Servicekontrolpolitik ” i AWS Organisations dashboard, er det nødvendigt at aktivere politikken først. Derefter kan brugeren oprette SCP ved enten at bruge AWS Management Console eller AWS Command Line Interface. Denne vejledning har forklaret processen med at oprette en servicekontrolpolitik i AWS-organisationen ved hjælp af begge metoder.