Je souhaite utiliser des politiques de contrôle des services (SCP) et des politiques d’identification afin que les utilisateurs de mes comptes membres dans AWS Organizations ne puissent pas créer de ressources AWS.
Brève description
Utilisez des politiques d’identification pour gérer des identifications standardisées sur les ressources AWS prises en charge sur l'ensemble de vos comptes membres au sein de votre organisation. Par défaut, la mise en majuscules des clés d’identification est héritée de la politique parente. Pour définir la mise en majuscules de la clé d’identification appliquée, sélectionnez Utiliser la mise en majuscules que vous avez spécifiée ci-dessus pour la clé d’identification. S'il n'existe pas de politique parent ou si vous n'activez pas la mise en majuscules, une clé d’identification entièrement en minuscules est considérée comme conforme.
Lorsque vous créez une ressource, les politiques d’identification vérifient si des clés d’identification conformes correspondent à la valeur d’identification et à la mise en majuscules définies. Cependant, un utilisateur peut modifier les clés d’identification standardisées et créer des ressources sans identifications conformes. Utilisez des SCP pour restreindre les autorisations des entités de vos comptes membres.
Résolution
Utiliser des politiques d’identification pour empêcher les identifications non conformes sur les ressources nouvelles ou existantes
La politique suivante permet aux utilisateurs de modifier le paramètre tag_value pour leurs instances Amazon Elastic Compute Cloud (Amazon EC2) uniquement en Preprod ou Production :
{
"tags": {
"Environment": {
"tag_key": {
"@@assign": "Environment"
},
"tag_value": {
"@@assign": [
"Preprod",
"Production"
]
},
"enforced_for": {
"@@assign": [
"ec2:instance"
]
}
}
}
}
Dans la politique précédente, un utilisateur ne peut pas saisir Dev pour la paramètre tag_value car la politique ne définit pas l’option Dev. De plus, si la politique inclut l'option de mise en majuscules, l'utilisateur ne peut pas modifier Environnement en environnement.
Utiliser des SCP pour arrêter la création de ressources d'instance sans clé d’identification conforme
La SCP suivante exige que les utilisateurs incluent une clé d’identification conforme dans les métadonnées de l'instance lorsqu'ils appellent l'opération d'API RunInstances. Si un utilisateur auquel cette SCP est associée crée une ressource avec une identification conforme, il ne peut pas ajouter, modifier ou supprimer des paires clé-valeur d’identification :
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "DenyUpdatingOrDeletingAnyTagOnInstanceWithAnAttachedCopliantTags",
"Effect": "Deny",
"Action": [
"ec2:CreateTags",
"ec2:DeleteTags"
],
"Resource": "arn:aws:ec2:*:*:instance/*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/Environment": [
"Preprod",
"Production"
]
},
"Null": {
"aws:ResourceTag/Environment": "false"
}
}
},
{
"Sid": "DenyRunInstancesWithoutOneofTheCompliantTagKeys",
"Effect": "Deny",
"Action": [
"ec2:RunInstances"
],
"Resource": "arn:aws:ec2:*:*:instance/*",
"Condition": {
"Null": {
"aws:RequestTag/Environment": "true"
}
}
}
]
}
Remarque : Lorsque vous appelez l'API RunInstances, assurez-vous de transmettre toutes les identifications requises.
Informations connexes
Quelle est la différence entre une politique de contrôle des services AWS Organizations et une politique IAM ?
Syntaxe de la politique d’identification