In deze handleiding wordt het proces uitgelegd van het maken van een servicecontrolebeleid met behulp van de volgende methoden:
Voorwaarde: Servicebeheerbeleid inschakelen
Om een servicecontrolebeleid in AWS te maken, is het vereist om dit in te schakelen via het dashboard van de AWS-organisatie:
Klik op het dashboard Organisaties op de knop ' Beleid ”-knop in het linkerpaneel om naar de bijbehorende pagina te gaan:
Klik op de ' Beleid voor servicecontrole ” knop van de “ Ondersteunde beleidstypen ' sectie:
Klik op de ' Servicecontrolebeleid inschakelen ”-knop van de pagina Servicebeheerbeleid om de services in te schakelen:
Methode 1: AWS-beheerconsole gebruiken
Zodra het servicecontrolebeleid is ingeschakeld, klikt u eenvoudig op de knop ' Beleid maken ' knop:
Start nu de configuratie van het servicecontrolebeleid door de naam ervan te typen:
Het toevoegen van tags is een optioneel proces, dus de gebruiker kan tags toevoegen voor identificatie van de SCP, en een leeg waardetabblad genereert een null-tekenreeks voor de sleutel:
Scrol omlaag om het gedeelte Beleid te vinden en typ de naam van de service om een beleidsverklaring in JSON-indeling toe te voegen:
Nadat u de AWS-service hebt gekozen, selecteert u eenvoudig de acties om het beleid toe te staan of te weigeren:
De gebruiker kan een hulpmiddel of een voorwaarde toevoegen aan het beleid door simpelweg te klikken op de knop ' Toevoegen ' knop:
Om een bron met de beleidsverklaring toe te voegen, selecteert u gewoon de service en kiest u ook het brontype voordat u op de knop ' Bron toevoegen ' knop:
Bekijk na alle configuratie eenvoudig het beleid en klik op de knop ' Beleid maken ' knop:
Het beleid is met succes gemaakt, klik gewoon op de naam om naar de detailpagina te gaan:
De beleidsdetails zijn beschikbaar op deze pagina en de gebruiker kan het beleid altijd bewerken of ook een nieuw beleid maken:
Methode 2: AWS CLI gebruiken
Om een servicecontrolebeleid te maken met behulp van AWS CLI, is het vereist om een verklaring voor het beleid in JSON-indeling te maken. Een voorbeeld van de beleidsverklaring om alle IAM-acties in het JSON-formaat te weigeren, wordt hieronder vermeld:
{'Versie' : '2012-10-17' ,
'Stelling' : [
{
'Sid' : 'DenyAccessToASpecificRole' ,
'Effect' : 'Ontkennen' ,
'Actie' : [
'jam:AttachRolePolicy' ,
'jam:Rol verwijderen' ,
'iam:DeleteRolePermissionsBoundary' ,
'iam:Rolbeleid verwijderen' ,
'iam:DetachRolePolicy' ,
'iam:PutRolePermissionsBoundary' ,
'jam:PutRolePolicy' ,
'iam:UpdateAssumeRolePolicy' ,
'iam:UpdateRole' ,
'iam:UpdateRoleDescription'
] ,
'Bron' : [
'arn:aws:iam::*:rol/naam-van-rol-te-weigeren'
]
}
]
}
Gebruik daarna de volgende AWS CLI-opdracht om een beleid te maken in de AWS Organizations-service met behulp van een JSON-bestand dat is opgeslagen in de lokale map. Deze opdracht bevat de naam, beschrijving en het type servicecontrolebeleid dat aan de organisatie moet worden toegevoegd:
aws-organisaties creëren-beleid --inhoud bestand: // Weigeren-IAM.json --beschrijving 'Weiger alle IAM-acties' --naam WeigerenIAMSCP --type SERVICE_CONTROL_POLICY 
Om de aanmaak van het servicecontrolebeleid te verifiëren, gaat u naar het dashboard en klikt u op de naam van het beleid:
Klik op de pagina Polisdetails op de knop ' Inhoud ” sectie en scroll naar beneden om de inhoud van het beleid te controleren:
De volgende schermafbeelding toont de inhoud van het beleid en de gebruiker kan de verklaring bewerken:
Dat gaat allemaal over het maken van een servicecontrolebeleid in de AWS Organization-service.
Conclusie
Om een “ Servicecontrolebeleid ” in het AWS Organizations-dashboard, is het noodzakelijk om eerst het beleid in te schakelen. Daarna kan de gebruiker het SCP maken met behulp van de AWS Management Console of de AWS Command Line Interface. Deze gids heeft het proces uitgelegd van het maken van een servicecontrolebeleid in de AWS-organisatie met behulp van beide methoden.