Bu kılavuz, aşağıdaki yöntemleri kullanarak bir Hizmet kontrol ilkesi oluşturma sürecini açıklayacaktır:
Ön koşul: Hizmet Kontrol Politikasını Etkinleştirin
AWS'de bir Hizmet denetimi ilkesi oluşturmak için AWS Kuruluşları panosundan etkinleştirmeniz gerekir:
Kuruluşlar panosunda, “ politikalar Sayfasına gitmek için sol paneldeki ” düğmesine basın:
Tıkla ' Hizmet kontrol politikaları ' düğmesinden ' Desteklenen ilke türleri ' bölüm:
Tıkla ' Hizmet kontrol ilkelerini etkinleştir Hizmetlerini etkinleştirmek için Hizmet kontrol ilkeleri sayfasındaki ” düğmesine basın:
Yöntem 1: AWS Yönetim Konsolunu Kullanma
Hizmet kontrol ilkeleri etkinleştirildikten sonra, ' İlke oluştur ' düğme:
Şimdi, adını yazarak Hizmet kontrol ilkesinin yapılandırmasını başlatın:
Etiketlerin eklenmesi isteğe bağlı bir işlemdir, böylece kullanıcı SCP'nin kimlikleri için etiketler ekleyebilir ve boş bir değer sekmesi, anahtar için boş bir dize oluşturur:
İlke bölümünü bulmak için aşağı kaydırın ve JSON biçiminde bir ilke bildirimi eklemek için hizmetin adını yazın:
AWS hizmetini seçtikten sonra, politikaya izin vermek veya reddetmek için eylemleri seçmeniz yeterlidir:
Kullanıcı, sadece “ üzerine tıklayarak politikaya eklenecek bir kaynak veya koşul ekleyebilir. Eklemek ' düğme:
İlke bildirimi ile bir kaynak eklemek için, hizmeti seçin ve ayrıca kaynak türünü de seçin, ardından “ kaynak ekle ' düğme:
Tüm yapılandırmalardan sonra, politikayı gözden geçirin ve “ İlke oluştur ' düğme:
Politika başarıyla oluşturuldu, ayrıntılar sayfasına gitmek için adına tıklamanız yeterli:
Politika ayrıntıları bu sayfada mevcuttur ve kullanıcı her zaman politikayı düzenleyebilir veya yeni bir tane de oluşturabilir:
Yöntem 2: AWS CLI'yi Kullanma
AWS CLI kullanarak bir Hizmet kontrol politikası oluşturmak için, politika için JSON biçiminde bir açıklama oluşturmak gerekir. JSON biçimindeki tüm IAM eylemlerini reddetmek için politika bildiriminin bir örneği aşağıda belirtilmiştir:
{'Sürüm' : '2012-10-17' ,
'İfade' : [
{
'Sid' : 'Belirli Role Erişimi Reddet' ,
'Etki' : 'Reddetmek' ,
'Aksiyon' : [
'jam:AttachRolePolicy' ,
'jam:Rol Sil' ,
'iam:DeleteRolePermissionsBoundary' ,
'iam:DeleteRolePolicy' ,
'iam:DetachRolePolicy' ,
'iam:PutRolePermissionsBoundary' ,
'jam:PutRolePolicy' ,
'iam:UpdateAssumeRolePolicy' ,
'ben:Rolü Güncelle' ,
'iam: UpdateRoleDescription'
] ,
'Kaynak' : [
'arn:aws:iam::*:rol/reddedilecek rolün adı'
]
}
]
}
Bundan sonra, yerel dizinde depolanan bir JSON dosyasını kullanarak AWS Organizations hizmetinde bir ilke oluşturmak için aşağıdaki AWS CLI komutunu kullanın. Bu komut, Kuruluşa eklenecek Hizmet kontrol ilkesinin adını, açıklamasını ve türünü içerir:
aws kuruluşları politika oluşturma --içerik dosya: // Deny-IAM.json --Tanım 'Tüm IAM işlemlerini reddet' --isim IAMSCP'yi Reddet --tip SERVICE_CONTROL_POLICY 
Hizmet kontrol politikasının oluşturulduğunu doğrulamak için panoyu ziyaret etmeniz ve politikanın adına tıklamanız yeterlidir:
Politika ayrıntıları sayfasında, “ İçerik ” bölümüne gidin ve politikanın içeriğini kontrol etmek için aşağı kaydırın:
Aşağıdaki ekran görüntüsü politikanın içeriğini gösterir ve kullanıcı ifadeyi düzenleyebilir:
Bu, AWS Organizasyon hizmetinde bir Hizmet kontrol politikası oluşturmakla ilgilidir.
Çözüm
Oluşturmak için ' Hizmet kontrol politikası AWS Organizations panosunda, önce politikayı etkinleştirmek gerekir. Bundan sonra kullanıcı, AWS Management Console'u veya AWS Komut Satırı Arayüzünü kullanarak SCP'yi oluşturabilir. Bu kılavuz, her iki yöntemi de kullanarak AWS Kuruluşunda bir Hizmet denetimi ilkesi oluşturma sürecini açıklamaktadır.