Ich möchte verhindern, dass Benutzer in meinen AWS Organizations-Mitgliedskonten AWS-Ressourcen mithilfe von Service-Kontrollrichtlinien (SCPs) oder Tag-Richtlinien erstellen.
Kurzbeschreibung
SCPs können zur Verwaltung von Berechtigungen in Ihrer Organisation verwendet werden, aber nicht zur Erteilung von Berechtigungen. Weitere Informationen finden Sie unter Service-Kontrollrichtlinien (SCPs).
Tag-Richtlinien können verwendet werden, um standardisierte Tags mit AWS-Ressourcen für Konten mit Organisationen zu pflegen. Weitere Informationen finden Sie unter Tag-Richtlinien.
Auflösung
Verwenden Sie je nach Anwendungsfall die folgende SCP- oder Tag-Richtlinie.
Verwenden Sie Tag-Richtlinien, um das Markieren von bestehenden Ressourcen zu verhindern
Die Tag-Richtlinien werden überprüft, wenn Sie Vorgänge durchführen, die sich auf die Tags einer vorhandenen Ressource auswirken. So können Tag-Richtlinien beispielsweise erzwingen, dass Benutzer das angegebene Tag auf AWS-Ressourcen nicht in ein nicht konformes Tag ändern können.
Die folgende Beispiel-Tag-Richtlinie erlaubt das Tag-Schlüssel-Wert-Paar als Umgebungs-Produktion, die für Amazon Elastic Compute Cloud (Amazon EC2) Instances erzwungen wird. Die Richtlinie hindert Benutzer daran, dieses Tag auf bestehenden Amazon EC2-Instances zu ändern, aber sie verhindert nicht den Start neuer Instances mit nicht konformen Tags oder ohne Tags.
{
"tags": {
"Environment": {
"tag_key": {
"@@assign": "Environment"
},
"tag_value": {
"@@assign": [
"Production"
]
},
"enforced_for": {
"@@assign": [
"ec2:instance"
]
}
}
}
}
Verwenden Sie SCPs, um das Markieren bei der Erstellung neuer Ressourcen zu verhindern
Sie können SCPs verwenden, um die Erstellung neuer AWS-Ressourcen zu verhindern, die nicht für die Markierungs-Beschränkungsrichtlinien Ihrer Organisation markiert sind. Um sicherzustellen, dass die AWS-Ressourcen nur erstellt werden, wenn ein bestimmtes Tag vorhanden ist, verwenden Sie die Beispiel-SCP-Richtlinie, um ein Tag für bestimmte erstellte Ressourcen zu verlangen.
Ähnliche Informationen
Was ist der Unterschied zwischen einer AWS-Organizations-Service-Kontrollrichtlinie und einer IAM-Richtlinie?