Creazione di politiche organizzative con AWS Organizations - AWS Organizations
Crea una politica di backupCrea una politica sui tagCrea una politica di esclusione dei servizi di intelligenza artificialeCrea una politica di controllo del servizio (SCP)

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Creazione di politiche organizzative con AWS Organizations

Dopo aver abilitato le politiche per la tua organizzazione, puoi creare una politica.

Questo argomento descrive come creare politiche con AWS Organizations. Una politica definisce i controlli che si desidera applicare a un gruppo di Account AWS. AWS Organizations supporta le politiche di gestione e le politiche di autorizzazione.

Crea una politica di backup

Autorizzazioni minime

Per creare una policy di backup, è necessaria l'autorizzazione per eseguire l'operazione seguente:

  • organizations:CreatePolicy

AWS Management Console

È possibile creare una politica di backup nel AWS Management Console in due modi:

  • Un editor visivo che ti consente di scegliere le opzioni e genera JSON automaticamente il testo della policy.

  • Un editor di testo che ti consente di creare direttamente il testo della JSON politica da solo.

L'editor visivo semplifica il processo, ma limita la flessibilità. È ottimo per creare le prime policy e iniziare a utilizzarle. Dopo aver compreso come funzionano e aver iniziato a essere limitati dalle funzionalità offerte dall'editor visivo, puoi aggiungere funzionalità avanzate alle tue politiche modificando tu stesso il testo delle JSON politiche. L'editor visivo utilizza solo l'operatore di impostazione del valore @@assign e non fornisce alcun accesso agli operatori di controllo figli. È possibile aggiungere gli operatori di controllo dei minori solo se si modifica manualmente il testo della JSON politica.

Per creare una policy di backup

  1. Accedi al AWS Organizations console. È necessario accedere come IAM utente, assumere un IAM ruolo o accedere come utente root (scelta non consigliata) nell'account di gestione dell'organizzazione.

  2. Nella pagina Backup policies (Policy di backup), scegli Create policy (Crea policy).

  3. Nella pagina Create policy (Crea policy), inserisci un Nome policy e una Descrizione policy (facoltativa).

  4. (Facoltativo) Per aggiungere uno o più tag alla policy, scegli Add tag (Aggiungi tag) e quindi inserisci una chiave e un valore facoltativo. Lasciando vuoto il valore, questo viene impostato su una stringa vuota; non è null. Puoi associare fino a 50 tag a una policy. Per ulteriori informazioni sull'assegnazione di tag, consulta Assegnazione di tag AWS Organizations risorse.

  5. È possibile creare la policy utilizzando l'editor visivo come descritto in questa procedura. Puoi anche inserire o incollare il testo della policy nella JSONscheda. Per informazioni sulla sintassi della policy di backup, consulta Sintassi ed esempi delle policy di backup.

    Se si sceglie di utilizzare Editor visivo, selezionare le opzioni di backup appropriate per lo scenario. Un piano di backup è composto da tre parti. Per ulteriori informazioni su questi elementi del piano di backup, vedere Creazione di un piano di backup e Assegnazione di risorse nella AWS Backup Guida per gli sviluppatori.

    1. Dettagli generali del piano di backup

      • Il Nome del piano di Backup può essere costituito solo da caratteri alfanumerici, trattini e caratteri di sottolineatura.

      • È necessario selezionare almeno una regione del piano di Backup dall'elenco. Il piano può eseguire il backup delle risorse solo nelle aree selezionate Regioni AWS.

    2. Una o più regole di backup che specificano come e quando AWS Backup è operare. Ogni regola di backup definisce i seguenti elementi:

      • Una pianificazione che include la frequenza del backup e la finestra temporale in cui può verificarsi il backup.

      • Il nome del vault di backup da utilizzare. Il Nome del vault di Backup può essere costituito solo da caratteri alfanumerici, trattini e caratteri di sottolineatura. Per poter eseguire correttamente il piano, il vault di backup deve esistere già. Crea il vault usando il AWS Backup console o AWS CLI comandi.

      • (Facoltativo) Una o più regole Copy to region per copiare anche il backup negli archivi di altri Regioni AWS.

      • Una o più coppie di valori e chiavi di tag da collegare ai punti di ripristino di backup creati ogni volta che si esegue questo piano di backup.

      • Opzioni del ciclo di vita che specificano quando il backup passa allo storage a freddo e quando il backup scade.

      Scegli Add rule (Aggiungi regola) per aggiungere ogni regola necessaria al piano.

      Per ulteriori informazioni sulle regole di backup, vedere Regole di backup nella AWS Backup Guida per gli sviluppatori.

    3. Un'assegnazione di risorse che specifica quali risorse AWS Backup dovrebbe eseguire il backup con questo piano. L'assegnazione viene effettuata specificando coppie di tag che AWS Backup utilizza per trovare e abbinare le risorse

      • Il nome dell'assegnazione risorsa può essere costituito solo da caratteri alfanumerici, trattini e caratteri di sottolineatura.

      • Specificare il IAMruolo per AWS Backup da utilizzare per eseguire il backup in base al suo nome.

        Nella console, non specifichi l'intero Amazon Resource Name (ARN). È necessario includere il nome del ruolo e il relativo prefisso che specifica il tipo di ruolo. I prefissi sono in genere role o service-role e sono separati dal nome del ruolo da una barra ('/'). Ad esempio, è possibile immettere role/MyRoleName o service-role/MyManagedRoleName. Questo viene convertito in versione completa ARN per te quando viene memorizzato nel file sottostanteJSON.

        Importante

        Il IAM ruolo specificato deve già esistere nell'account a cui viene applicata la politica. In caso contrario, il piano di backup potrebbe avviare correttamente i processi di backup, ma questi non andranno a buon fine.

      • Specifica uno o più valori per Resource tag key (Chiave di tag risorsa) e Tag values (Valori di tag) per identificare le risorse di cui vuoi far eseguire il backup. Se sono presenti più valori di tag, separa i valori con virgole.

      Scegli Add assignment (Aggiungi un'assegnazione) per aggiungere ogni assegnazione di risorse configurata al piano di backup.

      Per ulteriori informazioni, vedere Assegnazione di risorse a un piano di Backup nel AWS Backup Guida per gli sviluppatori.

  6. Al termine della creazione della policy, scegli Create policy (Crea policy). La policy viene visualizzata nell'elenco delle policy di backup disponibili.

AWS CLI & AWS SDKs
Per creare una policy di backup

Per creare una policy di backup, puoi utilizzare una delle seguenti opzioni:

  • AWS CLI: create-policy

    Crea un piano di backup come JSON testo simile al seguente e memorizzalo in un file di testo. Per le regole complete per la sintassi, consulta Sintassi ed esempi delle policy di backup.

    {
    "plans": {
        "PII_Backup_Plan": {
            "regions": { "@@assign": [ "ap-northeast-2", "us-east-1", "eu-north-1" ] },
            "rules": {
                "Hourly": {
                    "schedule_expression": { "@@assign": "cron(0 5/1 ? * * *)" },
                    "start_backup_window_minutes": { "@@assign": "480" },
                    "complete_backup_window_minutes": { "@@assign": "10080" },
                    "lifecycle": {
                        "move_to_cold_storage_after_days": { "@@assign": "180" },
                        "delete_after_days": { "@@assign": "270" }
                    },
                    "target_backup_vault_name": { "@@assign": "FortKnox" },
                    "copy_actions": {
                        "arn:aws:backup:us-east-1:$account:backup-vault:secondary-vault": {
                            "lifecycle": {
                                "move_to_cold_storage_after_days": { "@@assign": "10" },
                                "delete_after_days": { "@@assign": "100" }
                            }
                        }
                    }
                }
            },
            "selections": {
                "tags": {
                    "datatype": {
                        "iam_role_arn": { "@@assign": "arn:aws:iam::$account:role/MyIamRole" },
                        "tag_key": { "@@assign": "dataType" },
                        "tag_value": { "@@assign": [ "PII" ] }
                    }
                }
            }
        }
    }
}

    Questo piano di backup specifica che AWS Il backup dovrebbe eseguire il backup di tutte le risorse nell'area interessata Account AWS che sono nel campo specificato Regioni AWS e che hanno il tag dataType con un valore diPII.

    Successivamente, importa il piano di backup del file di JSON policy per creare una nuova policy di backup nell'organizzazione. Annota l'ID della policy alla fine della policy ARN nell'output.

    $ aws organizations create-policy \
    --name "MyBackupPolicy" \
    --type BACKUP_POLICY \
    --description "My backup policy" \
    --content file://policy.json{
    "Policy": {
        "PolicySummary": {
            "Arn": "arn:aws:organizations::o-aa111bb222:policy/backup_policy/p-i9j8k7l6m5",
            "Description": "My backup policy",
            "Name": "MyBackupPolicy",
            "Type": "BACKUP_POLICY"
        }
        "Content": "...a condensed version of the JSON policy document you provided in the file...",
    }
}

  • AWS SDKs: CreatePolicy
Cosa fare in seguito

Dopo aver creato una policy di backup, puoi applicarla. A tale scopo, puoi allegare la politica alla radice dell'organizzazione, alle unità organizzative (OUs), Account AWS all'interno della propria organizzazione o in una combinazione di tutte queste.

Crea una politica sui tag

Autorizzazioni minime

Per creare le policy di tag, è necessaria l'autorizzazione per la seguente operazione:

  • organizations:CreatePolicy

È possibile creare una politica sui tag nel AWS Management Console in due modi:

  • Un editor visivo che ti consente di scegliere le opzioni e genera JSON automaticamente il testo della policy.

  • Un editor di testo che ti consente di creare direttamente il testo della JSON politica da solo.

L'editor visivo semplifica il processo, ma limita la flessibilità. È ottimo per creare le prime policy e iniziare a utilizzarle. Dopo aver compreso come funzionano e aver iniziato a essere limitati dalle funzionalità offerte dall'editor visivo, puoi aggiungere funzionalità avanzate alle tue politiche modificando tu stesso il testo delle JSON politiche. L'editor visivo utilizza solo l'operatore di impostazione del valore @@assign e non fornisce alcun accesso agli operatori di controllo figli. È possibile aggiungere gli operatori di controllo dei minori solo se si modifica manualmente il testo della JSON politica.

AWS Management Console

È possibile creare una politica sui tag nel AWS Management Console in due modi:

  • Un editor visivo che ti consente di scegliere le opzioni e genera JSON automaticamente il testo della policy.

  • Un editor di testo che ti consente di creare direttamente il testo della JSON politica da solo.

L'editor visivo semplifica il processo, ma limita la flessibilità. È ottimo per creare le prime policy e iniziare a utilizzarle. Dopo aver compreso come funzionano e aver iniziato a essere limitati dalle funzionalità offerte dall'editor visivo, puoi aggiungere funzionalità avanzate alle tue politiche modificando tu stesso il testo delle JSON politiche. L'editor visivo utilizza solo l'operatore di impostazione del valore @@assign e non fornisce alcun accesso agli operatori di controllo figli. È possibile aggiungere gli operatori di controllo dei minori solo se si modifica manualmente il testo della JSON politica.

Per creare una policy di tag

  1. Accedi al AWS Organizations console. È necessario accedere come IAM utente, assumere un IAM ruolo o accedere come utente root (scelta non consigliata) nell'account di gestione dell'organizzazione.

  2. Nella pagina Tag policies (Policy di tag), scegli Create policy (Crea policy).

  3. Nella pagina Create policy (Crea policy), inserisci un Nome policy e una Descrizione policy (facoltativa).

  4. (Facoltativo) Puoi aggiungere uno o più tag per l'oggetto policy. Questi tag non fanno parte della policy. A questo scopo, scegli Add tag (Aggiungi tag) e inserisci una chiave e un valore facoltativo. Lasciando vuoto il valore, questo viene impostato su una stringa vuota; non è null. Puoi associare fino a 50 tag a una policy. Per ulteriori informazioni, consulta Assegnazione di tag AWS Organizations risorse.

  5. È possibile creare la policy di tag utilizzando l'editor visivo come descritto in questa procedura. Puoi anche digitare o incollare una politica sui tag nella JSONscheda. Per informazioni sulla sintassi delle policy di tag, consulta Sintassi delle policy di tag.

    Se scegli di utilizzare l'editor visivo, specifica quanto segue:

  6. Per New tag key 1 (Nuova chiave di tag 1), specifica il nome di una chiave di tag da aggiungere.

  7. Per le opzioni di conformità, puoi selezionare le seguenti opzioni:

    1. Utilizzate le lettere maiuscole che avete specificato sopra per la chiave del tag: lasciate questa opzione deselezionata (impostazione predefinita) per specificare che la politica del tag principale ereditata, se esiste, deve definire il trattamento tra maiuscole e minuscole per la chiave del tag.

      Seleziona questa opzione se desideri impostare una norma specifica su minuscole e maiuscole per la chiave di tag utilizzando questa policy. Se si seleziona questa opzione, l'uso delle maiuscole e delle minuscole specificato per Tag Key (Chiave di tag) sostituisce il trattamento di lettere maiuscole o minuscole specificato in una policy padre ereditata.

      Se non esiste una policy padre e non abiliti questa opzione, solo le chiavi di tag in caratteri minuscoli sono considerate conformi. Per ulteriori informazioni sull'ereditarietà dai policy padre, consulta Comprendere l'ereditarietà delle policy di gestione.

      Suggerimento

      Puoi utilizzare la policy di tag di esempio mostrata in Esempio 1: definire l'uso delle maiuscole o minuscole per la chiave di tag a livello di organizzazione come guida per la creazione di una policy di tag che definisca le chiavi di tag e il relativo trattamento lettere maiuscole o minuscole. Collegala alla root dell'organizzazione. Successivamente, puoi creare e allegare politiche di tag aggiuntive ai nostri account per OUs creare regole di tagging aggiuntive.

    2. Specificate i valori consentiti per questa chiave di tag: attivate questa opzione se desiderate aggiungere i valori consentiti per questa chiave di tag a qualsiasi valore ereditato da una politica principale.

      Per impostazione predefinita, questa opzione è deselezionata, il che significa che solo i valori definiti in ed ereditati da una policy padre sono considerati conformi. Se una policy padre non esiste e non si specificano valori di tag, qualsiasi valore (incluso nessun valore) viene considerato conforme.

      Per aggiornare l'elenco dei valori di tag accettabili, seleziona Specify allowed values for this tag key (Specifica i valori consentiti per questa chiave di tag) quindi scegli Specify values (Specifica valori). Quando richiesto, inserisci i nuovi valori (uno per casella) e scegli Save changes (Salva modifiche).

  8. Per applicare i tipi di risorsa, puoi selezionare Impedisci operazioni non conformi per questo tag.

    Ti consigliamo di lasciare deselezionata questa opzione (impostazione predefinita) a meno che tu non abbia esperienza nell'uso delle politiche relative ai tag. Assicurati di aver esaminato i suggerimenti in Informazioni sull'applicazione ed effettua test accurati. In caso contrario, potresti impedire agli utenti degli account dell'organizzazione di applicare i tag alle risorse necessarie.

    Se desideri applicare la conformità con questa chiave di tag, seleziona la casella di controllo e quindi Specify resource types (Specifica i tipi di risorsa). Quando richiesto, seleziona i tipi di risorsa da includere nella policy. Selezionare quindi Save changes (Salva modifiche).

    Importante

    Quando selezioni questa opzione, tutte le operazioni che manipolano i tag per le risorse dei tipi specificati hanno esito positivo solo se l'operazione genera tag conformi alla policy.

  9. (Opzionale) Per aggiungere un'altra chiave di tag a questa policy di tag, scegliere Add tag key (Aggiungi chiave di tag). Quindi esegui i passaggi da 6 a 9 per definire la chiave di tag.

  10. Al termine della creazione della policy di tag, scegliere Save changes (Salva modifiche).

AWS CLI & AWS SDKs
Per creare una policy di tag

Puoi utilizzare una delle seguenti opzioni per creare una policy di tag:

  • AWS CLI: create-policy

    Puoi usare qualsiasi editor di testo per creare la policy di tag. Usa la JSON sintassi e salva la politica dei tag come file con qualsiasi nome ed estensione in una posizione a tua scelta. Le policy di tag possono avere un massimo di 2.500 caratteri, spazi inclusi. Per informazioni sulla sintassi delle policy di tag, consulta Sintassi delle policy di tag.

    Per creare una policy di tag

    1. Crea una policy di tag in un file di testo simile alla seguente:

      Contenuto di testpolicy.json.

      {
    "tags": {
        "CostCenter": {
            "tag_key": {
                "@@assign": "CostCenter"
            }
        }
    }
}

      Questa policy di tag definisce la chiave di tag CostCenter. Il tag può accettare qualsiasi valore o nessun valore. Una politica come questa significa che una risorsa a cui è associato il CostCenter tag con o senza un valore è conforme.

    2. Crea una policy che contenga il contenuto della policy dal file. Lo spazio bianco extra nell'output è stato troncato per motivi di leggibilità.

      $ aws organizations create-policy \
    --name "MyTestTagPolicy" \
    --description "My Test policy" \
    --content file://testpolicy.json \
    --type TAG_POLICY
{
    "Policy": {
        "PolicySummary": {
            "Id": "p-a1b2c3d4e5",
            "Arn": "arn:aws:organizations::123456789012:policy/o-aa111bb222/tag_policy/p-a1b2c3d4e5",
            "Name": "MyTestTagPolicy",
            "Description": "My Test policy",
            "Type": "TAG_POLICY",
            "AwsManaged": false
        },
        "Content": "{\n\"tags\":{\n\"CostCenter\":{\n\"tag_key\":{\n\"@@assign\":\"CostCenter\"\n}\n}\n}\n}\n\n"
    }
}

  • AWS SDKs: CreatePolicy
Cosa fare in seguito

Dopo aver creato una policy di tag, puoi rendere effettive le regole di tag. A tale scopo, collega la policy alla radice dell'organizzazione, alle unità organizzative ()OUs, Account AWS all'interno dell'organizzazione o in una combinazione di entità organizzative.

Crea una politica di esclusione dei servizi di intelligenza artificiale

Autorizzazioni minime

Per creare una policy di rifiuto dei servizi di IA, è necessaria l'autorizzazione per eseguire l'operazione seguente:

  • organizations:CreatePolicy

AWS Management Console
Per creare una policy di rifiuto dei servizi di IA

  1. Accedi al AWS Organizations console. È necessario accedere come IAM utente, assumere un IAM ruolo o accedere come utente root (scelta non consigliata) nell'account di gestione dell'organizzazione.

  2. Nella pagina AI services opt-out policies (Policy di rifiuto dei servizi di IA), scegli Create policy (Crea policy).

  3. Nella pagina Create new AI services opt-out policy (Crea nuova policy di rifiuto dei servizi di IA, inserisci un Nome policy e facoltativamente una Descrizione per la policy.

  4. (Facoltativo) Per aggiungere uno o più tag alla policy, scegli Add tag (Aggiungi tag) e quindi inserisci una chiave e un valore facoltativo. Lasciando vuoto il valore, questo viene impostato su una stringa vuota; non è null. Puoi associare fino a 50 tag a una policy. Per ulteriori informazioni, consulta Assegnazione di tag AWS Organizations risorse.

  5. Inserisci o incolla il testo della policy nella JSONscheda. Per informazioni sulla sintassi della policy di rifiuto dei servizi di IA, consulta Sintassi ed esempi di policy di rifiuto dei servizi di IA. Per esempi di policy che puoi utilizzare come punto di partenza, consulta Esempi di policy di rifiuto dei servizi di IA.

  6. Al termine delle modifica della policy, seleziona Create policy (Crea policy nell'angolo in basso a destra della pagina.

AWS CLI & AWS SDKs
Per creare una policy di rifiuto dei servizi di IA

Puoi utilizzare una delle seguenti opzioni per creare una policy di tag:

  • AWS CLI: create-policy

    1. Crea una policy di rifiuto dei servizi di IA come la seguente e archiviala in un file di testo. Nota: "optOut" e "optIn" fanno distinzione tra lettere maiuscole e minuscole.

      {
    "services": {
        "default": {
            "opt_out_policy": {
                "@@assign": "optOut"
            }
        },
        "rekognition": {
            "opt_out_policy": {
                "@@assign": "optIn"
            }
        }
    }
}

      Questa policy di rifiuto dei servizi di IA specifica che tutti gli account interessati dalla policy sono esclusi da tutti i servizi di IA, ad eccezione di Amazon Rekognition.

    2. Importa il file di JSON policy per creare una nuova policy nell'organizzazione. In questo esempio, il JSON file precedente è stato denominatopolicy.json.

      $ aws organizations create-policy \
    --type AISERVICES_OPT_OUT_POLICY \
    --name "MyTestPolicy" \
    --description "My test policy" \
    --content file://policy.json
{
    "Policy": {
        "Content": "{\"services\":{\"default\":{\"opt_out_policy\":{\"@@assign\":\"optOut\"}},\"rekognition\":{\"opt_out_policy\":{\"@@assign\":\"optIn\"}}}}",
        "PolicySummary": {
            "Id": "p-i9j8k7l6m5"
            "Arn": "arn:aws:organizations::o-aa111bb222:policy/aiservices_opt_out_policy/p-i9j8k7l6m5",
            "Description": "My test policy",
            "Name": "MyTestPolicy",
            "Type": "AISERVICES_OPT_OUT_POLICY"
        }
    }
}

  • AWS SDKs: CreatePolicy
Cosa fare in seguito

Dopo avere creato una policy di rifiuto dei servizi di IA, puoi applicare le scelte di rifiuto. A tale scopo, è possibile allegare la policy alla radice dell'organizzazione, alle unità organizzative (OUs), Account AWS all'interno della propria organizzazione o in una combinazione di tutte queste.

Crea una politica di controllo del servizio (SCP)

Autorizzazioni minime

Per creareSCPs, è necessaria l'autorizzazione per eseguire la seguente azione:

  • organizations:CreatePolicy

AWS Management Console
Per creare una policy di controllo dei servizi

  1. Accedere a AWS Organizations console. È necessario accedere come IAM utente, assumere un IAM ruolo o accedere come utente root (scelta non consigliata) nell'account di gestione dell'organizzazione.

  2. Nella pagina Service control policies (Policy di controllo dei servizi), scegli Create policy (Crea policy).

  3. Nella pagina Create new service control policy (Crea nuova policy di controllo dei servizi), inserisci un Nome policy e una Descrizione policy (facoltativa).

  4. (Facoltativo) Per aggiungere uno o più tag, scegli Add tag (Aggiungi tag) e quindi inserisci una chiave e un valore facoltativo. Lasciando vuoto il valore, questo viene impostato su una stringa vuota; non è null. Puoi associare fino a 50 tag a una policy. Per ulteriori informazioni, consulta Assegnazione di tag AWS Organizations risorse.

    Nota

    Nella maggior parte dei passaggi che seguono, descriviamo l'utilizzo dei controlli sul lato destro dell'JSONeditor per costruire la politica, elemento per elemento. In alternativa, puoi semplicemente inserire il testo in qualsiasi momento nell'JSONeditor sul lato sinistro della finestra. Puoi digitare direttamente o utilizzare la funzione copia e incolla.

  5. Per creare la policy, le prossime fasi variano a seconda del fatto che desideri aggiungere un'istruzione che nega o consente l'accesso. Per ulteriori informazioni, consulta SCPvalutazione. Se si utilizzano Deny le istruzioni, si dispone di un controllo aggiuntivo in quanto è possibile limitare l'accesso a risorse specifiche, definire le condizioni relative all'SCPsentrata in vigore e utilizzare l'NotActionelemento. Per informazioni dettagliate sulla sintassi, consulta SCPsintassi.

    Per aggiungere un'istruzione che nega l'accesso:

    1. Nel riquadro Modifica istruzioni a destra dell'editor, in Aggiungi azioni, scegli un AWS servizio.

      Quando scegli le opzioni a destra, l'JSONeditor si aggiorna per mostrare la JSON politica corrispondente a sinistra.

    2. Dopo avere selezionato un servizio, viene aperto un elenco contenente le operazioni disponibili per tale servizio. È possibile scegliere All actions (Tutte le operazioni) o scegliere una o più singole operazioni che si desidera negare.

      La JSON parte a sinistra si aggiorna per includere le azioni selezionate.

      Nota

      Se si seleziona una singola azione e poi si torna indietro e si seleziona anche Tutte le azioni, la voce prevista per servicename/* viene aggiunta aJSON, ma le singole azioni selezionate in precedenza vengono lasciate JSON e non rimosse.

    3. Se desideri aggiungere operazioni da servizi aggiuntivi, puoi scegliere All services (Tutti i servizi) nella parte alta della casella Statement (Istruzione), quindi ripeti i due passaggi precedenti in base alle esigenze.

    4. Specificare le risorse da includere nell'istruzione.

      • Vicino a Aggiungi una risorsa, scegli Aggiungi.

      • Nella finestra di dialogo Add resource (Aggiungi risorsa), seleziona dall'elenco il servizio di cui desideri controllare le risorse. Puoi scegliere solo tra i servizi selezionati nel passaggio precedente.

      • In Resource type (Tipo di risorsa), scegli il tipo di risorsa da controllare.

      • Infine, completa Amazon Resource Name (ARN) in Resource ARN per identificare la risorsa specifica a cui desideri controllare l'accesso. È necessario sostituire tutti i segnaposto circondati da parentesi graffe {}. Puoi specificare wild card (*) dove la ARN sintassi di quel tipo di risorsa lo consente. Per informazioni su dove è possibile utilizzare i caratteri jolly, consulta la documentazione relativa a un tipo di risorsa specifico.

      • Salva la tua aggiunta alla policy scegliendo Add resource (Aggiungi risorsa). L'Resourceelemento in JSON riflette le tue aggiunte o modifiche. L'elemento Resource (Risorsa) è obbligatorio.

      Suggerimento

      Se desideri specificare tutte le risorse per il servizio selezionato, scegli l'opzione Tutte le risorse nell'elenco o modifica l'Resourceistruzione direttamente nella sezione JSON da leggere"Resource":"*".

    5. (Facoltativo) Per specificare le condizioni che limitano l'applicazione di un'istruzione delle policy, vicino a Aggiungi condizione, scegli Aggiungi.

      • Chiave di condizione: dall'elenco è possibile scegliere qualsiasi chiave di condizione disponibile per tutti AWS servizi (ad esempio,aws:SourceIp) o una chiave specifica del servizio solo per uno dei servizi selezionati per questa istruzione.

      • Qualifier (Qualificatore) - (Facoltativo) Se si inseriscono più valori per una condizione (che dipende dalla chiave di condizione specificata), è possibile specificare un qualificatore per testare le richieste rispetto ai valori.

        • Default - Verifica un singolo valore nella richiesta in base al valore della chiave di condizione nella policy. La condizione restituisce vero se il valore nella richiesta corrisponde al valore nella policy. Se la policy specifica più di un valore, vengono trattati come un test "oppure"" e la condizione restituisce vero se i valori della richiesta corrispondono a uno qualsiasi dei valori della policy.

        • Per qualsiasi valore in una richiesta - Quando la richiesta può avere più valori, questa opzione verifica se almeno uno dei valori della richiesta corrisponde ad almeno uno dei valori della chiave di condizione nella policy. La condizione restituisce true se uno qualsiasi dei valori della chiave nella richiesta corrisponde a uno qualsiasi valore della condizione nella policy. Nel caso di nessuna chiave corrispondente o di un set di dati vuoto, la condizione restituisce il valore false.

        • Per tutti i valori in una richiesta - Quando la richiesta può avere più valori, questa opzione verifica se il valore di ogni richiesta corrisponde a un valore della chiave di condizione nella policy. La condizione restituisce true se ogni valore delle chiavi nella richiesta corrisponde ad almeno un valore nella policy. Restituisce true anche se non ci sono chiavi nella richiesta o se i valori delle chiavi si riducono a un set di dati nullo, ad esempio una stringa vuota.

      • Operatore - L'operatore specifica il tipo di confronto da effettuare. Le opzioni presentate dipendono dal tipo di dato della chiave di condizione. Ad esempio, la chiave di condizione globale aws:CurrentTime consente di scegliere da uno qualsiasi degli operatori di confronto data, o Null, che è possibile utilizzare per verificare se il valore è presente nella richiesta.

        Per qualsiasi operatore di condizioni tranne il Null test, è possibile scegliere l'IfExistsopzione.

      • Valore - (Facoltativo) Specifica uno o più valori per i quali desideri testare la richiesta.

      Scegliere Aggiungi condizione.

      Per ulteriori informazioni sulle chiavi di condizione, vedere IAMJSONPolicy Elements: Condition nella Guida IAM per l'utente.

    6. (Facoltativo) Per utilizzare l'elemento NotAction per negare l'accesso a tutte le operazioni ad eccezione di quelle specificate, sostituire Action nel riquadro sinistro con NotAction, subito dopo l'elemento "Effect": "Deny",. Per ulteriori informazioni, vedere IAMJSONPolicy Elements: NotAction nella Guida IAM per l'utente.

  6. Per aggiungere un'istruzione che consente l'accesso:

    1. Nell'JSONeditor a sinistra, modifica la riga "Effect": "Deny" in"Effect": "Allow".

      Quando scegli le opzioni a destra, l'JSONeditor si aggiorna per mostrare la JSON politica corrispondente a sinistra.

    2. Dopo avere selezionato un servizio, viene aperto un elenco contenente le operazioni disponibili per tale servizio. È possibile scegliere All actions (Tutte le operazioni) o scegliere una o più singole operazioni che si desidera consentire.

      La JSON parte a sinistra si aggiorna per includere le azioni selezionate.

      Nota

      Se si seleziona una singola azione e poi si torna indietro e si seleziona anche Tutte le azioni, la voce prevista per servicename/* viene aggiunta aJSON, ma le singole azioni selezionate in precedenza vengono lasciate JSON e non rimosse.

    3. Se desideri aggiungere operazioni da servizi aggiuntivi, puoi scegliere All services (Tutti i servizi) nella parte alta della casella Statement (Istruzione), quindi ripeti i due passaggi precedenti in base alle esigenze.

  7. (Facoltativo) Per aggiungere un'altra istruzione alla policy, scegli Add statement (Aggiungi istruzione) e utilizza l'editor visivo per creare l'istruzione successiva.

  8. Quando hai finito di aggiungere le dichiarazioni, scegli Crea politica per salvare le istruzioni completateSCP.

La tua nuova SCP viene visualizzata nell'elenco delle politiche dell'organizzazione. Ora puoi allegare i tuoi account SCP alla radice o agli account. OUs

AWS CLI & AWS SDKs
Per creare una policy di controllo dei servizi

È possibile utilizzare uno dei seguenti comandi per creare un fileSCP:

  • AWS CLI: create-policy

    L'esempio seguente presuppone che sia presente un file denominato Deny-IAM.json con il testo della JSON policy. Utilizza tale file per creare una nuova policy di controllo dei servizi.

    $ aws organizations create-policy \
    --content file://Deny-IAM.json \
    --description "Deny all IAM actions" \
    --name DenyIAMSCP \
    --type SERVICE_CONTROL_POLICY
{
    "Policy": {
        "PolicySummary": {
            "Id": "p-i9j8k7l6m5",
            "Arn": "arn:aws:organizations::123456789012:policy/o-aa111bb222/service_control_policy/p-i9j8k7l6m5",
            "Name": "DenyIAMSCP",
            "Description": "Deny all IAM actions",
            "Type": "SERVICE_CONTROL_POLICY",
            "AwsManaged": false
        },
         "Content": "{\"Version\":\"2012-10-17\",\"Statement\":[{\"Sid\":\"Statement1\",\"Effect\":\"Deny\",\"Action\":[\"iam:*\"],\"Resource\":[\"*\"]}]}"
    }
}

  • AWS SDKs: CreatePolicy
Nota

SCPsnon hanno effetto sull'account di gestione e in alcune altre situazioni. Per ulteriori informazioni, consulta Attività ed entità non limitate da SCPs.