Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Beispiele für Service-Kontrollrichtlinie
Die in diesem Thema beschriebenen Beispiele zu Service-Kontrollrichtlinien (SCPs) dienen lediglich zu Informationszwecken.
Hinweise zur Verwendung dieser Beispiele
Bevor Sie diese Beispiel-SCPs in Ihrer Organisation verwenden, gehen Sie wie folgt vor:
-
Überprüfen Sie die SCPs sorgfältig und passen Sie sie an Ihre individuellen Anforderungen an.
-
Testen Sie die SCPs in Ihrer Umgebung gründlich mit den von Ihnen verwendeten AWS-Services.
Die Beispielrichtlinien in diesem Abschnitt veranschaulichen die Implementierung und Verwendung von SCPs. Sie sind nicht als offizielle AWS-Empfehlungen oder bewährte Methoden zu interpretieren, die genau wie gezeigt umgesetzt werden müssen. Es liegt in Ihrer Verantwortung, alle verweigerungsbasierten Richtlinien sorgfältig auf ihre Eignung zu testen, um die geschäftlichen Anforderungen Ihrer Umgebung zu erfüllen. Zugriffsverweigerungsbasierte Service-Kontrollrichtlinien können Ihre Nutzung von AWS-Services unbeabsichtigt einschränken oder blockieren, es sei denn, Sie fügen der Richtlinie die erforderlichen Ausnahmen hinzu. Ein Beispiel für eine solche Ausnahme finden Sie im ersten Beispiel, das globale Services von den Regeln ausnimmt, die den Zugriff auf unerwünschte AWS-Regionen blockieren.
-
Denken Sie daran, dass ein SCP jeden Benutzer und jede Rolle betrifft, einschließlich des Root-Benutzers in jedem Konto, mit dem es verbunden ist.
Tipp
Sie können die Daten, auf die zuletzt zugegriffen wurde, in IAM verwenden, um Ihre SCPs zu aktualisieren, um den Zugriff auf die AWS-Services zu beschränken, die Sie benötigen. Weitere Informationen finden Sie unter Anzeigen der Daten des letzten Zugriffs auf den Organizations-Service für Organizations im IAM-Benutzerhandbuch.
Jede der folgenden Richtlinien ist ein Beispiel einer Strategie für Sperrlistenrichtlinien. Sperrlistenrichtlinien müssen zusammen mit anderen Richtlinien zugewiesen werden, die die genehmigten Aktionen in den betroffenen Konten zulassen. Zum Beispiel: Die Standardrichtlinie FullAWSAccess erlaubt die Verwendung aller Services in einem Konto. Diese Richtlinie ist standardmäßig mit dem Root-Benutzer, allen Organisationseinheiten (OUs) und allen Konten verbunden. Sie gewährt nicht eigentlich die Berechtigungen, keine Service-Kontrollrichtlinie tut dies. Stattdessen können Administratoren in diesem Konto den Zugriff auf diese Aktionen delegieren, indem sie im Konto AWS Identity and Access Management-(IAM)-Standardberechtigungsrichtlinien für Benutzer, Rollen oder Gruppen zuweisen. Jede dieser Sperrlistenrichtlinien setzt dann jede Richtlinie durch Blockieren des Zugriffs auf die angegebenen Services oder Aktionen außer Kraft.
Inhalt
- Allgemeine Beispiele
- Verweigern Sie den Zugriff auf AWS basierend auf der angeforderten AWS-Region
- Vermeiden Sie, dass IAM-Benutzer und -Rollen bestimmte Änderungen vornehmen
- Verhindern, dass IAM-Benutzer und -Rollen bestimmte Änderungen vornehmen, mit Ausnahme für eine angegebene Administratorrolle
- MFA zum Ausführen einer API-Aktion erforderlich
- Blockieren des Service-Zugriffsdatums für den Stammbenutzer
- Verhindern, dass Mitgliedskonten die Organisation verlassen
- Beispiel-SCPs für Amazon CloudWatch
- Beispiel-SCPs für AWS Config
- Beispiel-SCPs für Amazon Elastic Compute Cloud (Amazon EC2)
- Beispiel-SCPs für Amazon GuardDuty
- Beispiel-SCPs für AWS Resource Access Manager
- Exemplarische SCPs für den Amazon-Route-53-Application-Recovery-Controller
- Beispiel-SCPs für Amazon S3
- Beispiel für SCPs zum Markieren von Ressourcen
- Beispiel für SCPs für Amazon Virtual Private Cloud (Amazon VPC)
