Wie kann ich SCPs und Tag-Richtlinien verwenden, um zu verhindern, dass Benutzer in meinen AWS Organizations-Mitgliedskonten Ressourcen erstellen?

Zuletzt aktualisiert: 25.01.2022

Ich möchte verhindern, dass Benutzer in meinen AWS Organizations-Mitgliedskonten AWS-Ressourcen mithilfe von Service-Kontrollrichtlinien (SCPs) oder Tag-Richtlinien erstellen.

Kurzbeschreibung

SCPs können zur Verwaltung von Berechtigungen in Ihrer Organisation verwendet werden, aber nicht zur Erteilung von Berechtigungen. Weitere Informationen finden Sie unter Service-Kontrollrichtlinien (SCPs).

Tag-Richtlinien können verwendet werden, um standardisierte Tags mit AWS-Ressourcen für Konten mit Organisationen zu pflegen. Weitere Informationen finden Sie unter Tag-Richtlinien.

Auflösung

Verwenden Sie je nach Anwendungsfall die folgende SCP- oder Tag-Richtlinie.

Verwenden Sie Tag-Richtlinien, um das Markieren von bestehenden Ressourcen zu verhindern

Die Tag-Richtlinien werden überprüft, wenn Sie Vorgänge durchführen, die sich auf die Tags einer vorhandenen Ressource auswirken. So können Tag-Richtlinien beispielsweise erzwingen, dass Benutzer das angegebene Tag auf AWS-Ressourcen nicht in ein nicht konformes Tag ändern können.

Die folgende Beispiel-Tag-Richtlinie erlaubt das Tag-Schlüssel-Wert-Paar als Umgebungs-Produktion, die für Amazon Elastic Compute Cloud (Amazon EC2) Instances erzwungen wird. Die Richtlinie hindert Benutzer daran, dieses Tag auf bestehenden Amazon EC2-Instances zu ändern, aber sie verhindert nicht den Start neuer Instances mit nicht konformen Tags oder ohne Tags.

{
  "tags": {
    "Environment": {
      "tag_key": {
        "@@assign": "Environment"
      },
      "tag_value": {
        "@@assign": [
          "Production"
        ]
      },
      "enforced_for": {
        "@@assign": [
          "ec2:instance"
        ]
      }
    }
  }
}

Verwenden Sie SCPs, um das Markieren bei der Erstellung neuer Ressourcen zu verhindern

Sie können SCPs verwenden, um die Erstellung neuer AWS-Ressourcen zu verhindern, die nicht für die Markierungs-Beschränkungsrichtlinien Ihrer Organisation markiert sind. Um sicherzustellen, dass die AWS-Ressourcen nur erstellt werden, wenn ein bestimmtes Tag vorhanden ist, verwenden Sie die Beispiel-SCP-Richtlinie, um ein Tag für bestimmte erstellte Ressourcen zu verlangen.


War dieser Artikel hilfreich?


Benötigen Sie Hilfe zur Fakturierung oder technischen Support?