Exemples de politiques de contrôle des ressources

Les exemples de politiques de contrôle des ressources (RCPs) présentés dans cette rubrique sont fournis à titre informatif uniquement.

Avant d'utiliser ces exemples

Avant d'utiliser ces exemples RCPs dans votre organisation, tenez compte des points suivants :

Les politiques de contrôle des ressources (RCPs) sont destinées à être utilisées comme des contrôles préventifs grossiers et n'accordent pas d'accès. Vous devez toujours associer des politiques basées sur l'identité ou les ressources aux principaux IAM ou aux ressources de vos comptes pour accorder réellement des autorisations. Les autorisations effectives sont l'intersection logique entre SCP/RCP et une politique d'identité ou une politique de ressources. SCP/RCP Vous pouvez obtenir plus de détails sur les effets du RCP sur les autorisations ici.
Les politiques de contrôle des ressources de ce référentiel sont présentées à titre d'exemples. Vous ne devez pas joindre une RCPs pièce jointe sans avoir testé de manière approfondie l'impact de la politique sur les ressources de vos comptes. Une fois que vous avez une politique prête à mettre en œuvre, nous vous recommandons de la tester dans une organisation ou une unité d'organisation distincte pouvant représenter votre environnement de production. Une fois le test effectué, vous devez déployer les modifications à tester, OUs puis les déployer progressivement sur un ensemble plus large de données OUs au fil du temps.
La RCPFullAWSAccesspolitique est automatiquement attachée à la racine de l'organisation, à chaque unité d'organisation et à chaque compte de votre organisation lorsque vous activez les politiques de contrôle des ressources (RCPs). Ce RCP par défaut permet à tous les principaux et à tous les accès aux actions de passer par une évaluation RCP. Vous pouvez utiliser les instructions Deny pour restreindre l'accès aux ressources de votre organisation. Vous devez également accorder les autorisations appropriées à vos principaux en utilisant des politiques basées sur l'identité ou les ressources.
Lorsqu'elle est attachée à une racine d'organisation, à une unité organisationnelle ou à un compte, une politique de contrôle des ressources (RCP) permet de contrôler de manière centralisée les autorisations maximales disponibles pour les ressources de votre organisation, de votre unité organisationnelle ou d'un compte. Comme un RCP peut être appliqué à plusieurs niveaux dans une organisation, comprendre comment RCPs sont évalués peut vous aider à rédiger des informations RCPs qui produiront les résultats attendus.

Les exemples de politiques présentés dans cette section illustrent la mise en œuvre et l'utilisation de RCPs. Ils ne sont pas destinés à être interprétés comme des recommandations ou des bonnes pratiques AWS officielles à mettre en œuvre exactement comme indiqué. Il est de votre responsabilité de tester soigneusement toute politique afin de déterminer si elle répond aux exigences commerciales de votre environnement. Les politiques de contrôle des ressources basées sur le refus peuvent involontairement limiter ou bloquer votre utilisation des AWS services, sauf si vous ajoutez les exceptions nécessaires à la politique.

Astuce

Avant la mise en œuvre RCPs, outre l'examen AWS CloudTrail des journaux, l'évaluation des résultats d'accès externe d'IAM Access Analyzer peut aider à comprendre quelles ressources sont actuellement publiques ou partagées en externe.

GitHub référentiel

Exemples de politiques de contrôle des ressources - Ce GitHub référentiel contient des exemples de politiques pour démarrer ou affiner votre utilisation de AWS RCPs

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Syntaxe d’une RCP

Politiques de gestion