Configuration de la politique de contrôle de service dans AWS
L’administrateur AWS configure une politique de contrôle des services (SCP) et partage son ID avec l’administrateur pour Gestion des comptes cloud configurationServiceNow AI Platform. Gestion des comptes cloud applique la SCP via des appels d’API pour bloquer la création de ressources dans le compte.
Le processus impliqué dans la création et l’utilisation d’une politique de contrôle de service :
- L’administrateur AWS configure une politique de contrôle des services (SCP) dans le compte de gestion, à l’aide d’une liste de ressources du script CFT. L’administrateur peut personnaliser cette liste en ajoutant d’autres types de ressources.
- L’administrateur AWS partage l’ID SCP avec l’administrateur ServiceNow , qui l’utilise pour l’enregistrement pendant le processus de Gestion des comptes cloud configuration.
- L’application Gestion des comptes cloud soumet une demande de suspension, déclenchant un appel d’API à l’API AWS Organizations Attach Policy. Cette API impose au SCP d’empêcher les utilisateurs de créer des ressources dans ce compte.
Copiez le contenu suivant dans un fichier et enregistrez le fichier en tant que modèle CloudFormation (extension en tant que *.cft) :
AWSTemplateFormatVersion: 2010-09-09
Description: SCP policy for ServiceNow Cloud Workspace to restrict creation of new resources.
Resources:
PolicyTestTemplate:
Type: AWS::Organizations::Policy
Properties:
Type: SERVICE_CONTROL_POLICY
Name: CAM_SCP_SuspendAccount_Policy
Content:
Version: 2012-10-17
Statement:
- Sid: CAMSCPSuspendAccountPolicy
Effect: Deny
Action:
- 'ec2:RunInstances'
- 'ec2:CreateVolume'
- 'ec2:CreateSnapshot'
- 'ec2:CreateImage'
- 's3:CreateBucket'
- 'iam:CreateUser'
- 'iam:CreateRole'
- 'iam:CreatePolicy'
- 'dynamodb:CreateTable'
- 'sqs:CreateQueue'
- 'sns:CreateTopic'
- 'lambda:CreateFunction'
- 'ec2:CreateVpc'
- 'ec2:CreateSubnet'
- 'ec2:CreateInternetGateway'
- 'ec2:CreateRoute'
- 'rds:CreateDBInstance'
- 'redshift:CreateCluster'
Resource: '*'