Usando AWS re:Post, accetti AWS re:Post Termini di utilizzo
AWS re:Postre:Post

Come posso utilizzare le SCP e le policy di tag in modo che gli utenti degli account membri della mia organizzazione in Organizations non possano creare risorse?

3 minuti di lettura
0

Desidero utilizzare le policy di controllo dei servizi (SCP) e le policy di tag in modo che gli utenti dei miei account membri in AWS Organizations non possano creare risorse AWS.

Breve descrizione

Utilizza le policy di tag per mantenere tag standardizzati sulle risorse AWS supportate in tutti gli account membri della tua organizzazione. Per impostazione predefinita, le maiuscole e le minuscole delle chiavi di tag vengono ereditate dalla policy madre. Per definire l'uso delle maiuscole e minuscole della chiave di tag applicata, seleziona Use the capitalization that you've specified above for the tag key (Usa le maiuscole che hai specificato sopra per la chiave di tag). Se non esiste una policy madre o non attivi l'uso delle maiuscole, una chiave di tag tutta minuscola è considerata conforme.

Quando si crea una risorsa, le policy di tag verificano la presenza di chiavi di tag conformi che corrispondono al valore del tag e alle maiuscole definiti. Tuttavia, un utente può modificare le chiavi di tag standardizzate e creare risorse senza tag conformi. Utilizza le SCP per limitare le autorizzazioni per le entità nei tuoi account membri.

Risoluzione

Utilizza le politiche relative ai tag per evitare che i tag non siano conformi su risorse nuove o esistenti

La seguente policy consente agli utenti di modificare il tag_value per le proprie istanze Amazon Elastic Compute Cloud (Amazon EC2) solo in Preprod o Production:

{  
  "tags": {
    "Environment": {
      "tag_key": {
        "@@assign": "Environment"
      },
      "tag_value": {
        "@@assign": [
          "Preprod",
          "Production"
        ]
      },
      "enforced_for": {
        "@@assign": [
          "ec2:instance"
        ]
      }
    }
  }
}

Nella policy precedente, un utente non può inserire Dev per il tag_value perché la policy non definisce l'opzione Dev. Inoltre, se la policy include l'opzione con le maiuscole, l'utente non può cambiare Ambiente in ambiente.

Utilizza le SCP per interrompere la creazione di risorse dell'istanza senza una chiave di tag conforme

La seguente SCP richiede agli utenti di includere una chiave di tag conforme nei metadati dell'istanza quando chiamano l'operazione API RunInstances. Se un utente con questa SCP collegata crea una risorsa con un tag conforme, non può aggiungere, modificare o eliminare coppie di valori della chiave di tag:

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "DenyUpdatingOrDeletingAnyTagOnInstanceWithAnAttachedCopliantTags",
      "Effect": "Deny",
      "Action": [
        "ec2:CreateTags",
        "ec2:DeleteTags"
      ],
      "Resource": "arn:aws:ec2:*:*:instance/*",
      "Condition": {
        "StringEquals": {
          "aws:ResourceTag/Environment": [
            "Preprod",
            "Production"
          ]
        },
        "Null": {
          "aws:ResourceTag/Environment": "false"
        }
      }
    },
    {
      "Sid": "DenyRunInstancesWithoutOneofTheCompliantTagKeys",
      "Effect": "Deny",
      "Action": [
        "ec2:RunInstances"
      ],
      "Resource": "arn:aws:ec2:*:*:instance/*",
      "Condition": {
        "Null": {
          "aws:RequestTag/Environment": "true"
        }
      }
    }
  ]
}

Nota: quando chiami l'API RunInstances, assicurati di passare tutti i tag richiesti.

Informazioni correlate

Qual è la differenza tra una policy di controllo dei servizi di AWS Organizations e una policy IAM?

Sintassi delle policy di tag

Argomenti
Gestione e amministrazione
Tag
AWS Organizations
Lingua
Italiano
AWS UFFICIALE
AWS UFFICIALEAggiornata 3 mesi fa

Contenuto pertinente