Configurar a Política de controle de serviço no AWS

  • Versão de lançamento: Xanadu
  • Atualizado 9 de jan. de 2026
  • 2 min. de leitura

    • Os responsáveis pela conta podem impedir a criação de novos recursos de nuvem por meio de Gestão de contas de nuvem (CAM). O CAM adiciona o número da conta à Política de controle de serviço da organização da AWS, ajudando a evitar a criação de novos recursos e gastos excessivos do orçamento. Os recursos existentes continuam a funcionar normalmente.

    Antes de Iniciar

    Função necessária: administrador do AWS

    Por Que e Quando Desempenhar Esta Tarefa

    O processo envolvido na criação e uso de uma Política de controle de serviço:
    • Uma Política de controle de serviço (SCP) é criada na conta de gestão durante a configuração, com uma lista de recursos fornecida como parte do script CFT. Esta lista é personalizável com a adição de tipos de recursos adicionais para atender às necessidades específicas do cliente.
    • O administrador ServiceNow é notificado com o ID SCP, que é usado para registro durante o processo de configuração CAM.
    • O app CAM inicia uma solicitação de suspensão, acionando uma chamada de API para a API AWS Organizations Attach Policy, que impõe o SCP, ajudando a impedir que os usuários criem recursos nessa conta.
    Nota:

    A política SCP pré-configurada serve como base, que pode ser facilmente personalizada adicionando outros tipos de recursos.

    AWSTemplateFormatVersion: 2010-09-09
Description: SCP policy for Servicenow Cloud Account Management to restrict creation of new resources. 
Resources:
  PolicyTestTemplate:
    Type: AWS::Organizations::Policy
    Properties:
      Type: SERVICE_CONTROL_POLICY
      Name: CAM_SCP_SuspendAccount_Policy
      Content:
        Version: 2012-10-17
        Statement:
          - Sid: CAMSCPSuspendAccountPolicy
            Effect: Deny
            Action:
              - 'ec2:RunInstances'
              - 'ec2:CreateVolume'
              - 'ec2:CreateSnapshot'
              - 'ec2:CreateImage'
              - 's3:CreateBucket'
              - 'iam:CreateUser'
              - 'iam:CreateRole'
              - 'iam:CreatePolicy'
              - 'dynamodb:CreateTable'
              - 'sqs:CreateQueue'
              - 'sns:CreateTopic'
              - 'lambda:CreateFunction'
              - 'ec2:CreateVpc'
              - 'ec2:CreateSubnet'
              - 'ec2:CreateInternetGateway'
              - 'ec2:CreateRoute'
              - 'rds:CreateDBInstance'
              - 'redshift:CreateCluster'
            Resource: '*'

    Procedimento

    1. Faça login no console de gestão AWS e navegue até o serviço CloudFormation.
      Para abrir o serviço CloudFormation, pesquise por CloudFormation na barra de pesquisa.
    2. No console do CloudFormation, selecione Criar pilha.
    3. Carregue o arquivo de modelo do CloudFormation selecionando o botão Carregar um arquivo de modelo.
    4. Insira um nome exclusivo para sua pilha do CloudFormation no campo Nome da pilha.
      Este nome identifica sua pilha na sua conta AWS.
    5. Insira o nome de usuário desejado para o usuário da conta de serviço CAM.
    6. Confirme o formulário e selecione Enviar.

    O que Fazer Depois

    Depois que o modelo do CloudFormation (CFT) cria a política, um nome de recurso da Amazon (ARN) é atribuído. Um ARN normalmente segue o formato: 
    arn:aws:organizations::1234567890:policy/o-99t3h155el/service_control_policy/p-328wg3yb
    O elemento-chave que você deve fornecer ao administrador ServiceNow é o elemento de política, que neste exemplo é: p-328wg3yb.