Políticas de control de servicios (SCP)

Las políticas de control de servicios (SCP) son un tipo de política de organización que puede utilizar para administrar permisos en su organización. Los SCP ofrecen un control central sobre los permisos máximos disponibles para los usuarios de IAM y las funciones de IAM en su organización. Las políticas de control de servicios le ayudan a garantizar que sus cuentas se mantengan dentro de las directrices de control de acceso de su organización. Las SCP solo están disponibles en las organizaciones que tienen todas las características habilitadas. Las SCP no están disponibles si su organización ha habilitado únicamente las características de facturación unificada. Para obtener instrucciones sobre cómo habilitar SCP, consulte Habilitar y deshabilitar tipos de política.

Los SCP no conceden permisos a los usuarios ni a las funciones de IAM en su organización. Una SCP no concede permisos. Un SCP define una barrera de permisos, o establece límites, a las acciones que los usuarios de IAM y las funciones de IAM de su organización pueden realizar. Para conceder los permisos, el administrador debe adjuntar políticas para controlar el acceso, como las políticas basadas en la identidad que se asocian a los usuarios y las funciones de IAM, y las políticas basadas en los recursos que se asocian a los recursos de sus cuentas. Los permisos efectivos son la intersección lógica entre lo que permite el SCP y lo que permiten las políticas basadas en la identidad y los recursos.

importante

Las SCP no afectan a los usuarios ni a los roles de la cuenta de administración. Afectan solo a las cuentas miembro de su organización.

Temas

• Comprobación de los efectos de las políticas SCP
• Tamaño máximo de las políticas SCP
• Adjuntar las SCP a diferentes niveles de la organización
• Efectos de las SCP en los permisos
• Uso de datos de acceso para mejorar las políticas SCP
• Tareas y entidades no restringidas por SCP
• Creación, actualización y eliminación de políticas de control de servicios
• Asociar y desasociar políticas de control de servicios
• Evaluación de SCP
• Sintaxis de SCP
• Ejemplos de políticas de control de servicios

Comprobación de los efectos de las políticas SCP

AWS recomienda encarecidamente que no asocie los SCP a la raíz de su organización sin comprobar exhaustivamente el impacto que la política tiene en las cuentas. En lugar de ello, cree una unidad organizativa en la que pueda mover sus cuentas de una en una, o al menos en incrementos pequeños, a fin de garantizar que no bloquee inadvertidamente a los usuarios de servicios clave. Una forma de determinar si una cuenta utilizará un servicio es examinar los datos a los que tuvo acceso el servicio por última vez en IAM. Otra forma consiste en registrar el uso del servicio AWS CloudTrail a nivel de la API.

nota

No debes eliminar la AWSAccess política completa a menos que la modifiques o la sustituyas por una política independiente con acciones permitidas; de lo contrario, todas AWS las acciones de las cuentas de los miembros fallarán.

Tamaño máximo de las políticas SCP

Todos los caracteres de la SCP se contabilizan para calcular su tamaño máximo. Los ejemplos que aparecen en esta guía muestran los SCP formateados con espacios en blanco adicionales para mejorar su legibilidad. Sin embargo, para ahorrar espacio si el tamaño de la política se aproxima al tamaño máximo, puede eliminar todos los espacios en blanco, como espacios y saltos de línea, que estén fuera de las comillas.

sugerencia

Utilice el editor visual para crear la SCP. Este elimina automáticamente el espacio en blanco adicional.

Adjuntar las SCP a diferentes niveles de la organización

Para obtener una explicación detallada de cómo funcionan las SCP, consulte Evaluación de SCP

Efectos de las SCP en los permisos

Los SCP son similares a las políticas de permisos AWS Identity and Access Management (IAM) y utilizan prácticamente la misma sintaxis. Sin embargo, una SCP nunca concede permisos. En cambio, los SCP son políticas de JSON que especifican los permisos máximos para los usuarios de IAM y las funciones de IAM en su organización. Para obtener más información, consulte Lógica de evaluación de políticas en la Guía del usuario IAM.

• Las SCP solo afectan a los usuarios y roles IAM administrados por cuentas que forman parte de la organización. Las SCP no afectan directamente a las políticas basadas en recursos. Tampoco afectan a los usuarios ni a los roles de cuentas que no pertenecen a la organización. Por ejemplo, tomemos el caso de un bucket de Amazon S3 que es propiedad de la cuenta A de una organización. La política de bucket (basada en recursos) concede acceso a los usuarios de la cuenta B que no pertenecen a la organización. La cuenta A tiene asociada una SCP. Esa SCP no se aplica a los usuarios externos de la cuenta B. La SCP solo se aplica a los usuarios que administra la cuenta A de la organización.

• Una SCP limita los permisos para los usuarios y roles de IAM en las cuentas miembro, incluido el usuario raíz de la cuenta de miembro. Cada cuenta tiene únicamente los permisos concedidos por cada elemento principal situado por encima de ella. Si se bloquea un permiso en cualquier nivel por encima de la cuenta, ya sea implícitamente (sin incluirlo en una instrucción de política "Allow") o explícitamente (incluyéndolo en una instrucción de política "Deny"), el usuario o función de la cuenta afectada no puede usar ese permiso, aunque el administrador de la cuenta asocie la política de IAM AdministratorAccess con los permisos */* al usuario.

• Las SCP afectan solo a las cuentas miembro de su organización. No tienen ningún efecto en los usuarios ni en los roles de la cuenta de administración.

• A los usuarios y roles se les deben seguir concediendo permisos con las políticas de permisos de IAM adecuadas. Un usuario sin políticas de permisos de IAM no tendrá ningún tipo de acceso, aunque las políticas de control de servicios correspondientes permitan todos los servicios y todas las acciones.

• Si un usuario o rol tiene una política de permisos de IAM que le concede acceso a una acción que también está permitida por las SCP correspondientes, el usuario o rol puede realizar dicha acción.

• Si un usuario o rol tiene una política de permisos de IAM que le concede acceso a una acción que no está permitida o ha sido explícitamente denegada por las SCP correspondientes, el usuario o rol no puede realizar dicha acción.

• Las SCP afectan a todos los usuarios y roles en las cuentas adjuntas, incluyendo el usuario raíz. Las únicas excepciones son las descritas en Tareas y entidades no restringidas por SCP.

• Las SCP no afectan a cualquier rol vinculado al servicio. Los roles vinculados a los servicios permiten que otros AWS servicios se integren con los SCP AWS Organizations y no pueden restringirlos.

• Al deshabilitar el tipo de política SCP en una raíz, todos los SCP se separan automáticamente de todas las entidades de esa raíz. AWS Organizations AWS Organizations las entidades incluyen unidades organizativas, organizaciones y cuentas. Si vuelve a habilitar las políticas SCP en un nodo raíz, ese nodo se revierte a solo la política FullAWSAccess predeterminada asociada automáticamente a todas las entidades del nodo raíz. Se perderán todas las asociaciones de políticas SCP a las entidades de AWS Organizations realizadas antes de que se deshabilitaran las SCP y no podrán recuperarse automáticamente aunque las vuelva a asociar manualmente.

• Si existen tanto un límite de permisos (característica avanzada de IAM) como una SCP, entonces ese límite, la SCP y la política basada en identidad deberán permitir la acción.

Uso de datos de acceso para mejorar las políticas SCP

Al iniciar sesión con las credenciales de la cuenta de administración, puede ver los datos del servicio al que se accedió por última vez para una AWS Organizations entidad o política en la AWS Organizationssección de la consola de IAM. También puedes usar AWS Command Line Interface (AWS CLI) o la AWS API de IAM para recuperar los datos del servicio a los que se accedió por última vez. Estos datos incluyen información sobre los servicios permitidos a los que los usuarios y roles de IAM de una AWS Organizations cuenta intentaron acceder por última vez y cuándo. Puede utilizar esta información para identificar permisos no utilizado, de modo que pueda perfeccionar sus políticas de control de servicios para que cumplan mejor el principio de privilegios mínimos.

Por ejemplo, es posible que tenga un SCP de lista de denegación que prohíba el acceso a tres AWS servicios. Todos los servicios que no figuren en la instrucción Deny de la SCP se permiten. Los datos del servicio al que se accedió por última vez en IAM indican qué AWS servicios están permitidos por el SCP pero que nunca se utilizan. Con esa información, puede actualizar la SCP para denegar el acceso a los servicios que no necesite.

Para obtener más información, consulte los siguientes temas de la guía del usuario de IAM:

• Visualización de los datos del último acceso al servicio de Organizations

• Uso de datos para ajustar los permisos de una unidad organizativa

Tareas y entidades no restringidas por SCP

Usted no puede utilizar SCP para restringir las siguientes tareas:

• Cualquier acción realizada por la cuenta de administración

• Cualquier acción realizada mediante permisos que adjuntos a un rol vinculado al servicio

• Registrarse en el plan Enterprise Support como usuario raíz

• Cambie el nivel AWS de soporte como usuario root

• Proporcione una funcionalidad de firmante confiable para el contenido CloudFront privado

• Configurar DNS inverso para un servidor de correo electrónico de Amazon Lightsail y una instancia de Amazon EC2 como usuario raíz

• Tareas en algunos servicios AWS relacionados:

  • Alexa Top Sites

  • Alexa Web Information Service

  • Amazon Mechanical Turk

  • API de marketing de productos de Amazon