Comment puis-je utiliser les SCP et les stratégies d'identification pour empêcher les utilisateurs de mes comptes membres AWS Organizations de créer des ressources ?

Dernière mise à jour : 25/01/2022

Je souhaite empêcher les utilisateurs de mes comptes membres AWS Organizations de créer des ressources AWS à l'aide de stratégies de contrôle des services (SCP) ou de stratégies d'identification.

Brève description

Les SCP peuvent être utilisées pour gérer les autorisations au sein de votre organisation, mais pas pour les accorder. Pour plus d'informations, consultez Stratégies de contrôle des services (SCP).

Les stratégies d'identification peuvent être utilisées pour gérer des identifications normalisées avec les ressources AWS pour les comptes Organization. Pour plus d'informations, consultez Stratégies d'identification.

Solution

Utilisez la SCP ou la stratégie d'identification suivante en fonction de votre cas d'utilisation.

Utiliser des stratégies d'identification pour empêcher le balisage des ressources existantes

Les stratégies d'identification sont vérifiées lorsque vous effectuez des opérations qui affectent les identifications d'une ressource existante. Par exemple, les stratégies d'identification peuvent faire en sorte que les utilisateurs ne puissent pas remplacer l'identification spécifiée sur les ressources AWS par une identification non conforme.

L'exemple de stratégie d'identification suivant autorise la paire clé-valeur de balise en tant qu'Environnement-Production appliquée pour les instances Amazon Elastic Compute Cloud (Amazon EC2). La stratégie empêche les utilisateurs de modifier cette identification sur les instances Amazon EC2 existantes, mais elle n'empêche pas le lancement de nouvelles instances ayant des identifications non conformes ou n'ayant aucune identification.

{
  "tags": {
    "Environment": {
      "tag_key": {
        "@@assign": "Environment"
      },
      "tag_value": {
        "@@assign": [
          "Production"
        ]
      },
      "enforced_for": {
        "@@assign": [
          "ec2:instance"
        ]
      }
    }
  }
}

Utiliser des SCP pour empêcher l'identification en vue de créer de nouvelles ressources

Vous pouvez utiliser des SCP pour empêcher la création de nouvelles ressources AWS qui ne sont pas identifiées selon les directives de restriction d'identification de votre organisation. Pour vous assurer que les ressources AWS sont créées uniquement si une certaine identification est présente, utilisez l'exemple de stratégie SCP pour exiger une identification sur les ressources créées spécifiées.


Cet article vous a-t-il été utile ?


Besoin d'aide pour une question technique ou de facturation ?