Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Beispiele für Service-Kontrollrichtlinie
Die in diesem Thema angezeigten Beispiele für Dienststeuerungsrichtlinien (SCPs) dienen nur zu Informationszwecken.
Hinweise zur Verwendung dieser Beispiele
Bevor Sie dieses Beispiel SCPs in Ihrer Organisation verwenden, gehen Sie wie folgt vor:
-
Prüfen Sie das sorgfältig und passen Sie es SCPs an Ihre individuellen Anforderungen an.
-
Testen Sie das SCPs in Ihrer Umgebung gründlich mit dem AWS-Services , was Sie verwenden.
Die Beispielrichtlinien in diesem Abschnitt veranschaulichen die Implementierung und Verwendung vonSCPs. Sie sind nicht als offizielle AWS -Empfehlungen oder bewährte Methoden zu interpretieren, die genau wie gezeigt umgesetzt werden müssen. Es liegt in Ihrer Verantwortung, alle verweigerungsbasierten Richtlinien sorgfältig auf ihre Eignung zu testen, um die geschäftlichen Anforderungen Ihrer Umgebung zu erfüllen. Deny-Based Service Control-Richtlinien können Ihre Nutzung von unbeabsichtigt einschränken oder blockieren, AWS-Services es sei denn, Sie fügen der Richtlinie die erforderlichen Ausnahmen hinzu. Ein Beispiel für eine solche Ausnahme finden Sie im ersten Beispiel, das globale Dienste von den Regeln ausnimmt, die den Zugriff auf unerwünschte Personen blockieren. AWS-Regionen
-
Denken Sie daran, dass SCP sich ein auf jeden Benutzer und jede Rolle, einschließlich des Root-Benutzers, in jedem Konto auswirkt, mit dem es verknüpft ist.
-
Denken Sie daran, dass SCP sich ein nicht auf dienstbezogene Rollen auswirkt. Serviceverknüpfte Rollen ermöglichen AWS-Services die Integration mit anderen AWS Organizations und können nicht durch sie eingeschränkt werden. SCPs
Tipp
Sie können die Daten des Dienstes, auf die zuletzt zugegriffen wurde, verwenden IAM, um Ihre Daten SCPs zu aktualisieren und den Zugriff nur auf AWS-Services die benötigten Daten zu beschränken. Weitere Informationen finden Sie im IAMBenutzerhandbuch unter Daten zum letzten Zugriff von Organizations Service für Organizations anzeigen.
Jede der folgenden Richtlinien ist ein Beispiel einer Strategie für Sperrlistenrichtlinien. Sperrlistenrichtlinien müssen zusammen mit anderen Richtlinien zugewiesen werden, die die genehmigten Aktionen in den betroffenen Konten zulassen. Zum Beispiel: Die Standardrichtlinie FullAWSAccess erlaubt die Verwendung aller Services in einem Konto. Diese Richtlinie ist standardmäßig dem Stamm, allen Organisationseinheiten (OUs) und allen Konten zugeordnet. Sie gewährt die Berechtigungen nicht wirklich, neinSCP. Stattdessen ermöglicht es Administratoren in diesem Konto, den Zugriff auf diese Aktionen zu delegieren, indem sie den Benutzern, Rollen oder Gruppen im Konto Standardberechtigungsrichtlinien AWS Identity and Access Management (IAM) zuordnen. Jede dieser Sperrlistenrichtlinien setzt dann jede Richtlinie durch Blockieren des Zugriffs auf die angegebenen Services oder Aktionen außer Kraft.
Inhalt
- Allgemeine Beispiele
- Verweigern Sie den Zugriff auf AWS basierend auf der angeforderten AWS-Region
- IAMVerhindern Sie, dass Benutzer und Rollen bestimmte Änderungen vornehmen
- Hindert IAM Benutzer und Rollen daran, bestimmte Änderungen vorzunehmen, mit Ausnahme einer bestimmten Administratorrolle
- Sie MFA müssen einen API Vorgang ausführen
- Blockieren des Service-Zugriffsdatums für den Stammbenutzer
- Verhindern, dass Mitgliedskonten die Organisation verlassen
- Beispiel SCPs für AWS Chatbot
- Beispiel-SCPs für Amazon CloudWatch
- Beispiel-SCPs für AWS Config
- Beispiel SCPs für Amazon Elastic Compute Cloud (AmazonEC2)
- Beispiel-SCPs für Amazon GuardDuty
- Beispiel SCPs für AWS Resource Access Manager
- Beispiel SCPs für Amazon Application Recovery Controller (ARC)
- Beispiel-SCPs für Amazon S3
- Beispiel SCPs für das Taggen von Ressourcen
- Beispiel für SCPs für Amazon Virtual Private Cloud (Amazon VPC)
