如何使用 SCP 和标签策略阻止我的 AWS Organizations 成员账户中的用户创建资源?

1 分钟阅读
0

我想阻止我的 AWS Organizations 成员账户中的用户使用服务控制策略 (SCP) 或标签策略创建 AWS 资源。

简短描述

SCP 可用于管理企业中的权限,但不能用于授予权限。有关更多信息,请参阅服务控制策略 (SCP)

标签策略可用于为拥有企业的账户维护具有 AWS 资源的标准化标签。如需更多信息,请参阅标签策略

解决方法

根据您的使用案例使用以下 SCP 或标签策略。

使用标签策略来防止标记现有资源

当您执行影响现有资源标签的操作时,会检查标签策略。例如,标签策略可以强制用户不能将 AWS 资源上的指定标签更改为不合规的标签。

以下标签策略示例允许标签键值对 Environment-Production(环境-生产)强制作为 Amazon Elastic Compute Cloud (Amazon EC2) 实例的标签。该策略阻止用户更改现有 Amazon EC2 实例上的此标签,但不会阻止启动带有不合规标签或没有标签的新实例。

{
  "tags": {
    "Environment": {
      "tag_key": {
        "@@assign": "Environment"
      },
      "tag_value": {
        "@@assign": [
          "Production"
        ]
      },
      "enforced_for": {
        "@@assign": [
          "ec2:instance"
        ]
      }
    }
  }
}

使用 SCP 防止标记创建新资源

您可以使用 SCP 来防止创建未根据您企业的标记限制准则标记的新 AWS 资源。要确保仅在存在特定标签时才创建 AWS 资源,请使用该 SCP 策略示例要求在指定的已创建资源上使用标签


相关信息

AWS Organizations 服务控制策略与 IAM 策略之间有何区别?

AWS 官方
AWS 官方已更新 3 年前