Service Control Policies - AWS Organizations

Written by   on  

Overview

Pada tulisan kali ini membuat control policies dengan membuat organizational unit production dan development.

Jika sebelumnya kita sudah membuat organization, kali ini kita akan membuat policy yang bisa diterapkan kedalam akun. Lebih detail mengenai Service Control Policies bisa dilihat disini

1. Masuk ke akun general, search organization

2. Centang root, kemudian klik action, create new


3.Organizational unit name, PROD, create organization unit


4. Centang root, kemudian klik action, create new,


5. Organizational unit name, DEV, create organization unit


6. Pindahkan production akun ke PROD OU, centang production akun, action, move


7. Centang PROD, move aws account


8. Akun production akan berpindah ke dalam folder PROD


9. Pindahkan development akun ke DEV OU, centang production akun, action, move


10. Centang DEV, move aws account


11. Perhatikan hirarki dari folder DEV


12. Switch role ke akun production


13. Kemudian buat S3 bucket dan upload file, kemudian akses file.


 

14. Perhatikan iam roles yang terdapat pada OrganizationAccountAccessRole, disana terdapat AdministratorAccess sehingga kita dapat membuat s3 bucket.


15. Buat policies dengan, switch kembali ke akun general

16. Pilih organizations, pilih menu policies, klik service control policies, enable service control polies


 

17. Klik fullAWSAccess, perhatikan polies yang ada



18. Buat policies baru, yang bertujuan untuk organization tidak bisa menggunakan resource s3, dengan cara create policy


  • Policy name, allow all except s3, isi description
  • Replace policy yang ada seperti dibawah ini, kemudian create policy
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "*",
            "Resource": "*"
        },
        {
            "Effect": "Deny",
            "Action": "s3:*",
            "Resource": "*"
        }
    ]
} 

19. Pada menu aws account, pilih folder PROD OU, tab policies klik atttach, pilih policy allow all except s3, attach policy




20. Perhatikan list policies, policy allow all except s3 sudah terpasang 


21. Detach fullAWSAccess policies yang source directly


22. Switch ke akun production, kemudian buka service s3, buka salah satu menu, seharusnya tidak ada permision, karena kita sudah menggunakan explicit deny pada s3

  

 Terima kasih.


Referensi:

AWS Certified SysOps Administrator - Associate

 

Share:

0 comments:

Post a Comment