Ao usar o AWS re:Post, você concorda com os AWS re:Post Termos de uso

Como posso usar SCPs e políticas de etiquetas para impedir que usuários nas minhas contas-membro do AWS Organizations criem recursos?

2 minuto de leitura
0

Quero impedir que os usuários nas minhas contas-membro do AWS Organizations criem recursos da AWS usando Políticas de controle de serviço (SCPs) ou políticas de etiquetas.

Breve descrição

SCPs podem ser usadas para gerenciar permissões na sua organização, mas não para conceder permissão. Para obter mais informações, consulte Políticas de controle de serviço (SCPs).

As políticas de etiquetas podem ser usadas para manter etiquetas padronizadas com recursos da AWS para contas com o Organizations. Para obter mais informações, Políticas de etiquetas.

Resolução

Use a seguinte política de SCP ou etiqueta com base no seu caso de uso.

Usar políticas de etiquetas para evitar a marcação em recursos existentes

Políticas de etiquetas são verificadas quando você executa operações que afetam as etiquetas em um recurso existente. Por exemplo, políticas de etiquetas podem impor que os usuários não possam trocar a etiqueta especificada nos recursos da AWS por uma etiqueta não compatível.

O exemplo de política de etiqueta a seguir permite que o par de chave/valor da etiqueta seja imposto pela produção ambiental para instâncias do Amazon Elastic Compute Cloud (Amazon EC2). A política impede que os usuários alterem essa etiqueta em instâncias existentes do Amazon EC2, mas não impede a execução de novas instâncias com etiquetas não compatíveis ou sem etiquetas.

{
  "tags": {
    "Environment": {
      "tag_key": {
        "@@assign": "Environment"
      },
      "tag_value": {
        "@@assign": [
          "Production"
        ]
      },
      "enforced_for": {
        "@@assign": [
          "ec2:instance"
        ]
      }
    }
  }
}

Usar SCPs para evitar marcações para criar novos recursos

Você pode usar SCPs para impedir a criação de novos recursos da AWS que não estão marcados para as diretrizes de restrição de etiquetas da sua organização. Para garantir que os recursos da AWS sejam criados somente se uma determinada etiqueta estiver presente, use a política SCP de exemplo para exigir uma etiqueta em recursos criados especificados.


Informações relacionadas

Qual é a diferença entre uma política de controle de serviços do AWS Organizations e uma política do IAM?

AWS OFICIAL
AWS OFICIALAtualizada há 3 anos