Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Exemples de politiques de contrôle des services
Les exemples de politiques de contrôle des services (SCPs) présentés dans cette rubrique sont fournis à titre informatif uniquement.
Avant d'utiliser ces exemples
Avant d'utiliser ces exemples SCPs dans votre organisation, procédez comme suit :
-
Révisez-les attentivement et personnalisez-les SCPs en fonction de vos besoins uniques.
-
Testez minutieusement le SCPs dans votre environnement avec celui Services AWS que vous utilisez.
Les exemples de politiques présentés dans cette section illustrent la mise en œuvre et l'utilisation deSCPs. Ils ne sont pas destinés à être interprétés comme des recommandations ou des bonnes pratiques AWS officielles à mettre en œuvre exactement comme indiqué. Il est de votre responsabilité de tester soigneusement toute politique à base de refus afin de déterminer si elle répond aux exigences professionnelles de votre environnement. Les politiques de contrôle des services basées sur le refus peuvent involontairement limiter ou bloquer votre utilisation de, à Services AWS moins que vous n'ajoutiez les exceptions nécessaires à la politique. Pour un exemple d'une telle exception, consultez le premier exemple qui exempte les services mondiaux des règles qui bloquent l'accès aux personnes indésirables Régions AWS.
-
N'oubliez pas qu'un SCP affecte tous les utilisateurs et tous les rôles, y compris l'utilisateur root, dans tous les comptes auxquels il est associé.
-
N'oubliez pas que l'SCPinterdiction n'affecte pas les rôles liés aux services. Les rôles liés aux services permettent Services AWS aux autres de s'intégrer AWS Organizations et ne peuvent pas être limités par. SCPs
Astuce
Vous pouvez utiliser les données du dernier accès au service IAMpour les mettre à jour SCPs afin de restreindre l'accès aux seules données Services AWS dont vous avez besoin. Pour plus d'informations, consultez la section Visualisation des dernières données consultées par le service Organizations pour les organisations dans le guide de IAM l'utilisateur.
Chacune des politiques suivantes est un exemple de stratégie de politique de liste de refus. Les politiques de liste de refus doivent être attachées avec d'autres politiques qui autorisent les actions approuvées dans les comptes concernés. Par exemple, la politique FullAWSAccess par défaut autorise l'utilisation de tous les services d'un compte. Cette politique est attachée par défaut à la racine, à toutes les unités organisationnelles (OUs) et à tous les comptes. Il n'accorde pas réellement les autorisations ; nonSCP. Il permet plutôt aux administrateurs de ce compte de déléguer l'accès à ces actions en associant des politiques d'autorisation standard AWS Identity and Access Management (IAM) aux utilisateurs, aux rôles ou aux groupes du compte. Chacune de ces politiques de liste de refus remplace toute autre politique en bloquant l'accès aux services ou actions spécifiés.
Table des matières
- Exemples généraux
- Refuser l'accès à la AWS base de la demande Région AWS
- Empêcher IAM les utilisateurs et les rôles d'apporter certaines modifications
- Empêcher IAM les utilisateurs et les rôles d'apporter des modifications spécifiques, à l'exception d'un rôle d'administrateur spécifié
- Exiger MFA d'effectuer une API opération
- Bloquer l'accès à des services pour l'utilisateur racine
- Empêcher les comptes membres de quitter l'organisation
- Exemple SCPs pour AWS Chatbot
- Exemple de SCP pour Amazon CloudWatch
- Exemple de SCP pour AWS Config
- Exemple SCPs pour Amazon Elastic Compute Cloud (AmazonEC2)
- Exemples de SCP pour Amazon GuardDuty
- Exemple SCPs pour AWS Resource Access Manager
- Exemple SCPs pour Amazon Application Recovery Controller (ARC)
- Exemples de SCP pour Amazon S3
- Exemple SCPs de balisage de ressources
- Exemples de SCP pour Amazon Virtual Private Cloud (Amazon VPC)
