Konfigurieren der Servicesteuerungsrichtlinie in AWS
Die AWS der administrator konfiguriert eine Service Control Policy (SCP) und gibt ihre ID für den frei ServiceNow AI Platform administrator für Cloud Account Management Setup. Cloud Account Management Erzwingt den SCP über API-Aufrufe, um die Ressourcenerstellung im Account zu blockieren.
Der Prozess, der zum Erstellen und Verwenden einer Servicesteuerrichtlinie gehört:
- Die AWS der administrator richtet eine Service Control Policy (SCP) im Verwaltungsaccount ein, indem er eine Liste von Ressourcen aus dem CFT-Skript verwendet. Der Administrator kann diese Liste anpassen, indem er weitere Ressourcentypen hinzufügt.
- Die AWS der administrator gibt die SCP-ID für den frei ServiceNow administrator, der es während der Registrierung verwendet Cloud Account Management Konfigurationsprozess.
- Die Cloud Account Management Die App sendet eine Aussetzungsanforderung, die einen API-Aufruf an auslöst AWS Organisationen – API „Richtlinie anhängen“. Diese API erzwingt das SCP, um Anwender daran zu hindern, Ressourcen in diesem Account zu erstellen.
Kopieren Sie den folgenden Inhalt in eine Datei, und speichern Sie die Datei als CloudFormation-Vorlage (Erweiterung als *.cft):
AWSTemplateFormatVersion: 2010-09-09
Description: SCP policy for ServiceNow Cloud Workspace to restrict creation of new resources.
Resources:
PolicyTestTemplate:
Type: AWS::Organizations::Policy
Properties:
Type: SERVICE_CONTROL_POLICY
Name: CAM_SCP_SuspendAccount_Policy
Content:
Version: 2012-10-17
Statement:
- Sid: CAMSCPSuspendAccountPolicy
Effect: Deny
Action:
- 'ec2:RunInstances'
- 'ec2:CreateVolume'
- 'ec2:CreateSnapshot'
- 'ec2:CreateImage'
- 's3:CreateBucket'
- 'iam:CreateUser'
- 'iam:CreateRole'
- 'iam:CreatePolicy'
- 'dynamodb:CreateTable'
- 'sqs:CreateQueue'
- 'sns:CreateTopic'
- 'lambda:CreateFunction'
- 'ec2:CreateVpc'
- 'ec2:CreateSubnet'
- 'ec2:CreateInternetGateway'
- 'ec2:CreateRoute'
- 'rds:CreateDBInstance'
- 'redshift:CreateCluster'
Resource: '*'