サービスコントロールポリシーの作成と使用に関連するプロセスは次のとおりです。

1. AWSアドミンは、CFT スクリプトのリソースのリストを使用して、管理アカウントでサービスコントロールポリシー (SCP) を設定します。アドミニストレーターは、リソースタイプを追加することで、このリストをカスタマイズできます。
2. AWSアドミニストレーターは SCP ID をServiceNowアドミンと共有します。アドミンは、クラウドアカウント管理構成プロセス中に登録に使用します。
3. クラウドアカウント管理 アプリは一時停止要求を送信し、AWS Organizations Attach Policy API への API 呼び出しをトリガーします。この API は、SCP を適用して、ユーザーがそのアカウントでリソースを作成するのをブロックします。

次のコンテンツをファイルにコピーし、ファイルを CloudFormation テンプレート (*.cft 拡張子) として保存します。

AWSTemplateFormatVersion: 2010-09-09
Description: SCP policy for ServiceNow Cloud Workspace to restrict creation of new resources. 
Resources:
  PolicyTestTemplate:
    Type: AWS::Organizations::Policy
    Properties:
      Type: SERVICE_CONTROL_POLICY
      Name: CAM_SCP_SuspendAccount_Policy
      Content:
        Version: 2012-10-17
        Statement:
          - Sid: CAMSCPSuspendAccountPolicy
            Effect: Deny
            Action:
              - 'ec2:RunInstances'
              - 'ec2:CreateVolume'
              - 'ec2:CreateSnapshot'
              - 'ec2:CreateImage'
              - 's3:CreateBucket'
              - 'iam:CreateUser'
              - 'iam:CreateRole'
              - 'iam:CreatePolicy'
              - 'dynamodb:CreateTable'
              - 'sqs:CreateQueue'
              - 'sns:CreateTopic'
              - 'lambda:CreateFunction'
              - 'ec2:CreateVpc'
              - 'ec2:CreateSubnet'
              - 'ec2:CreateInternetGateway'
              - 'ec2:CreateRoute'
              - 'rds:CreateDBInstance'
              - 'redshift:CreateCluster'
            Resource: '*'