Αυτός ο οδηγός θα εξηγήσει τη διαδικασία δημιουργίας μιας πολιτικής ελέγχου υπηρεσίας χρησιμοποιώντας τις ακόλουθες μεθόδους:
Προϋπόθεση: Ενεργοποίηση Πολιτικής ελέγχου υπηρεσίας
Για να δημιουργήσετε μια πολιτική ελέγχου υπηρεσίας στο AWS, απαιτείται να την ενεργοποιήσετε από τον πίνακα εργαλείων AWS Organizations:
Στον πίνακα ελέγχου Οργανισμών, κάντε κλικ στο ' πολιτικών κουμπί ” από τον αριστερό πίνακα για να μεταβείτε στη σελίδα του:
Κάνε κλικ στο ' Πολιτικές ελέγχου υπηρεσιών κουμπί ' από το ' Υποστηριζόμενοι τύποι πολιτικής ' Ενότητα:
Κάνε κλικ στο ' Ενεργοποίηση πολιτικών ελέγχου υπηρεσίας κουμπί ” από τη σελίδα Πολιτικές ελέγχου υπηρεσίας για να ενεργοποιήσετε τις υπηρεσίες της:
Μέθοδος 1: Χρήση Κονσόλας Διαχείρισης AWS
Μόλις ενεργοποιηθούν οι πολιτικές ελέγχου υπηρεσίας, απλώς κάντε κλικ στο ' Δημιουργία πολιτικής κουμπί ”:
Τώρα, ξεκινήστε τη διαμόρφωση της πολιτικής ελέγχου υπηρεσίας πληκτρολογώντας το όνομά της:
Η προσθήκη ετικετών είναι μια προαιρετική διαδικασία, έτσι ο χρήστης μπορεί να προσθέσει ετικέτες για ταυτοποιήσεις του SCP και μια κενή καρτέλα τιμής θα δημιουργήσει μια μηδενική συμβολοσειρά για το κλειδί:
Κάντε κύλιση προς τα κάτω για να εντοπίσετε την ενότητα Πολιτική και πληκτρολογήστε το όνομα της υπηρεσίας για να προσθέσετε μια δήλωση πολιτικής σε μορφή JSON:
Αφού επιλέξετε την υπηρεσία AWS, απλώς επιλέξτε τις ενέργειες για να επιτρέψετε ή να απορρίψετε την πολιτική:
Ο χρήστης μπορεί να προσθέσει έναν πόρο ή μια συνθήκη που θα προσαρτηθεί στην πολιτική κάνοντας απλά κλικ στο ' Προσθήκη Κουμπί ”:
Για να προσθέσετε έναν πόρο με τη δήλωση πολιτικής, απλώς επιλέξτε την υπηρεσία και επιλέξτε επίσης τον τύπο πόρου πριν κάνετε κλικ στο ' Προσθήκη πόρου Κουμπί ”:
Μετά από όλες τις ρυθμίσεις παραμέτρων, απλώς ελέγξτε την πολιτική και κάντε κλικ στο ' Δημιουργία πολιτικής Κουμπί ”:
Η πολιτική δημιουργήθηκε με επιτυχία, απλώς κάντε κλικ στο όνομά της για να μεταβείτε στη σελίδα λεπτομερειών της:
Οι λεπτομέρειες της πολιτικής είναι διαθέσιμες σε αυτήν τη σελίδα και ο χρήστης μπορεί πάντα να επεξεργαστεί την πολιτική ή να δημιουργήσει επίσης μια νέα:
Μέθοδος 2: Χρήση AWS CLI
Για να δημιουργήσετε μια πολιτική ελέγχου υπηρεσίας χρησιμοποιώντας το AWS CLI, απαιτείται η δημιουργία μιας δήλωσης για την πολιτική σε μορφή JSON. Ένα παράδειγμα της δήλωσης πολιτικής για την άρνηση όλων των ενεργειών IAM σε μορφή JSON αναφέρεται παρακάτω:
{'Εκδοχή' : '2012-10-17' ,
'Δήλωση' : [
{
'Σιντ' : 'DenyAccessToASpecificRole' ,
'Αποτέλεσμα' : 'Αρνούμαι' ,
'Δράση' : [
'jam:AttachRolePolicy' ,
'jam:DeleteRole' ,
'iam:DeleteRolePermissionsBoundary' ,
'iam:DeleteRolePolicy' ,
'iam:DetachRolePolicy' ,
'iam:PutRolePermissionsBoundary' ,
'jam:PutRolePolicy' ,
'iam:UpdateAssumeRolePolicy' ,
'iam:UpdateRole' ,
'iam:UpdateRoleDescription'
] ,
'Πόρος' : [
'arn:aws:iam::*:role/name-of-role-to-deny'
]
}
]
}
Μετά από αυτό, χρησιμοποιήστε την ακόλουθη εντολή AWS CLI για να δημιουργήσετε μια πολιτική στην υπηρεσία Οργανισμών AWS χρησιμοποιώντας ένα αρχείο JSON που είναι αποθηκευμένο στον τοπικό κατάλογο. Αυτή η εντολή περιέχει το όνομα, την περιγραφή και τον τύπο της πολιτικής ελέγχου Υπηρεσίας που θα προστεθεί στον Οργανισμό:
aws οργανισμούς δημιουργία-πολιτική --περιεχόμενο αρχείο: // Deny-IAM.json --περιγραφή 'Απόρριψη όλων των ενεργειών του IAM' --όνομα DenyIAMSCP --τύπος SERVICE_CONTROL_POLICY
Για να επαληθεύσετε τη δημιουργία της πολιτικής ελέγχου υπηρεσίας, απλώς επισκεφτείτε τον πίνακα ελέγχου και κάντε κλικ στο όνομα της πολιτικής:
Στη σελίδα λεπτομερειών πολιτικής, κάντε κλικ στο ' Περιεχόμενο » και κάντε κύλιση προς τα κάτω για να ελέγξετε το περιεχόμενο της πολιτικής:
Το ακόλουθο στιγμιότυπο οθόνης εμφανίζει το περιεχόμενο της πολιτικής και ο χρήστης μπορεί να επεξεργαστεί τη δήλωση:
Αυτό αφορά τη δημιουργία μιας πολιτικής ελέγχου υπηρεσίας στην υπηρεσία Οργανισμού AWS.
συμπέρασμα
Για να δημιουργήσετε ένα « Πολιτική ελέγχου υπηρεσιών » στον πίνακα εργαλείων AWS Organizations, είναι απαραίτητο να ενεργοποιήσετε πρώτα την πολιτική. Μετά από αυτό, ο χρήστης μπορεί να δημιουργήσει το SCP είτε χρησιμοποιώντας την Κονσόλα διαχείρισης AWS είτε τη διεπαφή γραμμής εντολών AWS. Αυτός ο οδηγός έχει εξηγήσει τη διαδικασία δημιουργίας μιας πολιτικής ελέγχου υπηρεσίας στον οργανισμό AWS χρησιμοποιώντας και τις δύο μεθόδους.