Hướng dẫn này sẽ giải thích quy trình tạo chính sách kiểm soát Dịch vụ bằng các phương pháp sau:
Điều kiện tiên quyết: Kích hoạt chính sách kiểm soát dịch vụ
Để tạo chính sách kiểm soát Dịch vụ trong AWS, bạn phải bật chính sách đó từ bảng điều khiển Tổ chức AWS:
Trên bảng điều khiển Tổ chức, nhấp vào nút “ chính sách ” từ bảng điều khiển bên trái để chuyển đến trang của nó:
Nhấp vào “ Chính sách kiểm soát dịch vụ ” nút từ “ Các loại chính sách được hỗ trợ ' phần:
Nhấp vào “ Bật chính sách kiểm soát dịch vụ ” từ trang Chính sách kiểm soát dịch vụ để kích hoạt các dịch vụ của nó:
Phương pháp 1: Sử dụng Bảng điều khiển quản lý AWS
Khi các chính sách kiểm soát Dịch vụ được bật, chỉ cần nhấp vào nút “ Tạo chính sách ' cái nút:
Bây giờ, hãy bắt đầu cấu hình chính sách kiểm soát Dịch vụ bằng cách nhập tên của nó:
Thêm thẻ là một quy trình tùy chọn, vì vậy người dùng có thể thêm thẻ để nhận dạng SCP và tab giá trị trống sẽ tạo chuỗi null cho khóa:
Cuộn xuống để tìm phần Chính sách và nhập tên của dịch vụ để thêm câu lệnh chính sách ở định dạng JSON:
Sau khi chọn dịch vụ AWS, chỉ cần chọn các hành động để cho phép hoặc từ chối chính sách:
Người dùng có thể thêm tài nguyên hoặc điều kiện được đính kèm vào chính sách bằng cách nhấp vào “ Thêm vào ' cái nút:
Để thêm tài nguyên với tuyên bố chính sách, chỉ cần chọn dịch vụ và chọn loại tài nguyên trước khi nhấp vào “ Thêm tài nguyên ' cái nút:
Sau tất cả các cấu hình, chỉ cần xem lại chính sách và nhấp vào “ Tạo chính sách ' cái nút:
Chính sách đã được tạo thành công, chỉ cần nhấp vào tên của nó để vào bên trong trang chi tiết của nó:
Chi tiết chính sách có sẵn trên trang này và người dùng luôn có thể chỉnh sửa chính sách hoặc tạo chính sách mới:
Phương pháp 2: Sử dụng AWS CLI
Để tạo chính sách kiểm soát Dịch vụ bằng AWS CLI, bạn phải tạo một câu lệnh cho chính sách ở định dạng JSON. Một ví dụ về tuyên bố chính sách để từ chối tất cả các hành động IAM ở định dạng JSON được đề cập dưới đây:
{'Phiên bản' : '2012-10-17' ,
'Tuyên bố' : [
{
'Sid' : 'DenyAccessToASpecificRole' ,
'Tác dụng' : 'Từ chối' ,
'Hoạt động' : [
'kẹt: Đính kèmRolePolicy' ,
'kẹt:XóaVai trò' ,
'iam:DeleteRolePermissionsBoundary' ,
'iam:DeleteRolePolicy' ,
'iam:DetachRolePolicy' ,
'iam:PutRolePermissionsBoundary' ,
'mứt:PutRolePolicy' ,
'iam:UpdateAssumeRolePolicy' ,
'iam:UpdateRole' ,
'iam:UpdateRoleDescription'
] ,
'Nguồn' : [
'arn:aws:iam::*:vai trò/tên-của-vai-để-từ-chối'
]
}
]
}
Sau đó, sử dụng lệnh AWS CLI sau để tạo chính sách trong dịch vụ AWS Organizations bằng tệp JSON được lưu trữ trong thư mục cục bộ. Lệnh này chứa tên, mô tả và loại chính sách kiểm soát Dịch vụ để thêm vào Tổ chức:
tổ chức aws tạo chính sách --nội dung tài liệu: // Từ chối-IAM.json --Sự miêu tả 'Từ chối tất cả các hành động IAM' --tên Từ chốiIAMSCP --kiểu SERVICE_CONTROL_POLICY 
Để xác minh việc tạo chính sách kiểm soát Dịch vụ, chỉ cần truy cập trang tổng quan và nhấp vào tên của chính sách:
Trên trang chi tiết Chính sách, nhấp vào “ Nội dung ” và cuộn xuống để kiểm tra nội dung của chính sách:
Ảnh chụp màn hình sau đây hiển thị nội dung của chính sách và người dùng có thể chỉnh sửa câu lệnh:
Đó là tất cả về cách tạo Chính sách kiểm soát dịch vụ trong dịch vụ Tổ chức AWS.
Phần kết luận
Để tạo ra một ' Chính sách kiểm soát dịch vụ ” trong bảng điều khiển của Tổ chức AWS, trước tiên cần phải bật chính sách này. Sau đó, người dùng có thể tạo SCP bằng cách sử dụng Bảng điều khiển quản lý AWS hoặc Giao diện dòng lệnh AWS. Hướng dẫn này đã giải thích quy trình tạo chính sách kiểm soát Dịch vụ trong Tổ chức AWS bằng cả hai phương pháp.