如何使用 SCP 和標籤政策來阻止 AWS Organizations 成員帳戶中的使用者建立資源?

上次更新日期:2022 年 1 月 25 日

我希望阻止 AWS Organizations 成員帳戶中的使用者透過服務控制政策 (SCP) 或標籤政策建立 AWS 資源。

簡短描述

SCP 可用於管理組織中的許可,但不能授予許可。如需詳細資訊,請參閱服務控制政策 (SCP)

標籤政策可用於針對 Organizations 帳戶維護 AWS 資源的標準化標籤。有關詳細資訊,請參閲標籤政策

解決方案

根據您的使用案例使用以下 SCP 或標籤政策。

使用標籤政策阻止對現有資源進行標記

在執行影響現有資源上標籤的操作時,會查看標籤政策。例如,標籤政策可以強制讓使用者無法將 AWS 資源上的指定標籤變更為不合規的標籤。

以下範例標籤政策允許將標籤鍵值對作為 Amazon Elastic Compute Cloud (Amazon EC2) 執行個體強制執行的 Environment-Production。該政策可阻止使用者在現有 Amazon EC2 執行個體上變更此標籤,但不會阻止啟動具有不合規標籤或沒有標籤的新執行個體。

{
  "tags": {
    "Environment": {
      "tag_key": {
        "@@assign": "Environment"
      },
      "tag_value": {
        "@@assign": [
          "Production"
        ]
      },
      "enforced_for": {
        "@@assign": [
          "ec2:instance"
        ]
      }
    }
  }
}

使用 SCP 阻止為建立新資源而進行標記

您可以使用 SCP 來阻止建立未按照組織的標記限制指引標記的新 AWS 資源。要確保僅在存在特定標籤時才建立 AWS 資源,請使用範例 SCP 政策要求在指定建立的資源上使用標籤


此文章是否有幫助?


您是否需要帳單或技術支援?