Panduan ini akan menjelaskan proses pembuatan kebijakan kontrol Layanan menggunakan metode berikut:
Prasyarat: Aktifkan Kebijakan Kontrol Layanan
Untuk membuat kebijakan kontrol Layanan di AWS, Anda harus mengaktifkannya dari dasbor AWS Organizations:
Di dasbor Organisasi, klik “ Kebijakan ” dari panel kiri untuk menuju ke halamannya:
Klik pada ' Kebijakan kontrol layanan ' tombol dari ' Jenis kebijakan yang didukung ' bagian:
Klik pada ' Aktifkan kebijakan kontrol layanan ” dari halaman Kebijakan kontrol layanan untuk mengaktifkan layanannya:
Metode 1: Menggunakan AWS Management Console
Setelah Kebijakan kontrol layanan diaktifkan, cukup klik “ Buat kebijakan ' tombol:
Sekarang, mulai konfigurasi kebijakan kontrol Layanan dengan mengetikkan namanya:
Menambahkan tag adalah proses opsional, sehingga pengguna dapat menambahkan tag untuk identifikasi SCP, dan tab nilai kosong akan menghasilkan string nol untuk kunci:
Gulir ke bawah untuk menemukan bagian Kebijakan dan ketik nama layanan untuk menambahkan pernyataan kebijakan dalam format JSON:
Setelah memilih layanan AWS, cukup pilih tindakan untuk mengizinkan atau menolak kebijakan:
Pengguna dapat menambahkan sumber daya atau ketentuan untuk dilampirkan ke kebijakan hanya dengan mengklik tombol “ Menambahkan ' tombol:
Untuk menambahkan sumber daya dengan pernyataan kebijakan, cukup pilih layanan dan pilih juga jenis sumber daya sebelum mengklik “ Tambahkan sumber daya ' tombol:
Setelah semua konfigurasi, cukup tinjau kebijakan dan klik tombol “ Buat kebijakan ' tombol:
Kebijakan telah berhasil dibuat, cukup klik namanya untuk masuk ke halaman detailnya:
Detail kebijakan tersedia di halaman ini dan pengguna selalu dapat mengedit kebijakan atau membuat yang baru juga:
Metode 2: Menggunakan AWS CLI
Untuk membuat kebijakan kontrol Layanan menggunakan AWS CLI, Anda harus membuat pernyataan untuk kebijakan dalam format JSON. Contoh pernyataan kebijakan untuk menolak semua tindakan IAM dalam format JSON disebutkan di bawah ini:
{'Versi: kapan' : '17-10-2012' ,
'Penyataan' : [
{
'Sid' : 'DenyAccessToASpecificRole' ,
'Memengaruhi' : 'Membantah' ,
'Tindakan' : [
'jam:AttachRolePolicy' ,
'jam: Hapus Peran' ,
'iam:DeleteRolePermissionsBoundary' ,
'iam:DeleteRolePolicy' ,
'iam:DetachRolePolicy' ,
'iam:PutRolePermissionsBoundary' ,
'jam:PutRolePolicy' ,
'iam:UpdateAssumeRolePolicy' ,
'iam: PerbaruiPeran' ,
'iam:UpdateRoleDescription'
] ,
'Sumber' : [
'arn:aws:iam::*:peran/nama-peran-untuk-ditolak'
]
}
]
}
Setelah itu, gunakan perintah AWS CLI berikut untuk membuat kebijakan di layanan AWS Organizations menggunakan file JSON yang disimpan di direktori lokal. Perintah ini berisi nama, deskripsi, dan jenis kebijakan kontrol Layanan untuk ditambahkan ke Organisasi:
organisasi aws membuat kebijakan --isi mengajukan: // Deny-IAM.json --keterangan 'Tolak semua tindakan IAM' --nama DenyIAMSCP --jenis SERVICE_CONTROL_POLICY 
Untuk memverifikasi pembuatan Kebijakan kontrol layanan, cukup kunjungi dasbor, dan klik nama kebijakan:
Pada halaman detail Kebijakan, klik “ Isi ” dan gulir ke bawah untuk memeriksa konten kebijakan:
Tangkapan layar berikut menampilkan konten kebijakan dan pengguna dapat mengedit pernyataan tersebut:
Itu semua tentang membuat kebijakan kontrol Layanan di layanan AWS Organization.
Kesimpulan
Untuk membuat “ Kebijakan kontrol layanan ” di dasbor AWS Organizations, kebijakan harus diaktifkan terlebih dahulu. Setelah itu, pengguna dapat membuat SCP dengan menggunakan AWS Management Console atau AWS Command Line Interface. Panduan ini telah menjelaskan proses pembuatan kebijakan kontrol Layanan di AWS Organization menggunakan kedua metode tersebut.