Exemples de politiques de contrôle des services

Les exemples de politiques de contrôle des services (SCPs) présentés dans cette rubrique sont fournis à titre informatif uniquement.

Avant d'utiliser ces exemples

Avant d'utiliser ces exemples SCPs dans votre organisation, tenez compte des points suivants :

Les politiques de contrôle des services (SCPs) sont destinées à être utilisées comme des barrières de sécurité grossières et n'accordent pas directement l'accès. L'administrateur doit toujours associer des politiques basées sur l'identité ou les ressources aux principaux IAM ou aux ressources de vos comptes pour réellement accorder des autorisations. Les autorisations effectives sont l'intersection logique entre la politique de policy/Resource contrôle des services et une politique d'identité ou entre la politique de policy/Resource contrôle des services et une politique des ressources. Vous pouvez obtenir plus de détails sur les effets du SCP sur les autorisations ici.
Lorsqu'elle est associée à une organisation, à une unité organisationnelle ou à un compte, une politique de contrôle des services (SCP) permet de contrôler de manière centralisée les autorisations maximales disponibles pour tous les comptes de votre organisation, de votre unité organisationnelle ou d'un compte. Comme un SCP peut être appliqué à plusieurs niveaux dans une organisation, comprendre comment SCPs sont évalués peut vous aider à rédiger des articles SCPs qui donnent le bon résultat.
Les politiques de contrôle des services de ce référentiel sont présentées à titre d'exemples. Vous ne devez pas joindre une SCPs pièce jointe sans avoir testé de manière approfondie l'impact de la politique sur les comptes. Une fois que vous avez une politique prête à mettre en œuvre, nous vous recommandons de la tester dans une organisation ou une unité d'organisation distincte pouvant représenter votre environnement de production. Une fois le test effectué, vous devez déployer les modifications de manière plus spécifique, OUs puis les déployer progressivement de manière plus large OUs au fil du temps.
Les exemples de SCP de ce référentiel utilisent une stratégie de liste de refus, ce qui signifie que vous avez également besoin d'une AWSAccess politique complète ou d'une autre politique autorisant l'accès attaché aux entités de votre organisation pour autoriser les actions. Vous devez également accorder les autorisations appropriées à vos principaux en utilisant des politiques basées sur l'identité ou les ressources.

Astuce

Vous pouvez utiliser les données du dernier accès au service dans IAM pour les mettre à jour SCPs afin de restreindre l'accès aux seules données Services AWS dont vous avez besoin. Pour de plus amples informations, consultez Affichage des dernière informations consultées pour Organizations dans le Guide de l'utilisateur IAM.

GitHub référentiel

Exemples de politiques de contrôle des services - Ce GitHub référentiel contient des exemples de politiques pour démarrer ou affiner votre utilisation de AWS SCPs

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Syntaxe d’une stratégie de contrôle de service

Résolution des problèmes