Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Exemples de politiques de contrôle des services
Les exemples de politiques de contrôle des services (SCP) affichés dans cette rubrique sont fournis à titre d'information uniquement.
Avant d'utiliser ces exemples
Avant de tenter d'utiliser ces exemples de politiques de contrôle des services dans votre organisation, prenez les précautions suivantes :
-
Vérifiez attentivement et personnalisez les SCP en fonction de vos exigences uniques.
-
Testez soigneusement les SCP dans votre environnement avec les services AWS que vous utilisez.
Les exemples de politiques présentés dans cette section illustrent la mise en œuvre et l'utilisation des politiques SCP. Ils ne sont pas destinés à être interprétés comme des recommandations ou des bonnes pratiques AWS officielles à mettre en œuvre exactement comme indiqué. Il est de votre responsabilité de tester soigneusement toute politique à base de refus afin de déterminer si elle répond aux exigences professionnelles de votre environnement. Les politiques de contrôle des services à base de refus peuvent limiter ou bloquer involontairement votre utilisation de services AWS, à moins d'ajouter les exceptions nécessaires à la politique. Pour obtenir un exemple d'exception, consultez le premier exemple qui exempte les services globaux des règles qui bloquent l'accès aux Régions AWS indésirables.
-
N'oubliez pas qu'une politique de contrôle des services affecte chaque utilisateur et chaque rôle, y compris l'utilisateur root, dans chaque compte auquel elle est attachée.
Astuce
Vous pouvez utiliser les dernières informations consultées relatives aux services dans IAM pour mettre à jour vos politiques SCP afin d'en limiter l'accès uniquement aux services AWS dont vous avez besoin. Pour de plus amples informations, consultez Affichage des dernière informations consultées pour Organizations dans le Guide de l'utilisateur IAM.
Chacune des politiques suivantes est un exemple de stratégie de politique de liste de refus. Les politiques de liste de refus doivent être attachées avec d'autres politiques qui autorisent les actions approuvées dans les comptes concernés. Par exemple, la politique FullAWSAccess par défaut autorise l'utilisation de tous les services d'un compte. Cette politique est attachée par défaut à la racine, à toutes les unités d'organisation et à tous les comptes. Elle n'accorde en fait pas réellement d'autorisations ; aucune politique SCP ne le fait. Au lieu de cela, elle permet aux administrateurs de ce compte de déléguer l'accès à ces actions en attachant des politiques d'autorisations AWS Identity and Access Management (IAM) standard à des utilisateurs, des rôles ou des groupes dans le compte. Chacune de ces politiques de liste de refus remplace toute autre politique en bloquant l'accès aux services ou actions spécifiés.
Table des matières
- Exemples généraux
- Refuser l'accès à la AWS base de la demande Région AWS
- Empêcher les utilisateurs et les rôles IAM d'apporter certaines modifications
- Empêcher les utilisateurs et les rôles IAM d'apporter des modifications spécifiées, à l'exception d'un rôle administrateur spécifié
- Exiger une MFA pour effectuer une action API
- Bloquer l'accès à des services pour l'utilisateur racine
- Empêcher les comptes membres de quitter l'organisation
- Exemple de SCP pour Amazon CloudWatch
- Exemple de SCP pour AWS Config
- Exemples de SCP pour Amazon Elastic Compute Cloud (Amazon EC2)
- Exemples de SCP pour Amazon GuardDuty
- Exemples de SCP pour AWS Resource Access Manager
- Exemple des politiques de contrôle des services (SCP) pour Amazon Route 53 Application Recovery Controller
- Exemples de SCP pour Amazon S3
- Exemples de SCP pour le balisage de ressources
- Exemples de SCP pour Amazon Virtual Private Cloud (Amazon VPC)
