As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

# Impeça o acesso à Internet no nível da conta usando uma política de controle de serviços
<a name="prevent-internet-access-at-the-account-level-by-using-a-service-control-policy"></a>

*Sergiy Shevchenko, Sean O'Sullivan e Victor Mazeo Whitaker, da Amazon Web Services*

## Resumo
<a name="prevent-internet-access-at-the-account-level-by-using-a-service-control-policy-summary"></a>

Frequentemente, as organizações desejam limitar o acesso à Internet aos recursos da conta que devem permanecer privados. Nessas contas, os recursos em nuvens privadas virtuais (VPCs) não devem acessar a Internet de forma alguma. Muitas organizações escolhem uma [arquitetura de inspeção centralizada](https://aws.amazon.com/blogs/networking-and-content-delivery/centralized-inspection-architecture-with-aws-gateway-load-balancer-and-aws-transit-gateway/). Para o tráfego leste-oeste (VPC para VPC) em uma arquitetura de inspeção centralizada, você precisa garantir que as contas spoke e seus recursos não tenham acesso à Internet. Para tráfego norte-sul (saída da Internet e local), você deseja permitir o acesso à Internet somente por meio da VPC de inspeção.

Esse padrão usa uma [política de controle de serviço (SCP)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html) para ajudar a impedir o acesso à Internet. Você pode aplicar esse SCP no nível da conta ou da unidade organizacional (OU). O SCP limita a conectividade com a Internet impedindo o seguinte:
+ Criação ou conexão de um gateway de IPv6 [internet IPv4 ou gateway](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Internet_Gateway.html) que permita acesso direto à Internet à VPC
+ Criar ou aceitar uma [conexão de emparelhamento de VPC](https://docs.aws.amazon.com/vpc/latest/peering/what-is-vpc-peering.html) que pode permitir acesso indireto à Internet por meio de outra VPC
+ Criação ou atualização de uma [AWS Global Accelerator](https://docs.aws.amazon.com/global-accelerator/latest/dg/what-is-global-accelerator.html)configuração que possa permitir acesso direto à Internet aos recursos da VPC

## Pré-requisitos e limitações
<a name="prevent-internet-access-at-the-account-level-by-using-a-service-control-policy-prereqs"></a>

**Pré-requisitos **
+ Um ou vários Contas da AWS gerenciados como uma organização em AWS Organizations.
+ [Todos os recursos estão habilitados](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_org_support-all-features.html) em AWS Organizations.
+ [SCPs estão habilitados](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_enable-disable.html) na organização.
+ Permissões para:
  + Acesse a conta de gerenciamento da organização.
  + Criar SCPs. Para obter mais informações sobre as permissões mínimas, consulte [Criando um SCP.](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps_create.html#create-an-scp)
  + Anexe o SCP às contas ou unidades organizacionais de destino (OUs). Para obter mais informações sobre as permissões mínimas, consulte [Anexar e desanexar políticas de controle de serviço](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps_attach.html).

**Limitações**
+ SCPs não afetam usuários ou funções na conta de gerenciamento. Elas afetam apenas as contas-membro de sua organização.
+ SCPs afetam somente usuários e funções AWS Identity and Access Management (IAM) que são gerenciados por contas que fazem parte da organização. Para obter mais informações, consulte [Efeitos do SCP sobre as permissões](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html#scp-effects-on-permissions).

## Ferramentas
<a name="prevent-internet-access-at-the-account-level-by-using-a-service-control-policy-tools"></a>

**Serviços da AWS**
+ [AWS Organizations](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_introduction.html)é um serviço de gerenciamento de contas que ajuda você a consolidar várias Contas da AWS em uma organização que você cria e gerencia centralmente. Nesse padrão, você usa [políticas de controle de serviço (SCPs)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html) em AWS Organizations.
+ [A Amazon Virtual Private Cloud (Amazon VPC)](https://docs.aws.amazon.com/vpc/latest/userguide/what-is-amazon-vpc.html) ajuda você a lançar AWS recursos em uma rede virtual que você definiu. Essa rede virtual é semelhante a uma rede tradicional que você operaria no próprio datacenter, com os benefícios de usar a infraestrutura escalável da AWS.

## Práticas recomendadas
<a name="prevent-internet-access-at-the-account-level-by-using-a-service-control-policy-best-practices"></a>

Depois de estabelecer esse SCP em sua organização, certifique-se de atualizá-lo com frequência para abordar quaisquer novos recursos Serviços da AWS ou recursos que possam afetar o acesso à Internet.

## Épicos
<a name="prevent-internet-access-at-the-account-level-by-using-a-service-control-policy-epics"></a>

### Crie e anexe o SCP
<a name="create-and-attach-the-scp"></a>


| Tarefa | Description | Habilidades necessárias | 
| --- | --- | --- | 
| Crie o SCP. | [See the AWS documentation website for more details](http://docs.aws.amazon.com/pt_br/prescriptive-guidance/latest/patterns/prevent-internet-access-at-the-account-level-by-using-a-service-control-policy.html) | Administrador da AWS | 
| Conecte o SCP. | [See the AWS documentation website for more details](http://docs.aws.amazon.com/pt_br/prescriptive-guidance/latest/patterns/prevent-internet-access-at-the-account-level-by-using-a-service-control-policy.html) | Administrador da AWS | 

## Recursos relacionados
<a name="prevent-internet-access-at-the-account-level-by-using-a-service-control-policy-resources"></a>
+ [AWS Organizations documentação](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_introduction.html)
+ [Políticas de controle de serviços (SCPs)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_introduction.html)
+ [Arquitetura de inspeção centralizada com AWS Gateway Load Balancer AWS Transit Gateway](https://aws.amazon.com/blogs/networking-and-content-delivery/centralized-inspection-architecture-with-aws-gateway-load-balancer-and-aws-transit-gateway/) e AWS (postagem no blog)