Това ръководство ще обясни процеса на създаване на политика за контрол на услугата, използвайки следните методи:
Предпоставка: Разрешаване на правила за контрол на услугата
За да създадете политика за контрол на услугата в AWS, е необходимо да я активирате от таблото за управление на AWS организации:
В таблото за управление на организации щракнете върху „ Политики ” от левия панел, за да отидете на неговата страница:
Кликнете върху „ Политики за контрол на услугата ” от бутона „ Поддържани типове правила ” раздел:
Кликнете върху „ Активирайте правилата за контрол на услугата ” от страницата с правила за контрол на услугата, за да активирате нейните услуги:
Метод 1: Използване на конзолата за управление на AWS
След като политиките за контрол на услугата са активирани, просто щракнете върху „ Създайте политика ” бутон:
Сега започнете конфигурирането на политиката за контрол на услугата, като напишете нейното име:
Добавянето на тагове е незадължителен процес, така че потребителят може да добавя тагове за идентификации на SCP, а празен раздел със стойност ще генерира нулев низ за ключа:
Превъртете надолу, за да намерите секцията Политика и въведете името на услугата, за да добавите декларация за политика във формат JSON:
След като изберете услугата AWS, просто изберете действията, за да разрешите или откажете политиката:
Потребителят може да добави ресурс или условие, което да бъде прикачено към политиката, като просто щракне върху „ Добавете ” бутон:
За да добавите ресурс с изявлението за правилата, просто изберете услугата и изберете типа ресурс, преди да щракнете върху „ Добавяне на ресурс ” бутон:
След цялата конфигурация просто прегледайте правилата и щракнете върху „ Създайте политика ” бутон:
Правилото е създадено успешно, просто щракнете върху името му, за да влезете в страницата с подробности:
Подробностите за политиката са достъпни на тази страница и потребителят винаги може да редактира политиката или да създаде нова:
Метод 2: Използване на AWS CLI
За да създадете политика за контрол на услугата с помощта на AWS CLI, е необходимо да създадете израз за политиката във формат JSON. По-долу е споменат пример за декларация за политика за отказ на всички IAM действия във формат JSON:
{'Версия' : '2012-10-17' ,
'изявление' : [
{
'Сид' : „DenyAccessToASSpecificRole“ ,
'Ефект' : 'Откажи' ,
'екшън' : [
'jam:AttachRolePolicy' ,
'jam:DeleteRole' ,
'iam:DeleteRolePermissionsBoundary' ,
'iam:DeleteRolePolicy' ,
'iam:DetachRolePolicy' ,
'iam:PutRolePermissionsBoundary' ,
'jam:PutRolePolicy' ,
'iam:UpdateAssumeRolePolicy' ,
'iam:UpdateRole' ,
'iam:UpdateRoleDescription'
] ,
'Ресурс' : [
'arn:aws:iam::*:роля/име-на-роля-за-отказване'
]
}
]
}
След това използвайте следната AWS CLI команда, за да създадете политика в услугата AWS Organisations, като използвате JSON файл, съхранен в локалната директория. Тази команда съдържа името, описанието и типа на политиката за контрол на услугата, която да добавите към организацията:
политика за създаване на aws организации -- съдържание файл: // Отказ-IAM.json --описание „Отказ на всички IAM действия“ -- име Отказ на IAMSCP --Тип SERVICE_CONTROL_POLICY 
За да проверите създаването на политиката за контрол на услугата, просто посетете таблото за управление и щракнете върху името на политиката:
На страницата с подробности за политиката щракнете върху „ Съдържание ” и превъртете надолу, за да проверите съдържанието на правилата:
Следната екранна снимка показва съдържанието на правилата и потребителят може да редактира изявлението:
Това е всичко за създаване на политика за контрол на услугата в услугата AWS Organisation.
Заключение
За да създадете „ Политика за контрол на услугата ” в таблото за управление на AWS организации е необходимо първо да активирате политиката. След това потребителят може да създаде SCP, като използва конзолата за управление на AWS или интерфейса на командния ред на AWS. Това ръководство обяснява процеса на създаване на политика за контрол на услугата в организацията на AWS, като се използват и двата метода.