Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
SCPsintaks
Kebijakan kontrol layanan (SCPs) menggunakan sintaks serupa dengan yang digunakan oleh AWS Identity and Access Management (IAM) kebijakan izin dan kebijakan berbasis sumber daya (seperti kebijakan bucket Amazon S3). Untuk informasi selengkapnya tentang IAM kebijakan dan sintaksnya, lihat Ringkasan IAM Kebijakan di Panduan IAM Pengguna.
An SCP adalah file plaintext yang terstruktur sesuai dengan aturan. JSON
catatan
Semua karakter dalam SCP hitungan Anda terhadap ukuran maksimumnya. Contoh dalam panduan ini menunjukkan SCPs format dengan ruang putih ekstra untuk meningkatkan keterbacaannya. Namun, untuk menghemat ruang jika ukuran kebijakan Anda mendekati ukuran maksimum, maka Anda dapat menghapus spasi kosong, seperti spasi karakter dan baris putus yang berada di luar tanda kutip.
Untuk informasi umum tentang SCPs, lihat Kebijakan kontrol layanan (SCPs).
Ringkasan elemen
Tabel berikut merangkum elemen kebijakan yang dapat Anda gunakan. SCPs Beberapa elemen kebijakan hanya tersedia dalam tindakan penolakan SCPs itu. Kolom Efek yang didukung mencantumkan jenis efek yang dapat Anda gunakan dengan setiap elemen kebijakanSCPs.
| Elemen | Tujuan | Efek didukung |
|---|---|---|
| Versi | Menentukan aturan sintaksis bahasa yang digunakan untuk memproses kebijakan. |
|
| Pernyataan | Berfungsi sebagai kontainer untuk elemen kebijakan. Anda dapat memiliki beberapa pernyataan diSCPs. | Allow, Deny |
| ID Pernyataan (Sid) | (Opsional) Menyediakan nama yang ramah untuk pernyataan tersebut. | Allow, Deny |
| Efek | Mendefinisikan apakah SCP pernyataan mengizinkan atau menolak akses ke IAM pengguna dan peran dalam akun. | Allow, Deny |
|
Menentukan AWS layanan dan tindakan yang SCP memungkinkan atau menyangkal. |
|
|
|
Menentukan AWS layanan dan tindakan yang dibebaskan dari. SCP Digunakan sebagai pengganti dari elemen |
|
|
| Sumber Daya | Menentukan AWS sumber daya yang SCP berlaku untuk. | Deny |
| Kondisi | Menentukan syarat ketika pernyataan ini berlaku. | Deny |
Bagian berikut memberikan informasi lebih lanjut dan contoh bagaimana elemen kebijakan digunakanSCPs.
Elemen Version
Setiap SCP harus menyertakan Version elemen dengan nilai"2012-10-17". Ini adalah nilai versi yang sama dengan versi terbaru dari kebijakan IAM izin.
"Version": "2012-10-17",
Untuk informasi selengkapnya, lihat Elemen IAM JSON Kebijakan: Versi dalam Panduan IAM Pengguna.
Elemen Statement
An SCP terdiri dari satu atau lebih Statement elemen. Anda hanya dapat memiliki satu Statement kata kunci dalam kebijakan, tetapi nilainya dapat berupa JSON array pernyataan (dikelilingi oleh [] karakter).
Contoh berikut menunjukkan pernyataan tunggal yang terdiri dari satu elemen Effect, Action, dan Resource.
"Statement": { "Effect": "Allow", "Action": "*", "Resource": "*" }
Contoh berikut mencakup dua pernyataan sebagai daftar array dalam satu elemen Statement. Pernyataan pertama memungkinkan semua tindakan, sedangkan yang kedua menyangkal EC2 tindakan apa pun. Hasilnya adalah administrator di akun dapat mendelegasikan izin apa pun kecuali dari Amazon Elastic Compute Cloud (AmazonEC2).
"Statement": [ { "Effect": "Allow", "Action": "*", "Resource": "*" }, { "Effect": "Deny", "Action": "ec2:*", "Resource": "*" } ]
Untuk informasi selengkapnya, lihat Elemen IAM JSON Kebijakan: Pernyataan dalam Panduan IAM Pengguna.
Elemen ID pernyataan (Sid)
Sid adalah pengidentifikasi opsional yang Anda berikan untuk pernyataan kebijakan. Anda dapat menetapkan nilai Sid untuk setiap pernyataan dalam rangkaian pernyataan. Contoh berikut SCP menunjukkan contoh Sid pernyataan.
{ "Statement": { "Sid": "AllowsAllActions", "Effect": "Allow", "Action": "*", "Resource": "*" } }
Untuk informasi selengkapnya, lihat Elemen IAM JSON Kebijakan: Id di Panduan IAM Pengguna.
Elemen Effect
Setiap pernyataan harus berisi satu elemen Effect. Nilai dapat berupa Allow atau Deny, salah satu. Ia mempengaruhi setiap tindakan yang tercantum dalam pernyataan yang sama.
Untuk informasi selengkapnya, lihat Elemen IAM JSON Kebijakan: Efek dalam Panduan IAM Pengguna.
"Effect": "Allow"
Contoh berikut menunjukkan pernyataan SCP dengan yang berisi Effect elemen dengan nilai Allow yang memungkinkan pengguna akun untuk melakukan tindakan untuk layanan Amazon S3. Contoh ini berguna dalam sebuah organisasi yang menggunakan strategi daftar izinkan (dimana kebijakan FullAWSAccess default-nya telah dilepaskan sehingga izin secara implisit ditolak secara default). Hasilnya adalah bahwa pernyataan mengizinkan izin Amazon S3 untuk akun terlampir:
{ "Statement": { "Effect": "Allow", "Action": "s3:*", "Resource": "*" } }
Meskipun pernyataan ini menggunakan kata kunci Allow nilai yang sama dengan kebijakan IAM izin, dalam pernyataan SCP itu tidak benar-benar memberikan izin pengguna untuk melakukan apa pun. Sebagai gantinya, SCPs bertindak sebagai filter yang menentukan izin maksimum untuk IAM pengguna dan IAM peran dalam organisasi. Dalam contoh sebelumnya, bahkan jika pengguna di akun memiliki kebijakan AdministratorAccess terkelola yang dilampirkan, ini SCP membatasi semua pengguna di akun yang terpengaruh hanya untuk tindakan Amazon S3.
"Effect": "Deny"
Dalam pernyataan di mana Effect elemen memiliki nilaiDeny, Anda juga dapat membatasi akses ke sumber daya tertentu atau menentukan kondisi kapan SCPs berlaku.
Berikut ini menunjukkan contoh bagaimana menggunakan kunci syarat dalam pernyataan tolak.
{ "Version": "2012-10-17", "Statement": { "Effect": "Deny", "Action": "ec2:RunInstances", "Resource": "arn:aws:ec2:*:*:instance/*", "Condition": { "StringNotEquals": { "ec2:InstanceType": "t2.micro" } } } }
Pernyataan ini dalam SCP menetapkan pagar pembatas untuk mencegah akun yang terpengaruh (di mana SCP dilampirkan ke akun itu sendiri atau ke root organisasi atau OU yang berisi akun), dari meluncurkan instans Amazon EC2 jika EC2 instans Amazon tidak disetel ke. t2.micro Bahkan jika IAM kebijakan yang memungkinkan tindakan ini dilampirkan ke akun, pagar pembatas yang dibuat oleh SCP mencegahnya.
Elemen Action dan NotAction
Setiap pernyataan harus berisi salah satu dari berikut ini:
-
Dalam pernyataan mengizinkan dan menolak, sebuah elemen
Action. -
Dalam pernyataan menolak saja (di mana nilai dari elemen
EffectadalahDeny), sebuah elemenActionatau elemenNotAction.
Nilai untuk NotAction elemen Action or adalah daftar (JSONarray) string yang mengidentifikasi Layanan AWS dan tindakan yang diizinkan atau ditolak oleh pernyataan.
Setiap string terdiri dari singkatan untuk layanan (seperti "s3", "ec2", "iam", atau "organisasi"), dalam semua huruf kecil, diikuti oleh titik dua dan kemudian tindakan dari layanan tersebut. Tindakan dan tindakan tidak peka huruf besar/kecil. Umumnya, mereka semua diketik dengan setiap kata dimulai dengan huruf besar dan sisanya huruf kecil. Sebagai contoh: "s3:ListAllMyBuckets".
Anda juga dapat menggunakan karakter wildcard seperti asterisk (*) atau tanda tanya (?) dalam sebuahSCP:
-
Gunakan tanda bintang (*) sebagai wildcard untuk mencocokkan beberapa tindakan yang berbagi bagian dari nama. Nilai
"s3:*"artinya semua tindakan dalam layanan Amazon S3. Nilai hanya"ec2:Describe*"cocok dengan EC2 tindakan yang dimulai dengan “Jelaskan”. -
Gunakan tanda tanya (?) wildcard untuk mencocokkan satu karakter.
catatan
Dalam sebuahSCP, karakter wildcard (*) dan (?) dalam NotAction elemen Action atau dapat digunakan hanya dengan sendirinya atau pada akhir string. Ia tidak dapat muncul di awal atau tengah string. Oleh karena "servicename:action*" itu, valid, tetapi "servicename:*action" dan "servicename:some*action" keduanya tidak valid di. SCPs
Untuk daftar semua layanan dan tindakan yang mereka dukung AWS Organizations SCPs dalam kebijakan IAM izin, Tindakan, Sumber Daya, dan Kunci Kondisi Layanan AWS dalam Referensi Otorisasi Layanan.
Untuk informasi selengkapnya, lihat Elemen IAM JSON IAM JSON Kebijakan: Tindakan dan Elemen Kebijakan: NotAction di Panduan IAM Pengguna.
Contoh elemen Action
Contoh berikut menunjukkan pernyataan SCP dengan yang mengizinkan administrator akun untuk mendelegasikan izin mendeskripsikan, memulai, menghentikan, dan mengakhiri untuk EC2 instance di akun. Ini adalah contoh daftar izinkan, dan berguna ketika kebijakan Allow * default tidak dilampirkan sehingga, secara default, izin secara implisit ditolak. Jika kebijakan Allow
* default masih dilampirkan pada akar, OU, atau akun yang dilampiri dengan kebijakan berikut, kebijakan tidak berpengaruh.
{ "Version": "2012-10-17", "Statement": { "Effect": "Allow", "Action": [ "ec2:DescribeInstances", "ec2:DescribeImages", "ec2:DescribeKeyPairs", "ec2:DescribeSecurityGroups", "ec2:DescribeAvailabilityZones", "ec2:RunInstances", "ec2:TerminateInstances", "ec2:StopInstances", "ec2:StartInstances" ], "Resource": "*" } }
Contoh berikut menunjukkan bagaimana Anda dapat menolak akses ke layanan yang Anda ingin tidak gunakan di akun terlampir. Ini mengasumsikan bahwa default "Allow *" SCPs masih melekat pada semua OUs dan root. Kebijakan contoh ini mencegah administrator akun di akun terlampir mendelegasikan izin apa pun untuk layanan, IAM Amazon, EC2 dan Amazon. RDS Setiap tindakan dari layanan lain dapat didelegasikan selama tidak ada kebijakan terlampir lain yang menolaknya.
{ "Version": "2012-10-17", "Statement": { "Effect": "Deny", "Action": [ "iam:*", "ec2:*", "rds:*" ], "Resource": "*" } }
Contoh elemen NotAction
Contoh berikut menunjukkan bagaimana Anda dapat menggunakan NotAction elemen untuk mengecualikan Layanan AWS dari efek kebijakan.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "LimitActionsInRegion", "Effect": "Deny", "NotAction": "iam:*", "Resource": "*", "Condition": { "StringNotEquals": { "aws:RequestedRegion": "us-west-1" } } } ] }
Dengan pernyataan ini, akun yang terpengaruh dibatasi untuk mengambil tindakan dalam yang ditentukan Wilayah AWS, kecuali saat menggunakan IAM tindakan.
Elemen Resource
Dalam pernyataan di mana Effect elemen memiliki nilaiAllow, Anda dapat menentukan hanya “*” dalam Resource elemenSCP. Anda tidak dapat menentukan sumber daya individu Amazon Resource Names (ARNs).
Anda juga dapat menggunakan karakter wildcard seperti asterisk (*) atau tanda tanya (?) dalam elemen sumber daya:
-
Gunakan tanda bintang (*) sebagai wildcard untuk mencocokkan beberapa tindakan yang berbagi bagian dari nama.
-
Gunakan tanda tanya (?) wildcard untuk mencocokkan satu karakter.
Dalam pernyataan di mana Effect elemen memiliki nilaiDeny, Anda dapat menentukan individuARNs, seperti yang ditunjukkan pada contoh berikut.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "DenyAccessToAdminRole", "Effect": "Deny", "Action": [ "iam:AttachRolePolicy", "iam:DeleteRole", "iam:DeleteRolePermissionsBoundary", "iam:DeleteRolePolicy", "iam:DetachRolePolicy", "iam:PutRolePermissionsBoundary", "iam:PutRolePolicy", "iam:UpdateAssumeRolePolicy", "iam:UpdateRole", "iam:UpdateRoleDescription" ], "Resource": [ "arn:aws:iam::*:role/role-to-deny" ] } ] }
Ini SCP membatasi IAM pengguna dan peran di akun yang terpengaruh untuk membuat perubahan pada IAM peran administratif umum yang dibuat di semua akun di organisasi Anda.
Untuk informasi selengkapnya, lihat Elemen IAM JSON Kebijakan: Sumber Daya di Panduan IAM Pengguna.
Elemen Condition
Anda dapat menentukan Condition elemen dalam pernyataan penolakan dalam sebuahSCP.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "DenyAllOutsideEU", "Effect": "Deny", "NotAction": ["cloudfront:*", "iam:*", "route53:*", "support:*"], "Resource": "*", "Condition": { "StringNotEquals": { "aws:RequestedRegion": ["eu-central-1", "eu-west-1"] } } } ] }
Ini SCP menolak akses ke operasi apa pun di luar eu-central-1 dan eu-west-1 Wilayah, kecuali untuk tindakan dalam layanan yang terdaftar.
Untuk informasi selengkapnya, lihat Elemen IAM JSON Kebijakan: Kondisi dalam Panduan IAM Pengguna.
Elemen yang Tidak Didukung
Elemen berikut tidak didukung diSCPs:
-
Principal -
NotPrincipal -
NotResource
