Service Control Policies pada AWS Organizations

Overview

Pada tulisan kali ini kita akan membuat control policies dengan membuat organizational unit production dan development.

Jika sebelumnya kita sudah membuat organization, kali ini kita akan membuat policy yang bisa diterapkan kedalam akun. Lebih detail mengenai Service Control Policies bisa dilihat disini

Kebutuhan:

  • Akun AWS

  • AWS organizations, disini

Langkah-langkah:

  1. Masuk ke akun general, search organization

  2. Centang root, kemudian klik action, create new

  3. Organizational unit name, PROD, create organization unit

  4. Centang root, kemudian klik action, create new

  5. Organizational unit name, DEV, create organization unit

  6. Pindahkan production akun ke PROD OU, centang production akun, action, move

  7. Centang PROD, move aws account

  8. Akun production akan berpindah ke dalam folder PROD

  9. Pindahkan development akun ke DEV OU, centang production akun, action, move

  10. Centang DEV, move aws account

  11. Perhatikan hirarki dari folder DEV

  12. Switch role ke akun production

  13. Kemudian buat S3 bucket dan upload file, kemudian akses file.

  14. Perhatikan iam roles yang terdapat pada OrganizationAccountAccessRole, disana terdapat AdministratorAccess sehingga kita dapat membuat s3 bucket.

  15. Buat policies dengan, switch kembali ke akun general

  16. Pilih organizations, pilih menu policies, klik service control policies, enable service control policies

  17. Klik fullAWSAccess, perhatikan polies yang ada

  18. Buat policies baru, yang bertujuan untuk organization tidak bisa menggunakan resource s3, dengan cara create policy

    • Policy name, allow all except s3, isi description

    • Replace policy yang ada seperti dibawah ini, kemudian create policy

        {
            "Version": "2012-10-17",
            "Statement": [
                {
                    "Effect": "Allow",
                    "Action": "*",
                    "Resource": "*"
                },
                {
                    "Effect": "Deny",
                    "Action": "s3:*",
                    "Resource": "*"
                }
            ]
        }
      
  19. Pada menu aws account, pilih folder PROD OU, tab policies klik atttach, pilih policy allow all except s3, attach policy

  20. Perhatikan list policies, policy allow all except s3 sudah terpasang

  21. Detach fullAWSAccess policies yang source directly

  22. Switch ke akun production, kemudian buka service s3, buka salah satu menu, seharusnya tidak ada permision, karena kita sudah menggunakan explicit deny pada s3

Terima kasih.

Referensi: