Exemplos de política de controle de serviço - AWS Organizations

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Exemplos de política de controle de serviço

O exemplo de políticas de controle de serviço (SCPs) exibido neste tópico serve apenas para fins informativos.

Antes de usar esses exemplos

Antes de usar esses exemplos SCPs em sua organização, faça o seguinte:

  • Analise e personalize cuidadosamente o SCPs de acordo com seus requisitos exclusivos.

  • Teste minuciosamente o SCPs em seu ambiente com o Serviços da AWS que você usa.

    Os exemplos de políticas nesta seção demonstram a implementação e o uso de SCPs. Eles não são destinados a ser interpretado como recomendações oficiais ou práticas recomendadas da AWS a serem implementadas exatamente como mostrado. É sua responsabilidade testar cuidadosamente quaisquer políticas baseadas em negação quanto à sua adequação para resolver os requisitos de negócios do seu ambiente. Políticas de controle de serviço baseadas em negação podem, sem querer, limitar ou bloquear seu uso, Serviços da AWS a menos que você adicione as exceções necessárias à política. Para ver um exemplo dessa exceção, veja o primeiro exemplo que isenta os serviços globais das regras que bloqueiam o acesso a serviços indesejados. Regiões da AWS

  • Lembre-se de que uma SCP afeta cada usuário e perfil, inclusive o usuário raiz, em cada conta à qual ela é anexada.

  • Lembre-se de que um SCP não afeta os perfis vinculados ao serviço. As funções vinculadas ao serviço permitem que outras pessoas Serviços da AWS se integrem AWS Organizations e não possam ser restringidas por elas. SCPs

dica

Você pode usar os dados do último acesso do serviço no IAM para atualizar seus SCPs dados e restringir o acesso somente ao Serviços da AWS que você precisa. Para obter mais informações, consulte Visualizar dados de serviço da organização acessados mais recentemente da organização no Guia do usuário do IAM.

Todas as políticas a seguir são um exemplo de uma estratégia de política de lista de negações. As políticas da lista de negações devem ser anexadas a outras políticas que permitam as ações aprovadas nas contas afetadas. Por exemplo, a política padrão FullAWSAccess permite o uso de todos os serviços em uma conta. Essa política é anexada por padrão à raiz, a todas as unidades organizacionais (OUs) e a todas as contas. Na verdade, não concede as permissões; nenhuma SCP faz isso. Em vez disso, ele permite que os administradores dessa conta deleguem acesso a essas ações anexando políticas de permissões padrão AWS Identity and Access Management (IAM) a usuários, funções ou grupos na conta. Todas essas políticas de lista de negações substituem qualquer política bloqueando o acesso a serviços ou ações especificados.

Sumário