Come posso utilizzare SCP e policy di tag per impedire agli utenti nei miei account membri di AWS Organizations di creare risorse?

Ultimo aggiornamento: 25/01/2022

Voglio impedire agli utenti nei miei account membri di AWS Organizations di creare risorse AWS utilizzando policy di controllo dei servizi (SCP) o policy di tag.

Breve descrizione

Gli SCP possono essere utilizzati per gestire le autorizzazioni nell'organizzazione, ma non per concedere l'autorizzazione. Per ulteriori informazioni, consulta le policy di controllo dei servizi (SCP).

Le policy di tag possono essere utilizzate per mantenere tag standardizzati con le risorse AWS per gli account con Organizations. Per ulteriori informazioni, consulta lepolicy di tag.

Soluzione

Utilizza la seguente SCP o policy di tag in base al tuo caso d'uso.

Utilizza le policy di tag per impedire l'assegnazione di tag sulle risorse esistenti

Le policy di tag vengono controllati quando si eseguono operazioni che influiscono sui tag su una risorsa esistente. Ad esempio, le policy di tag possono imporre che gli utenti non possano modificare il tag specificato sulle risorse AWS in un tag non conforme.

Il seguente esempio di policy di tag consente la coppia chiave-valore di tag come Ambiente-Produzione applicata per le istanze Amazon Elastic Compute Cloud (Amazon EC2). La policy impedisce agli utenti di modificare questo tag sulle istanze Amazon EC2 esistenti, ma non impedisce il lancio di nuove istanze con tag non conformi o senza tag.

{
  "tags": {
    "Environment": {
      "tag_key": {
        "@@assign": "Environment"
      },
      "tag_value": {
        "@@assign": [
          "Production"
        ]
      },
      "enforced_for": {
        "@@assign": [
          "ec2:instance"
        ]
      }
    }
  }
}

Utilizza SCP per impedire l'assegnazione di tag per la creazione di nuove risorse

Puoi utilizzare SCP per impedire la creazione di nuove risorse AWS che non sono taggate per le linee di guida sulla restrizione dell'assegnazione di tag della tua organizzazione. Per assicurarti che le risorse AWS vengano create solo se è presente un determinato tag, utilizza la policy SCP di esempio per richiedere un tag su risorse create specificate.


Questo articolo è stato utile?


Hai bisogno di supporto tecnico o per la fatturazione?