מדריך זה יסביר את התהליך של יצירת מדיניות בקרת שירות באמצעות השיטות הבאות:
תנאי מוקדם: אפשר מדיניות בקרת שירות
כדי ליצור מדיניות בקרת שירות ב-AWS, יש להפעיל אותה מלוח המחוונים של AWS Organizations:
בלוח המחוונים של ארגונים, לחץ על ' מדיניות ' כפתור מהחלונית השמאלית כדי לעבור לעמוד שלו:
הקלק על ה ' מדיניות בקרת שירות כפתור מהלחצן ' סוגי מדיניות נתמכים ' קטע:
הקלק על ה ' אפשר מדיניות בקרת שירות ' כפתור מדף מדיניות בקרת השירות כדי להפעיל את השירותים שלו:
שיטה 1: שימוש במסוף הניהול של AWS
לאחר שמדיניות בקרת השירות מופעלת, פשוט לחץ על ' צור מדיניות ' כפתור:
כעת, התחל את התצורה של מדיניות בקרת השירות על ידי הקלדת שמה:
הוספת תגים היא תהליך אופציונלי, כך שהמשתמש יכול להוסיף תגים לזיהוי ה-SCP, וכרטיסיית ערך ריקה תיצור מחרוזת null עבור המפתח:
גלול מטה כדי לאתר את קטע המדיניות והקלד את שם השירות כדי להוסיף הצהרת מדיניות בפורמט JSON:
לאחר בחירת שירות AWS, פשוט בחר את הפעולות כדי לאפשר או לדחות את המדיניות:
המשתמש יכול להוסיף משאב או תנאי שיש לצרף למדיניות על ידי לחיצה על הלחצן ' לְהוֹסִיף ' כפתור:
כדי להוסיף משאב עם הצהרת המדיניות, פשוט בחר את השירות ובחר גם את סוג המשאב לפני שתלחץ על ' הוסף משאב ' כפתור:
לאחר כל ההגדרות, פשוט עיין במדיניות ולחץ על ' צור מדיניות ' כפתור:
המדיניות נוצרה בהצלחה, פשוט לחץ על השם שלה כדי להיכנס לדף הפרטים שלה:
פרטי המדיניות זמינים בדף זה והמשתמש תמיד יכול לערוך את המדיניות או ליצור מדיניות חדשה גם כן:
שיטה 2: שימוש ב-AWS CLI
כדי ליצור מדיניות בקרת שירות באמצעות AWS CLI, יש צורך ליצור הצהרה עבור המדיניות בפורמט JSON. דוגמה להצהרת המדיניות למניעת כל פעולות IAM בפורמט JSON מוזכרת להלן:
{'גִרְסָה' : '2012-10-17' ,
'הַצהָרָה' : [
{
'סיד' : 'DenyAccessToASpecificRole' ,
'השפעה' : 'לְהַכּחִישׁ' ,
'פעולה' : [
'jam:AttachRolePolicy' ,
'jam:DeleteRole' ,
'iam:DeleteRolePermissionsBoundary' ,
'iam:DeleteRolePolicy' ,
'iam:DetachRolePolicy' ,
'iam:PutRolePermissionsBoundary' ,
'jam:PutRolePolicy' ,
'iam:UpdateAssumeRolePolicy' ,
'iam:UpdateRole' ,
'iam:UpdateRoleDescription'
] ,
'מַשׁאָב' : [
'arn:aws:iam::*:rolle/name-of-role-to-deny'
]
}
]
}
לאחר מכן, השתמש בפקודה הבאה AWS CLI כדי ליצור מדיניות בשירות AWS Organizations באמצעות קובץ JSON המאוחסן בספרייה המקומית. פקודה זו מכילה את השם, התיאור והסוג של מדיניות בקרת השירות שיש להוסיף לארגון:
ארגוני aws יוצרים-מדיניות --תוֹכֶן קוֹבֶץ: // Deny-IAM.json --תיאור 'דחה את כל פעולות IAM' --שֵׁם הכחישIAMSCP --סוּג SERVICE_CONTROL_POLICY 
כדי לאמת את יצירת מדיניות בקרת השירות, פשוט בקר בלוח המחוונים ולחץ על שם המדיניות:
בדף פרטי המדיניות, לחץ על ' תוֹכֶן ' וגלול מטה כדי לבדוק את תוכן המדיניות:
צילום המסך הבא מציג את תוכן המדיניות והמשתמש יכול לערוך את ההצהרה:
זה הכל על יצירת מדיניות בקרת שירות בשירות ארגון AWS.
סיכום
ליצור ' מדיניות בקרת שירות בלוח המחוונים של AWS Organizations, יש צורך להפעיל את המדיניות תחילה. לאחר מכן, המשתמש יכול ליצור את ה-SCP על ידי שימוש במסוף הניהול של AWS או בממשק שורת הפקודה של AWS. מדריך זה הסביר את התהליך של יצירת מדיניות בקרת שירות בארגון AWS באמצעות שתי השיטות.