Exemplos de política de controle de serviço

As políticas de controle de serviço (SCPs) devem ser usadas como grades de proteção grosseiras e não concedem acesso diretamente. O administrador ainda precisa anexar políticas baseadas em identidade ou recursos aos diretores ou recursos do IAM em suas contas para realmente conceder permissões. As permissões efetivas são a interseção lógica entre a política de policy/Resource controle de serviços e uma política de identidade ou a política de policy/Resource controle de serviços e uma política de recursos. Você pode obter mais detalhes sobre os efeitos do SCP nas permissões aqui.

Uma política de controle de serviços (SCP), quando vinculada a uma organização, unidade organizacional ou conta, oferece um controle central sobre o máximo de permissões disponíveis para todas as contas em sua organização, unidade organizacional ou conta. Como um SCP pode ser aplicado em vários níveis em uma organização, entender como SCPs são avaliados pode ajudá-lo SCPs a escrever o resultado certo.

As políticas de controle de serviço nesse repositório são mostradas como exemplos. Você não deve anexar SCPs sem testar minuciosamente o impacto que a política tem nas contas. Depois de ter uma política pronta que você gostaria de implementar, recomendamos testar em uma organização ou OU separada que possa representar seu ambiente de produção. Depois de testado, você deve implantar alterações mais específicas OUs e, em seguida, implantar lentamente as alterações de forma cada vez mais ampla OUs ao longo do tempo.

Os exemplos de SCP neste repositório usam uma estratégia de lista de negação, o que significa que você também precisa de uma AWSAccess política completa ou de outra política que permita o acesso anexado às entidades da sua organização para permitir ações. Você ainda precisa conceder as permissões apropriadas aos seus diretores usando políticas baseadas em identidade ou recursos.