Overview
Pada tulisan kali ini kita akan membuat control policies dengan membuat organizational unit production dan development.
Jika sebelumnya kita sudah membuat organization, kali ini kita akan membuat policy yang bisa diterapkan kedalam akun. Lebih detail mengenai Service Control Policies bisa dilihat disini
Kebutuhan:
Akun AWS
AWS organizations, disini
Langkah-langkah:
Masuk ke akun general, search organization
Centang root, kemudian klik action, create new
Organizational unit name, PROD, create organization unit
Centang root, kemudian klik action, create new
Organizational unit name, DEV, create organization unit
Pindahkan production akun ke PROD OU, centang production akun, action, move
Centang PROD, move aws account
Akun production akan berpindah ke dalam folder PROD
Pindahkan development akun ke DEV OU, centang production akun, action, move
Centang DEV, move aws account
Perhatikan hirarki dari folder DEV
Switch role ke akun production
Kemudian buat S3 bucket dan upload file, kemudian akses file.
Perhatikan iam roles yang terdapat pada OrganizationAccountAccessRole, disana terdapat AdministratorAccess sehingga kita dapat membuat s3 bucket.
Buat policies dengan, switch kembali ke akun general
Pilih organizations, pilih menu policies, klik service control policies, enable service control policies
Klik fullAWSAccess, perhatikan polies yang ada
Buat policies baru, yang bertujuan untuk organization tidak bisa menggunakan resource s3, dengan cara create policy
Policy name, allow all except s3, isi description
Replace policy yang ada seperti dibawah ini, kemudian create policy
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "*", "Resource": "*" }, { "Effect": "Deny", "Action": "s3:*", "Resource": "*" } ] }
Pada menu aws account, pilih folder PROD OU, tab policies klik atttach, pilih policy allow all except s3, attach policy
Perhatikan list policies, policy allow all except s3 sudah terpasang
Detach fullAWSAccess policies yang source directly
Switch ke akun production, kemudian buka service s3, buka salah satu menu, seharusnya tidak ada permision, karena kita sudah menggunakan explicit deny pada s3
Terima kasih.
Referensi: