Come posso utilizzare le SCP e le policy di tag in modo che gli utenti degli account membri della mia organizzazione in Organizations non possano creare risorse?
Desidero utilizzare le policy di controllo dei servizi (SCP) e le policy di tag in modo che gli utenti dei miei account membri in AWS Organizations non possano creare risorse AWS.
Breve descrizione
Utilizza le policy di tag per mantenere tag standardizzati sulle risorse AWS supportate in tutti gli account membri dell'organizzazione. Per impostazione predefinita, le maiuscole delle chiavi di tag vengono ereditate dalla policy principale. Per definire l'uso delle maiuscole della chiave di tag applicata, seleziona Use the capitalization that you've specified above for the tag key (Usa le maiuscole che hai specificato sopra per la chiave di tag). Se non esiste una policy principale o se non attivi l'uso delle maiuscole, una chiave di tag tutta minuscola è considerata conforme.
Quando crei una risorsa, le policy di tag verificano la presenza di chiavi di tag conformi che corrispondono alle maiuscole e al valore del tag definiti. Tuttavia, un utente può modificare le chiavi di tag standardizzate e creare risorse senza tag conformi. Utilizza le SCP per limitare le autorizzazioni delle entità negli account membri.
Risoluzione
Utilizza le policy di tag per evitare tag non conformi per risorse nuove o esistenti
La seguente policy consente agli utenti di modificare il tag_value per le proprie istanze Amazon Elastic Compute Cloud (Amazon EC2) solo in Preprod o Production:
{ "tags": { "Environment": { "tag_key": { "@@assign": "Environment" }, "tag_value": { "@@assign": [ "Preprod", "Production" ] }, "enforced_for": { "@@assign": [ "ec2:instance" ] } } } }
Nella policy precedente, un utente non può inserire Dev per il tag_value perché la policy non definisce l'opzione Dev. Inoltre, se la policy include l'opzione relativa alle maiuscole, l'utente non può cambiare Environment in environment.
Utilizza le SCP per interrompere la creazione di risorse dell'istanza senza una chiave di tag conforme
La seguente SCP richiede agli utenti di includere una chiave di tag conforme nei metadati dell'istanza quando chiamano l'operazione API RunInstances. Se un utente con questa SCP collegata crea una risorsa con un tag conforme, non può aggiungere, modificare o eliminare coppie di valori della chiave di tag:
{ "Version": "2012-10-17", "Statement": [ { "Sid": "DenyUpdatingOrDeletingAnyTagOnInstanceWithAnAttachedCopliantTags", "Effect": "Deny", "Action": [ "ec2:CreateTags", "ec2:DeleteTags" ], "Resource": "arn:aws:ec2:*:*:instance/*", "Condition": { "StringEquals": { "aws:ResourceTag/Environment": [ "Preprod", "Production" ] }, "Null": { "aws:ResourceTag/Environment": "false" } } }, { "Sid": "DenyRunInstancesWithoutOneofTheCompliantTagKeys", "Effect": "Deny", "Action": [ "ec2:RunInstances" ], "Resource": "arn:aws:ec2:*:*:instance/*", "Condition": { "Null": { "aws:RequestTag/Environment": "true" } } } ] }
Nota: quando chiami l'API RunInstances, assicurati di passare tutti i tag richiesti.
Informazioni correlate
Qual è la differenza tra una policy di controllo dei servizi di AWS Organizations e un policy IAM?
- Argomenti
- Management & Governance
- Lingua
- Italiano
