我想阻止我的 AWS Organizations 成员账户中的用户使用服务控制策略 (SCP) 或标签策略创建 AWS 资源。
简短描述
SCP 可用于管理企业中的权限,但不能用于授予权限。有关更多信息,请参阅服务控制策略 (SCP)。
标签策略可用于为拥有企业的账户维护具有 AWS 资源的标准化标签。如需更多信息,请参阅标签策略。
解决方法
根据您的使用案例使用以下 SCP 或标签策略。
使用标签策略来防止标记现有资源
当您执行影响现有资源标签的操作时,会检查标签策略。例如,标签策略可以强制用户不能将 AWS 资源上的指定标签更改为不合规的标签。
以下标签策略示例允许标签键值对 Environment-Production(环境-生产)强制作为 Amazon Elastic Compute Cloud (Amazon EC2) 实例的标签。该策略阻止用户更改现有 Amazon EC2 实例上的此标签,但不会阻止启动带有不合规标签或没有标签的新实例。
{
"tags": {
"Environment": {
"tag_key": {
"@@assign": "Environment"
},
"tag_value": {
"@@assign": [
"Production"
]
},
"enforced_for": {
"@@assign": [
"ec2:instance"
]
}
}
}
}
使用 SCP 防止标记创建新资源
您可以使用 SCP 来防止创建未根据您企业的标记限制准则标记的新 AWS 资源。要确保仅在存在特定标签时才创建 AWS 资源,请使用该 SCP 策略示例要求在指定的已创建资源上使用标签。
相关信息
AWS Organizations 服务控制策略与 IAM 策略之间有何区别?