Comment puis-je utiliser les SCP et les stratégies d'identification pour empêcher les utilisateurs de mes comptes membres AWS Organizations de créer des ressources ?

Lecture de 2 minute(s)

Je souhaite empêcher les utilisateurs de mes comptes membres AWS Organizations de créer des ressources AWS à l'aide de stratégies de contrôle des services (SCP) ou de stratégies d'identification.

Brève description

Les SCP peuvent être utilisées pour gérer les autorisations au sein de votre organisation, mais pas pour les accorder. Pour plus d'informations, consultez Stratégies de contrôle des services (SCP).

Les stratégies d'identification peuvent être utilisées pour gérer des identifications normalisées avec les ressources AWS pour les comptes Organization. Pour plus d'informations, consultez Stratégies d'identification.

Solution

Utilisez la SCP ou la stratégie d'identification suivante en fonction de votre cas d'utilisation.

Utiliser des stratégies d'identification pour empêcher le balisage des ressources existantes

Les stratégies d'identification sont vérifiées lorsque vous effectuez des opérations qui affectent les identifications d'une ressource existante. Par exemple, les stratégies d'identification peuvent faire en sorte que les utilisateurs ne puissent pas remplacer l'identification spécifiée sur les ressources AWS par une identification non conforme.

L'exemple de stratégie d'identification suivant autorise la paire clé-valeur de balise en tant qu'Environnement-Production appliquée pour les instances Amazon Elastic Compute Cloud (Amazon EC2). La stratégie empêche les utilisateurs de modifier cette identification sur les instances Amazon EC2 existantes, mais elle n'empêche pas le lancement de nouvelles instances ayant des identifications non conformes ou n'ayant aucune identification.

{
  "tags": {
    "Environment": {
      "tag_key": {
        "@@assign": "Environment"
      },
      "tag_value": {
        "@@assign": [
          "Production"
        ]
      },
      "enforced_for": {
        "@@assign": [
          "ec2:instance"
        ]
      }
    }
  }
}

Utiliser des SCP pour empêcher l'identification en vue de créer de nouvelles ressources

Vous pouvez utiliser des SCP pour empêcher la création de nouvelles ressources AWS qui ne sont pas identifiées selon les directives de restriction d'identification de votre organisation. Pour vous assurer que les ressources AWS sont créées uniquement si une certaine identification est présente, utilisez l'exemple de stratégie SCP pour exiger une identification sur les ressources créées spécifiées.

Informations connexes

Quelle est la différence entre une stratégie de contrôle des services AWS Organizations et une stratégie IAM ?

Sujets

Gestion et gouvernance

Balises

AWS Organizations

Langue

Français

AWS OFFICIELA mis à jour il y a 2 ans

Aucun commentaire

Contenus pertinents

Compte piraté - Facturation
roym
demandé il y a 3 mois
comment creer une compte console AWS sans carte du credit?
daddy
demandé il y a 5 mois
Comment changer l'émetteur utilisé pour envoyer les SMS ?
Nicolas
demandé il y a 4 mois
Comment s'assurer que toutes les ressources sont désactivées ?
rePost-User-2282818
demandé il y a 6 mois
Je n'arrive pas à me Connecter sur AWS
Pierre Ndiaye
demandé il y a 6 mois
Comment puis-je accorder l'accès à Cost Explorer à un utilisateur IAM disposant d'un compte membre AWS Organizations ?
AWS OFFICIELA mis à jour il y a un an
Comment augmenter la limite de taille des caractères SCP ou le nombre de SCP pour un service AWS Organization ?
AWS OFFICIELA mis à jour il y a 2 mois
Comment utiliser AWS IAM Access Analyzer pour surveiller mes ressources AWS dans mes comptes AWS Organization ?
AWS OFFICIELA mis à jour il y a 2 ans
Comment supprimer un compte membre d'une organisation auquel je ne parviens pas à me connecter dans AWS Organizations ?
AWS OFFICIELA mis à jour il y a un an