Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Ejemplos de políticas de control de servicios
Los ejemplos de políticas de control de servicios (SCP) que se muestran en este tema solo tienen fines informativos.
Antes de usar estos ejemplos
Antes de usar estos ejemplos de SCP en la organización, haga lo siguiente:
-
Revise las SCP atentamente y personalícelas para ajustarlas a sus requisitos únicos.
-
Pruebe a fondo las SCP en su entorno con los Servicios de AWS que utilice.
Las políticas de ejemplo de esta sección demuestran la implementación y el uso de las SCP. Ellas no son destinadas a ser interpretadas como recomendaciones AWS oficiales o prácticas óptimas que se apliquen exactamente como se indica. Es su responsabilidad probar cuidadosamente cualquier política basada en denegaciones para determinar su idoneidad para resolver los requisitos empresariales de su entorno. Las políticas de control de servicios basadas en denegación pueden limitar o bloquear involuntariamente el uso de Servicios de AWS, a menos que agregue las excepciones necesarias a la política. Para ver un ejemplo de tal excepción, vea el primer ejemplo que exime a los servicios globales de las reglas que bloquean el acceso a Regiones de AWS no deseado.
-
Recuerde que una SCP afecta a todos los usuarios y roles e incluso al usuario raíz de todas las cuentas a las que se asocia.
-
Recuerde que una SCP no repercute en roles vinculados a servicios. Los roles vinculados a servicios permiten que otros Servicios de AWS se integren con AWS Organizations y no se puedan restringir con SCP.
sugerencia
Puede utilizar los datos del último acceso al servicio de IAM para actualizar las SCP para restringir el acceso únicamente a los Servicios de AWS que necesite. Para obtener más información, consulte Visualización de los datos del último acceso al servicio de Organizations en la Guía del usuario IAM.
Cada una de las siguientes políticas es un ejemplo de una estrategia de política de lista de denegación . Las políticas de lista de denegación deben adjuntarse junto con otras políticas que permitan las acciones aprobadas en las cuentas afectadas. Por ejemplo, la política FullAWSAccess predeterminada permite el uso de todos los servicios de una cuenta. Esta política se adjunta de forma predeterminada a la raíz, a todas las unidades organizativas (OU) y a todas las cuentas. En realidad no concede los permisos; ninguna SCP lo hace. En su lugar, permite a los administradores de la cuenta delegar el acceso a esas acciones asociando políticas de permisos de AWS Identity and Access Management (IAM) estándar adjuntar los usuarios, roles o grupos de la cuenta. Cada una de estas políticas de lista de denegación sustituye cualquier política mediante el bloqueo del acceso a los servicios o acciones especificados.
Contenido
- Ejemplos generales
- Denegar acceso a AWS en función de la Región de AWS solicitada
- Evitar que los usuarios y los roles de IAM realicen determinados cambios
- Impedir que los usuarios y roles de IAM realicen cambios especificados, con una excepción para un rol de administrador especificado
- Requisito de operación de API por parte de MFA
- Bloquee el acceso al servicio del usuario raíz
- Evitar que las cuentas de miembros dejen la organización.
- SCP de ejemplo para AWS Chatbot
- SCP de ejemplo para Amazon CloudWatch
- SCP de ejemplo para AWS Config
- Ejemplos de SCP para Amazon Elastic Compute Cloud (Amazon EC2)
- SCP de ejemplo para Amazon GuardDuty
- SCP de ejemplo para AWS Resource Access Manager
- Ejemplos de SCP para Controlador de recuperación de aplicaciones de Amazon (ARC)
- Ejemplos de SCP para Amazon S3
- Ejemplo de SCP para etiquetar recursos
- Ejemplo de SCP para Amazon Virtual Private Cloud (Amazon VPC)
