Ez az útmutató elmagyarázza a szolgáltatásvezérlő házirend létrehozásának folyamatát a következő módszerekkel:
Előfeltétel: Engedélyezze a szolgáltatásfelügyeleti házirendet
Szolgáltatásvezérlési házirend létrehozásához az AWS-ben engedélyezni kell azt az AWS-szervezetek irányítópultjáról:
A Szervezetek irányítópulton kattintson a „ Irányelvek ” gombbal a bal oldali panelről az oldalára léphet:
Kattintson a ' Szolgáltatásvezérlési szabályzatok ” gombot a „ Támogatott házirend-típusok ” szakasz:
Kattintson a ' Szolgáltatásvezérlési házirendek engedélyezése ” gombot a Szolgáltatásfelügyeleti szabályzatok oldalon, hogy engedélyezze szolgáltatásait:
1. módszer: Az AWS Management Console használata
Miután engedélyezte a szolgáltatásvezérlő házirendeket, egyszerűen kattintson a „ Házirend létrehozása ” gomb:
Most indítsa el a szolgáltatásvezérlő házirend konfigurálását a nevének beírásával:
A címkék hozzáadása opcionális folyamat, így a felhasználó címkéket adhat hozzá az SCP azonosításához, és egy üres értéklap null karakterláncot generál a kulcshoz:
Görgessen le a Házirend szakasz megkereséséhez, és írja be a szolgáltatás nevét, hogy hozzáadjon egy szabályzatot JSON formátumban:
Az AWS szolgáltatás kiválasztása után egyszerűen válassza ki a házirend engedélyezéséhez vagy letiltásához szükséges műveleteket:
A felhasználó hozzáadhat egy erőforrást vagy egy feltételt, amelyet csatolni kell a szabályzathoz, egyszerűen kattintson a „ Hozzáadás ” gomb:
Ha erőforrást szeretne hozzáadni a szabályzati nyilatkozathoz, egyszerűen válassza ki a szolgáltatást, és válassza ki az erőforrás típusát is, mielőtt a „ Erőforrás hozzáadása ” gomb:
A konfiguráció után egyszerűen tekintse át a szabályzatot, és kattintson a „ Házirend létrehozása ” gomb:
A házirendet sikeresen létrehoztuk, egyszerűen kattintson a nevére, hogy belépjen a részletes oldalra:
A szabályzat részletei ezen az oldalon érhetők el, és a felhasználó bármikor szerkesztheti a szabályzatot, vagy újat is létrehozhat:
2. módszer: AWS CLI használata
Szolgáltatásfelügyeleti házirend AWS parancssori felület használatával létrehozásához létre kell hoznia egy utasítást a házirendhez JSON formátumban. Az alábbiakban megemlítünk egy példát a JSON formátumú IAM-műveletek megtagadásáról szóló irányelvre:
{'Változat' : '2012-10-17' ,
'Nyilatkozat' : [
{
'Sid' : 'DenyAccessToASpecificRole' ,
'Hatás' : 'Tagadni' ,
'Akció' : [
'jam:AttachRolePolicy' ,
'jam:DeleteRole' ,
'iam:DeleteRolePermissionsBoundary' ,
'iam:DeleteRolePolicy' ,
'iam:DetachRolePolicy' ,
'iam:PutRolePermissionsBoundary' ,
'jam:PutRolePolicy' ,
'iam:UpdateAssumeRolePolicy' ,
'iam:UpdateRole' ,
'iam:UpdateRoleDescription'
] ,
'Forrás' : [
'arn:aws:iam::*:role/role-name-of-role-to-deny'
]
}
]
}
Ezt követően a következő AWS CLI paranccsal hozzon létre házirendet az AWS Organizations szolgáltatásban a helyi könyvtárban tárolt JSON-fájl használatával. Ez a parancs tartalmazza a Szervezethez hozzáadandó szolgáltatásvezérlő házirend nevét, leírását és típusát:
aws szervezetek létrehozási szabályzata --tartalom fájl: // Deny-IAM.json --leírás 'Minden IAM-művelet elutasítása' --név DenyIAMSCP --típus SERVICE_CONTROL_POLICY
A szolgáltatásvezérlési házirend létrehozásának ellenőrzéséhez egyszerűen nyissa meg az irányítópultot, és kattintson a házirend nevére:
A szabályzat részletei oldalon kattintson a „ Tartalom ” szakaszban, és görgessen le a szabályzat tartalmának ellenőrzéséhez:
A következő képernyőképen látható a szabályzat tartalma, és a felhasználó szerkesztheti a nyilatkozatot:
Ez mind arról szól, hogy az AWS Szervezeti szolgáltatásban hozzon létre egy szolgáltatásvezérlő házirendet.
Következtetés
Egy ' Szolgáltatásvezérlési szabályzat ” az AWS-szervezetek irányítópultján, először engedélyezni kell a házirendet. Ezt követően a felhasználó létrehozhatja az SCP-t az AWS Management Console vagy az AWS parancssori felület használatával. Ez az útmutató ismerteti a szolgáltatásfelügyeleti házirend létrehozásának folyamatát az AWS-szervezetben mindkét módszer használatával.