O processo envolvido na criação e no uso de uma Política de Controle de Serviço:

1. . AWS o administrador configura uma SCP (Service Control Policy, política de controle de serviços) na conta de gestão, usando uma lista de recursos do script CFT. O administrador pode personalizar esta lista adicionando mais tipos de recursos.
2. . AWS o administrador compartilha o SCP ID com ServiceNow administrador, que o usa para registro durante Gestão de contas de nuvem processo de configuração.
3. . Gestão de contas de nuvem A aplicação envia uma solicitação de suspensão, acionando uma chamada de API para AWS API de política de anexação das organizações. Esta API impõe o SCP para impedir que os usuários criem recursos nessa conta.

Copie o seguinte conteúdo em um arquivo e salve o arquivo como modelo CloudFormation (extensão como *.cft):

AWSTemplateFormatVersion: 2010-09-09
Description: SCP policy for ServiceNow Cloud Workspace to restrict creation of new resources. 
Resources:
  PolicyTestTemplate:
    Type: AWS::Organizations::Policy
    Properties:
      Type: SERVICE_CONTROL_POLICY
      Name: CAM_SCP_SuspendAccount_Policy
      Content:
        Version: 2012-10-17
        Statement:
          - Sid: CAMSCPSuspendAccountPolicy
            Effect: Deny
            Action:
              - 'ec2:RunInstances'
              - 'ec2:CreateVolume'
              - 'ec2:CreateSnapshot'
              - 'ec2:CreateImage'
              - 's3:CreateBucket'
              - 'iam:CreateUser'
              - 'iam:CreateRole'
              - 'iam:CreatePolicy'
              - 'dynamodb:CreateTable'
              - 'sqs:CreateQueue'
              - 'sns:CreateTopic'
              - 'lambda:CreateFunction'
              - 'ec2:CreateVpc'
              - 'ec2:CreateSubnet'
              - 'ec2:CreateInternetGateway'
              - 'ec2:CreateRoute'
              - 'rds:CreateDBInstance'
              - 'redshift:CreateCluster'
            Resource: '*'