Este guia explicará o processo de criação de uma política de controle de serviço usando os seguintes métodos:
Pré-requisito: Habilitar Política de Controle de Serviço
Para criar uma política de controle de serviço na AWS, é necessário habilitá-la no painel do AWS Organizations:
No painel Organizações, clique no botão “ Políticas ” no painel esquerdo para ir para sua página:
Clique no ' Políticas de controle de serviço ” do botão “ Tipos de política compatíveis ' seção:
Clique no ' Habilitar políticas de controle de serviço ” na página Políticas de controle de serviço para habilitar seus serviços:
Método 1: usando o Console de gerenciamento da AWS
Depois que as políticas de controle de serviço estiverem habilitadas, basta clicar no botão “ Criar política ' botão:
Agora, inicie a configuração da política de controle de serviço digitando seu nome:
A adição de tags é um processo opcional, portanto o usuário pode adicionar tags para identificações do SCP, e uma guia de valor vazia gerará uma string nula para a chave:
Role para baixo para localizar a seção Política e digite o nome do serviço para adicionar uma declaração de política no formato JSON:
Após escolher o serviço AWS, basta selecionar as ações para permitir ou negar a política:
O usuário pode adicionar um recurso ou uma condição a ser anexada à política, bastando clicar no botão “ Adicionar ' botão:
Para adicionar um recurso com a declaração de política, basta selecionar o serviço e escolher também o tipo de recurso antes de clicar no botão “ Adicionar recurso ' botão:
Após toda a configuração, basta revisar a política e clicar no botão “ Criar política ' botão:
A apólice foi criada com sucesso, basta clicar em seu nome para entrar na página de detalhes:
Os detalhes da política estão disponíveis nesta página e o usuário sempre pode editar a política ou criar uma nova também:
Método 2: usando a AWS CLI
Para criar uma política de controle de serviço usando a AWS CLI, é necessário criar uma instrução para a política no formato JSON. Um exemplo da declaração de política para negar todas as ações do IAM no formato JSON é mencionado abaixo:
{'Versão' : '2012-10-17' ,
'Declaração' : [
{
'Sid' : 'NegarAccessToASpecificRole' ,
'Efeito' : 'Negar' ,
'Ação' : [
'jam:AttachRolePolicy' ,
'jam:DeleteRole' ,
'iam:DeleteRolePermissionsBoundary' ,
'iam:DeleteRolePolicy' ,
'iam:DetachRolePolicy' ,
'iam:PutRolePermissionsBoundary' ,
'jam:PutRolePolicy' ,
'iam:UpdateAssumeRolePolicy' ,
'iam:UpdateRole' ,
'iam:UpdateRoleDescription'
] ,
'Recurso' : [
'arn:aws:iam::*:role/nome-do-role-to-deny'
]
}
]
}
Depois disso, use o seguinte comando da AWS CLI para criar uma política no serviço AWS Organizations usando um arquivo JSON armazenado no diretório local. Este comando contém o nome, a descrição e o tipo da política de controle de serviço a ser adicionada à organização:
políticas de criação de políticas de organizações aws --contente arquivo: // Negar-IAM.json --descrição 'Negar todas as ações do IAM' --nome Negar IAMCP --tipo SERVICE_CONTROL_POLICY 
Para verificar a criação da política de controle de serviço, basta acessar o painel e clicar no nome da política:
Na página de detalhes da política, clique no botão “ Contente ” e role para baixo para verificar o conteúdo da política:
A captura de tela a seguir exibe o conteúdo da política e o usuário pode editar a declaração:
Isso é tudo sobre como criar uma política de controle de serviço no serviço AWS Organization.
Conclusão
Para criar um “ Política de controle de serviço ” no painel do AWS Organizations, é necessário habilitar a política primeiro. Depois disso, o usuário pode criar o SCP usando o AWS Management Console ou a AWS Command Line Interface. Este guia explicou o processo de criação de uma política de controle de serviço na AWS Organization usando os dois métodos.