Wie verwende ich SCPs und Tag-Richtlinien, damit Benutzer in den Mitgliedskonten meiner Organisation in Organizations keine Ressourcen erstellen können?

Kurzbeschreibung

Verwende Tag-Richtlinien, um standardisierte Tags für unterstützte AWS-Ressourcen in den Mitgliedskonten in deiner Organisation beizubehalten. Standardmäßig wird die Groß-/Kleinschreibung von Tag-Schlüsseln von der übergeordneten Richtlinie übernommen. Um die Groß- und Kleinschreibung des erzwungenen Tag-Schlüssels zu definieren, wähle Use the capitalization that you've specified above for the tag key (Groß-/Kleinschreibung verwenden, die du oben für den Tag-Schlüssel angegeben hast). Wenn es keine übergeordnete Richtlinie gibt oder du die Groß-/Kleinschreibung nicht aktivierst, gilt ein Tag-Schlüssel, der ausschließlich aus Kleinbuchstaben besteht, als konform.

Wenn du eine Ressource erstellst, suche Tag-Richtlinien nach kompatiblen Tag-Schlüsseln, die dem definierten Tag-Wert und der Groß- und Kleinschreibung entsprechen. Ein Benutzer kann jedoch die standardisierten Tag-Schlüssel ändern und Ressourcen ohne konforme Tags erstellen. Verwende SCPs, um die Berechtigungen für die Entitäten in den Mitgliedskonten einzuschränken.

Lösung

Tag-Richtlinien verwenden, um nicht konforme Tags auf neuen oder vorhandenen Ressourcen zu verhindern

Die folgende Richtlinie ermöglicht es Benutzern, den tag_value für ihre Amazon Elastic Compute Cloud (Amazon EC2)-Instances nur in der Vorproduktion oder Produktion zu ändern:

{  
  "tags": {
    "Environment": {
      "tag_key": {
        "@@assign": "Environment"
      },
      "tag_value": {
        "@@assign": [
          "Preprod",
          "Production"
        ]
      },
      "enforced_for": {
        "@@assign": [
          "ec2:instance"
        ]
      }
    }
  }
}

In der vorherigen Richtlinie kann ein Benutzer Dev nicht als tag_value eingeben, da die Richtlinie die Option Dev nicht definiert. Wenn die Richtlinie außerdem die Option der Großschreibung enthält, kann der Benutzer Umgebung nicht in umgebung ändern.

SCPs verwenden, um die Erstellung von Instance-Ressourcen ohne einen kompatiblen Tag-Schlüssel zu stoppen

Das folgende SCP verlangt von Benutzern, dass sie einen kompatiblen Tag-Schlüssel in die Metadaten der Instance aufnehmen, wenn sie die Operation der RunInstances-API aufrufen. Wenn ein Benutzer mit diesem angefügten SCP eine Ressource mit einem kompatiblen Tag erstellt, kann der Benutzer keine Tag-Schlüsselwertpaare hinzufügen, ändern oder löschen:

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "DenyUpdatingOrDeletingAnyTagOnInstanceWithAnAttachedCopliantTags",
      "Effect": "Deny",
      "Action": [
        "ec2:CreateTags",
        "ec2:DeleteTags"
      ],
      "Resource": "arn:aws:ec2:*:*:instance/*",
      "Condition": {
        "StringEquals": {
          "aws:ResourceTag/Environment": [
            "Preprod",
            "Production"
          ]
        },
        "Null": {
          "aws:ResourceTag/Environment": "false"
        }
      }
    },
    {
      "Sid": "DenyRunInstancesWithoutOneofTheCompliantTagKeys",
      "Effect": "Deny",
      "Action": [
        "ec2:RunInstances"
      ],
      "Resource": "arn:aws:ec2:*:*:instance/*",
      "Condition": {
        "Null": {
          "aws:RequestTag/Environment": "true"
        }
      }
    }
  ]
}

Hinweis: Wenn du die RunInstances-API aufrufst, stelle sicher, dass du alle erforderlichen Tags übergibst.

Ähnliche Informationen

Was ist der Unterschied zwischen einer Servicekontrollrichtlinie von AWS Organizations und einer IAM-Richtlinie?

Syntax der Tag-Richtlinien