Tämä opas selittää palvelun ohjauskäytännön luomisen seuraavilla tavoilla:
Edellytys: Ota Service Control Policy käyttöön
Palvelunhallintakäytännön luominen AWS:ssä edellyttää, että se otetaan käyttöön AWS-organisaatioiden hallintapaneelista:
Napsauta Organisaatioiden hallintapaneelissa ' Käytännöt ” -painiketta vasemmasta paneelista siirtyäksesi sen sivulle:
Klikkaa ' Palvelunhallintakäytännöt ' -painiketta kohdasta ' Tuetut käytäntötyypit ”-osio:
Klikkaa ' Ota käyttöön palvelunhallintakäytännöt ” -painiketta Palvelunhallintakäytännöt-sivulta ottaaksesi sen palvelut käyttöön:
Tapa 1: AWS-hallintakonsolin käyttäminen
Kun palvelunhallintakäytännöt on otettu käyttöön, napsauta ' Luo käytäntö ”-painike:
Aloita nyt palvelunhallintakäytännön määrittäminen kirjoittamalla sen nimi:
Tunnisteiden lisääminen on valinnainen prosessi, joten käyttäjä voi lisätä tunnisteita SCP:n tunnistamiseen, ja tyhjä arvovälilehti luo avaimelle nollamerkkijonon:
Vieritä alas löytääksesi Käytäntö-osion ja kirjoita palvelun nimi lisätäksesi käytäntölausekkeen JSON-muodossa:
Kun olet valinnut AWS-palvelun, valitse toiminnot käytännön sallimiseksi tai estämiseksi:
Käyttäjä voi lisätä käytäntöön liitettävän resurssin tai ehdon napsauttamalla ' Lisätä ”-painike:
Jos haluat lisätä resurssin käytäntölausekkeen kanssa, valitse palvelu ja valitse myös resurssityyppi ennen kuin napsautat ' Lisää resurssi ”-painike:
Kun olet määrittänyt kaikki asetukset, tarkista käytäntö ja napsauta ' Luo käytäntö ”-painike:
Käytännön luominen onnistui. Napsauta sen nimeä päästäksesi sen tietosivulle:
Käytännön tiedot ovat saatavilla tällä sivulla ja käyttäjä voi aina muokata käytäntöä tai luoda myös uuden:
Tapa 2: AWS CLI:n käyttö
Palvelunhallintakäytännön luominen AWS CLI:n avulla edellyttää, että käytännölle on luotava lauseke JSON-muodossa. Alla on esimerkki käytäntölausekkeesta, joka estää kaikki IAM-toiminnot JSON-muodossa:
{'Versio' : '2012-10-17' ,
'lausunto' : [
{
'Sid' : 'EstäAccessToASpecificRole' ,
'Vaikutus' : 'kiellä' ,
'Toiminta' : [
'jam:AttachRolePolicy' ,
'jam:DeleteRole' ,
'iam:DeleteRolePermissionsBoundary' ,
'iam:DeleteRolePolicy' ,
'iam:DetachRolePolicy' ,
'iam:PutRolePermissionsBoundary' ,
'jam:PutRolePolicy' ,
'iam:UpdateAssumeRolePolicy' ,
'iam:UpdateRole' ,
'iam:UpdateRoleDescription'
] ,
'Resurssi' : [
'arn:aws:iam::*:role/roolin-nimi-kiellettävä'
]
}
]
}
Käytä sen jälkeen seuraavaa AWS CLI -komentoa luodaksesi käytäntö AWS Organisations -palvelussa käyttämällä paikalliseen hakemistoon tallennettua JSON-tiedostoa. Tämä komento sisältää organisaatioon lisättävän palvelunhallintakäytännön nimen, kuvauksen ja tyypin:
aws-organisaatioiden luomispolitiikka --sisältö tiedosto: // Estä-IAM.json --kuvaus 'Estä kaikki IAM-toiminnot' --nimi EstäIAMSCP --tyyppi SERVICE_CONTROL_POLICY
Tarkistaaksesi palvelunhallintakäytännön luomisen, käy hallintapaneelissa ja napsauta käytännön nimeä:
Napsauta Käytännön tiedot -sivulla ' Sisältö ” -osio ja vieritä alas tarkistaaksesi käytännön sisällön:
Seuraavassa kuvakaappauksessa näkyy käytännön sisältö, ja käyttäjä voi muokata lausuntoa:
Siinä on kyse palvelunhallintakäytännön luomisesta AWS-organisaatiopalvelussa.
Johtopäätös
Luodaksesi ' Palvelun valvontakäytäntö ” AWS-organisaatioiden hallintapaneelissa, käytäntö on ensin otettava käyttöön. Tämän jälkeen käyttäjä voi luoda SCP:n joko AWS-hallintakonsolin tai AWS-komentoriviliittymän avulla. Tässä oppaassa on selitetty palvelunhallintakäytännön luominen AWS-organisaatiossa molemmilla tavoilla.