Richtlinien zur Dienstkontrolle (SCPs) - AWS Organizations

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Richtlinien zur Dienstkontrolle (SCPs)

Dienststeuerungsrichtlinien (SCPs) sind eine Art von Organisationsrichtlinie, mit der Sie Berechtigungen in Ihrer Organisation verwalten können. SCPsbieten eine zentrale Kontrolle über die maximal verfügbaren Berechtigungen für die IAM Benutzer und IAM Rollen in Ihrer Organisation. SCPshelfen Ihnen dabei, sicherzustellen, dass Ihre Konten die Richtlinien Ihrer Organisation zur Zugriffskontrolle einhalten. SCPssind nur in einer Organisation verfügbar, in der alle Funktionen aktiviert sind. SCPssind nicht verfügbar, wenn Ihre Organisation nur die Funktionen für die konsolidierte Fakturierung aktiviert hat. Anweisungen zur Aktivierung finden SCPs Sie unterAktivieren eines Richtlinientyps.

SCPsErteilen Sie den IAM Benutzern und IAM Rollen in Ihrer Organisation keine Berechtigungen. Es werden keine Berechtigungen von einem erteiltSCP. An SCP definiert eine Berechtigungsschranke oder legt Beschränkungen für die Aktionen fest, die IAM Benutzer und IAM Rollen in Ihrer Organisation ausführen können. Um Berechtigungen zu gewähren, muss der Administrator Richtlinien zur Zugriffskontrolle anhängen, z. B. identitätsbasierte Richtlinien, die IAM Benutzern und IAM Rollen zugewiesen sind, und ressourcenbasierte Richtlinien, die den Ressourcen in Ihren Konten zugeordnet sind. Die effektiven Berechtigungen stellen die logische Schnittstelle zwischen dem, was nach den identitäts- und ressourcenbasierten Richtlinien zulässig ist, und dem, was durch die identitäts SCP - und ressourcenbasierten Richtlinien zulässig ist, dar.

Wichtig

SCPswirken sich nicht auf Benutzer oder Rollen im Verwaltungskonto aus. Sie wirken sich nur auf die Mitgliedskonten Ihrer Organisation aus.

Auswirkungen testen von SCPs

AWS empfiehlt dringend, keine Verbindungen SCPs zum Stammverzeichnis Ihrer Organisation herzustellen, ohne die Auswirkungen der Richtlinie auf Konten gründlich zu testen. Erstellen Sie stattdessen eine Organisationseinheit, in die Sie Ihre Konten einzeln oder in geringer Anzahl verschieben können. So stellen Sie sicher, dass kein Benutzer versehentlich von wichtigen Services ausgesperrt wird. Eine Möglichkeit, festzustellen, ob ein Dienst von einem Konto genutzt wird, besteht darin, die Daten des Dienstes zu untersuchen, auf den zuletzt zugegriffen wurde IAM. Eine andere Möglichkeit besteht darin, AWS CloudTrail um die Nutzung des Dienstes auf der API Ebene zu protokollieren.

Anmerkung

Sie sollten die ullAWSAccessF-Richtlinie nicht entfernen, es sei denn, Sie ändern sie oder ersetzen sie durch eine separate Richtlinie mit zulässigen Aktionen, andernfalls alle AWS Aktionen von Mitgliedskonten schlagen fehl.

Maximale Größe von SCPs

Alle Zeichen in Ihrem System werden gegen die maximale Größe SCP gezählt. Die Beispiele in dieser Anleitung zeigen die SCPs Formatierung mit zusätzlichem Leerraum, um die Lesbarkeit zu verbessern. Um Platz zu sparen, wenn sich die Größe Ihrer Richtlinie der Maximalgröße nähert, können Sie aber alle Leerraumzeichen, wie z. B. Leerzeichen und Zeilenumbrüche, außerhalb von Anführungszeichen löschen.

Tipp

Verwenden Sie den visuellen Editor, um Ihre zu erstellen. SCP Hier werden zusätzliche Leerzeichen automatisch entfernt.

Anbindung SCPs an verschiedene Ebenen in der Organisation

Eine ausführliche Erläuterung der SCPs Funktionsweise finden Sie unterSCPBewertung.

SCPAuswirkungen auf Genehmigungen

SCPssind ähnlich wie AWS Identity and Access Management (IAM) Berechtigungsrichtlinien und verwenden fast dieselbe Syntax. Ein und gewährt jedoch SCP niemals Berechtigungen. Stattdessen SCPs gibt es JSON Richtlinien, die die maximalen Berechtigungen für die IAM Benutzer und IAM Rollen in Ihrer Organisation festlegen. Weitere Informationen finden Sie unter Logik zur Bewertung von Richtlinien im IAMBenutzerhandbuch.

  • SCPsbetrifft nur IAM Benutzer und Rollen, die von Konten verwaltet werden, die Teil der Organisation sind. SCPswirken sich nicht direkt auf ressourcenbasierte Richtlinien aus. Sie haben auch keine Auswirkungen auf Benutzer oder Rollen von Konten außerhalb der Organisation. Nehmen wir als Beispiel einen Amazon-S3-Bucket, der Konto A in einer Organisation gehört. Die Bucket-Richtlinie (eine ressourcenbasierte Richtlinie) gewährt Zugriff auf Benutzer von Konto B außerhalb der Organisation. Konto A ist angehängt. SCP Dies gilt SCP nicht für externe Benutzer in Konto B. SCP Dies gilt nur für Benutzer, die von Konto A in der Organisation verwaltet werden.

  • An SCP schränkt die Berechtigungen für IAM Benutzer und Rollen in Mitgliedskonten ein, einschließlich des Root-Benutzers des Mitgliedskontos. Jedes Konto weist nur die Berechtigungen auf, die ihm durch jedes einzelne übergeordnete Element gewährt wird. Wenn eine Berechtigung auf einer Ebene über dem Konto blockiert wird, entweder implizit (weil sie nicht in einer Allow Richtlinienerklärung enthalten ist) oder explizit (weil sie in einer Deny Richtlinienerklärung enthalten ist), kann ein Benutzer oder eine Rolle in dem betroffenen Konto diese Berechtigung nicht verwenden, selbst wenn der Kontoadministrator die AdministratorAccess IAM Richtlinie mit */*-Berechtigungen für den Benutzer verknüpft.

  • SCPswirken sich nur auf Mitgliedskonten in der Organisation aus. Sie haben keine Auswirkungen auf Benutzer oder Rollen im Verwaltungskonto.

  • Benutzern und Rollen müssen weiterhin Berechtigungen mit entsprechenden IAM Berechtigungsrichtlinien erteilt werden. Ein Benutzer ohne IAM Berechtigungsrichtlinien hat keinen Zugriff, auch wenn die geltenden Richtlinien alle Dienste und alle Aktionen SCPs zulassen.

  • Wenn ein Benutzer oder eine Rolle über eine IAM Berechtigungsrichtlinie verfügt, die Zugriff auf eine Aktion gewährt, die auch von der entsprechenden Person zugelassen istSCPs, kann der Benutzer oder die Rolle diese Aktion ausführen.

  • Wenn ein Benutzer oder eine Rolle über eine IAM Berechtigungsrichtlinie verfügt, die Zugriff auf eine Aktion gewährt, die von der entsprechenden Person entweder nicht zugelassen oder ausdrücklich verweigert wurdeSCPs, kann der Benutzer oder die Rolle diese Aktion nicht ausführen.

  • SCPswirkt sich auf alle Benutzer und Rollen in angehängten Konten aus, einschließlich des Root-Benutzers. Die einzigen Ausnahmen sind die unter Aufgaben und Entitäten, die nicht eingeschränkt sind durch SCPs beschriebenen.

  • SCPswirken sich nicht auf dienstbezogene Rollen aus. Mit Diensten verknüpfte Rollen ermöglichen andere AWS-Services zu integrieren mit AWS Organizations und kann nicht eingeschränkt werden durchSCPs.

  • Wenn Sie den SCP Richtlinientyp in einem Stammverzeichnis deaktivieren, SCPs werden alle automatisch von allen getrennt AWS Organizations Entitäten in diesem Stamm. AWS Organizations Entitäten umfassen Organisationseinheiten, Organisationen und Konten. Wenn Sie die Aktivierung SCPs in einem Stammverzeichnis erneut aktivieren, wird für dieses Stammverzeichnis nur die FullAWSAccess Standardrichtlinie verwendet, die automatisch allen Entitäten im Stammverzeichnis zugewiesen wird. Alle Anlagen von SCPs AWS Organizations Entitäten, die zuvor deaktiviert SCPs wurden, gehen verloren und können nicht automatisch wiederhergestellt werden. Sie können sie jedoch manuell erneut anhängen.

  • Wenn sowohl eine Berechtigungsgrenze (eine erweiterte IAM Funktion) als auch eine vorhanden SCP sind, müssen die Grenze, die und die SCP identitätsbasierte Richtlinie alle die Aktion zulassen.

Nutzung von Zugangsdaten zur Verbesserung SCPs

Wenn Sie mit den Anmeldeinformationen für das Verwaltungskonto angemeldet sind, können Sie die Daten des Dienstes, auf den zuletzt zugegriffen wurde, für einen anzeigen AWS Organizations Entität oder Richtlinie in der AWS OrganizationsAbschnitt der IAM Konsole. Sie können auch das verwenden AWS Command Line Interface (AWS CLI) oder AWS APIeinloggenIAM, um die Daten des Dienstes abzurufen, auf den zuletzt zugegriffen wurde. Diese Daten enthalten Informationen darüber, welche Dienste die IAM Benutzer und Rollen in einem AWS Organizations Das Konto hat zuletzt versucht, auf dieses Konto zuzugreifen, und wann. Sie können diese Informationen verwenden, um ungenutzte Berechtigungen zu identifizieren, sodass Sie Ihre Berechtigungen verfeinern könnenSCPs, um dem Prinzip der geringsten Rechte besser gerecht zu werden.

Beispielsweise könnten Sie über eine Sperrliste verfügenSCP, die den Zugriff auf drei verbietet AWS-Services. Alle Dienste, die nicht in der SCP Deny Erklärung aufgeführt sind, sind erlaubt. Der Dienst, auf den zuletzt zugegriffen hat, IAM sagt Ihnen, in welchen AWS-Services sind von der erlaubtSCP, werden aber nie verwendet. Mit diesen Informationen können Sie die aktualisieren, SCP um den Zugriff auf Dienste zu verweigern, die Sie nicht benötigen.

Weitere Informationen finden Sie in den folgenden Themen im IAMBenutzerhandbuch:

Aufgaben und Entitäten, die nicht eingeschränkt sind durch SCPs

Sie können die folgenden Aufgaben nicht verwendenSCPs, um sie einzuschränken:

  • Jede Aktion, die vom Verwaltungskonto ausgeführt wird

  • Jede Aktion, die unter Verwendung von Berechtigungen ausgeführt wird, die mit einer servicegebundenen Rolle verknüpft sind

  • Registrieren für den Enterprise Support-Plan als Root-Benutzer

  • Ändern Sie die AWS Unterstützungsebene als Root-Benutzer

  • Stellen Sie vertrauenswürdige Unterzeichnerfunktionen für CloudFront private Inhalte bereit

  • Reverse DNS für einen Amazon Lightsail-E-Mail-Server und eine EC2 Amazon-Instance als Root-Benutzer konfigurieren

  • Aufgaben bei einigen AWS verwandte Dienstleistungen:

    • Alexa Top Sites

    • Alexa Web Information Service

    • Amazon Mechanical Turk

    • Amazon-Produktmarketing API