Aquesta guia explicarà el procés de creació d'una política de control de serveis mitjançant els mètodes següents:
Requisit previ: habiliteu la política de control del servei
Per crear una política de control de serveis a AWS, cal habilitar-la des del tauler de control d'AWS Organizations:
Al tauler d'Organitzacions, feu clic a ' Polítiques ” del panell esquerre per anar a la seva pàgina:
Feu clic a ' Polítiques de control del servei botó ' del ' Tipus de polítiques compatibles ” secció:
Feu clic a ' Activa les polítiques de control del servei ” de la pàgina de polítiques de control del servei per habilitar els seus serveis:
Mètode 1: Ús de l'AWS Management Console
Un cop habilitades les polítiques de control del servei, només cal que feu clic a ' Crea una política botó ”:
Ara, inicieu la configuració de la política de control del servei escrivint el seu nom:
L'addició d'etiquetes és un procés opcional, de manera que l'usuari pot afegir etiquetes per a la identificació de l'SCP, i una pestanya de valor buida generarà una cadena nul·la per a la clau:
Desplaceu-vos cap avall per localitzar la secció Política i escriviu el nom del servei per afegir una declaració de política en format JSON:
Després de triar el servei AWS, només cal que seleccioneu les accions per permetre o denegar la política:
L'usuari pot afegir un recurs o una condició per adjuntar-lo a la política simplement fent clic a ' Afegeix botó ”:
Per afegir un recurs amb la declaració de política, només cal que seleccioneu el servei i escolliu també el tipus de recurs abans de fer clic a ' Afegeix un recurs botó ”:
Després de tota la configuració, simplement reviseu la política i feu clic a ' Crea una política botó ”:
La política s'ha creat correctament, només cal que feu clic al seu nom per dirigir-vos a la seva pàgina de detalls:
Els detalls de la política estan disponibles en aquesta pàgina i l'usuari sempre pot editar la política o crear-ne una de nova:
Mètode 2: Ús d'AWS CLI
Per crear una política de control de servei mitjançant AWS CLI, cal crear una declaració per a la política en format JSON. A continuació s'esmenta un exemple de la declaració de política per denegar totes les accions IAM en format JSON:
{'Versió' : '2012-10-17' ,
'Declaració' : [
{
'Sid' : 'DenyAccessToASpecificRole' ,
'Efecte' : 'Negar' ,
'Acció' : [
'jam:AttachRolePolicy' ,
'jam:DeleteRole' ,
'iam:DeleteRolePermissionsBoundary' ,
'iam:DeleteRolePolicy' ,
'iam:DetachRolePolicy' ,
'iam:PutRolePermissionsBoundary' ,
'jam:PutRolePolicy' ,
'iam:UpdateAssumeRolePolicy' ,
'iam:UpdateRole' ,
'iam:UpdateRoleDescription'
] ,
'Recurs' : [
'arn:aws:iam::*:rol/nom-del-rol-a-negar'
]
}
]
}
Després d'això, utilitzeu l'ordre AWS CLI següent per crear una política al servei AWS Organizations mitjançant un fitxer JSON emmagatzemat al directori local. Aquesta ordre conté el nom, la descripció i el tipus de política de control del servei que cal afegir a l'organització:
aws organitzacions crea-política --contingut dossier: // Deny-IAM.json -- descripció 'Denega totes les accions d'IAM' --nom Denegar IAMSCP --tipus SERVICE_CONTROL_POLICY 
Per verificar la creació de la política de control del servei, només cal que visiteu el tauler i feu clic al nom de la política:
A la pàgina de detalls de la política, feu clic a ' Contingut ” i desplaceu-vos cap avall per comprovar el contingut de la política:
La captura de pantalla següent mostra el contingut de la política i l'usuari pot editar la declaració:
Es tracta de crear una política de control de serveis al servei AWS Organization.
Conclusió
Per crear un ' Política de control del servei ” al tauler d'AWS Organizations, primer cal habilitar la política. Després d'això, l'usuari pot crear l'SCP mitjançant la consola de gestió d'AWS o la interfície de línia d'ordres d'AWS. Aquesta guia ha explicat el procés de creació d'una política de control de servei a l'organització AWS mitjançant els dos mètodes.