Políticas de control de servicios (SCP) - AWS Organizations

Políticas de control de servicios (SCP)

Las políticas de control de servicios (SCP) son un tipo de política de organización que puede utilizar para administrar permisos en su organización. Las políticas de control de servicios (SCP) permiten un control centralizado de los máximos permisos disponibles para los usuarios de IAM y roles de IAM de su organización. Las políticas de control de servicios le ayudan a garantizar que sus cuentas se mantengan dentro de las directrices de control de acceso de su organización. Las SCP solo están disponibles en las organizaciones que tienen todas las características habilitadas. Las SCP no están disponibles si su organización ha habilitado únicamente las características de facturación unificada. Para obtener instrucciones sobre cómo habilitar SCP, consulte Habilitar un tipo de política.

Las SCP no conceden permisos a los usuarios de IAM ni roles de IAM de la organización. Una SCP no concede permisos. Una SCP define una barrera de protección de permisos o establece límites a las acciones que pueden llevar a cabo los usuarios de IAM y roles de IAM en la organización. Para conceder los permisos, el administrador debe vincular políticas para controlar el acceso, como las políticas basadas en la identidad que están vinculadas a los usuarios de IAM y roles de IAM y las políticas basadas en los recursos que se asocian a los recursos de sus cuentas. Los permisos efectivos son la intersección lógica entre lo que permite la SCP y lo que permiten las políticas basadas en recursos e identidades.

importante

Las SCP no afectan a los usuarios ni a los roles de la cuenta de administración. Afectan solo a las cuentas miembro de su organización.

Comprobación de los efectos de las políticas SCP

AWS recomienda encarecidamente no adjuntar SCP al nodo raíz de la organización sin haber comprobado exhaustivamente el impacto que tendrá la política en las cuentas. En lugar de ello, cree una unidad organizativa en la que pueda mover sus cuentas de una en una, o al menos en incrementos pequeños, a fin de garantizar que no bloquee inadvertidamente a los usuarios de servicios clave. Una forma de determinar si una cuenta utilizará un servicio es examinar los datos a los que tuvo acceso el servicio por última vez en IAM. Otra forma es utilizar AWS CloudTrail para registrar el uso del servicio en el nivel de API.

nota

No debe eliminar la política de FullAWSAccess a menos que la modifique o la sustituya por una independiente con acciones permitidas; de lo contrario, todas las acciones de AWS, las cuentas de los miembros fallarán.

Tamaño máximo de las políticas SCP

Todos los caracteres de la SCP se contabilizan para calcular su tamaño máximo. Los ejemplos que aparecen en esta guía muestran los SCP formateados con espacios en blanco adicionales para mejorar su legibilidad. Sin embargo, para ahorrar espacio si el tamaño de la política se aproxima al tamaño máximo, puede eliminar todos los espacios en blanco, como espacios y saltos de línea, que estén fuera de las comillas.

sugerencia

Utilice el editor visual para crear la SCP. Este elimina automáticamente el espacio en blanco adicional.

Adjuntar las SCP a diferentes niveles de la organización

Para obtener una explicación detallada de cómo funcionan las SCP, consulte Evaluación de SCP

Efectos de las SCP en los permisos

Las SCP son similares a las políticas de permisos de AWS Identity and Access Management (IAM) y utilizan prácticamente la misma sintaxis. Sin embargo, una SCP nunca concede permisos. En su lugar, las SCP son políticas JSON que especifican los permisos máximos para los usuarios de IAM y roles de IAM en la organización. Para obtener más información, consulte Lógica de evaluación de políticas en la Guía del usuario IAM.

  • Las SCP solo afectan a los usuarios y roles IAM administrados por cuentas que forman parte de la organización. Las SCP no afectan directamente a las políticas basadas en recursos. Tampoco afectan a los usuarios ni a los roles de cuentas que no pertenecen a la organización. Por ejemplo, tomemos el caso de un bucket de Amazon S3 que es propiedad de la cuenta A de una organización. La política de bucket (basada en recursos) concede acceso a los usuarios de la cuenta B que no pertenecen a la organización. La cuenta A tiene asociada una SCP. Esa SCP no se aplica a los usuarios externos de la cuenta B. La SCP solo se aplica a los usuarios que administra la cuenta A de la organización.

  • Una SCP limita los permisos para los usuarios y roles de IAM en las cuentas miembro, incluido el usuario raíz de la cuenta de miembro. Cada cuenta tiene únicamente los permisos concedidos por cada elemento principal situado por encima de ella. Si se bloquea un permiso en cualquier nivel por encima de la cuenta, ya sea implícitamente (sin incluirlo en una instrucción de política "Allow") o explícitamente (incluyéndolo en una instrucción de política "Deny"), el usuario o función de la cuenta afectada no puede usar ese permiso, aunque el administrador de la cuenta asocie la política de IAM AdministratorAccess con los permisos */* al usuario.

  • Las SCP afectan solo a las cuentas miembro de su organización. No tienen ningún efecto en los usuarios ni en los roles de la cuenta de administración.

  • A los usuarios y roles se les deben seguir concediendo permisos con las políticas de permisos de IAM adecuadas. Un usuario sin políticas de permisos de IAM no tendrá ningún tipo de acceso, aunque las políticas de control de servicios correspondientes permitan todos los servicios y todas las acciones.

  • Si un usuario o rol tiene una política de permisos de IAM que le concede acceso a una acción que también está permitida por las SCP correspondientes, el usuario o rol puede realizar dicha acción.

  • Si un usuario o rol tiene una política de permisos de IAM que le concede acceso a una acción que no está permitida o ha sido explícitamente denegada por las SCP correspondientes, el usuario o rol no puede realizar dicha acción.

  • Las SCP afectan a todos los usuarios y roles en las cuentas adjuntas, incluyendo el usuario raíz. Las únicas excepciones son las descritas en Tareas y entidades no restringidas por SCP.

  • Las SCP no afectan a cualquier rol vinculado al servicio. Los roles vinculados a servicios permiten que otros Servicios de AWS se integren con AWS Organizations y no se puedan restringir con SCP.

  • Cuando se deshabilita el tipo de política SCP en un nodo raíz, todas las políticas SCP se desasocian automáticamente de todas las entidades de AWS Organizations de ese nodo raíz. Las entidades de AWS Organizations incluyen unidades organizativas, organizaciones y cuentas. Si vuelve a habilitar las políticas SCP en un nodo raíz, ese nodo se revierte a solo la política FullAWSAccess predeterminada asociada automáticamente a todas las entidades del nodo raíz. Se perderán todas las asociaciones de políticas SCP a las entidades de AWS Organizations realizadas antes de que se deshabilitaran las SCP y no podrán recuperarse automáticamente aunque las vuelva a asociar manualmente.

  • Si existen tanto un límite de permisos (característica avanzada de IAM) como una SCP, entonces ese límite, la SCP y la política basada en identidad deberán permitir la acción.

Uso de datos de acceso para mejorar las políticas SCP

Cuando inicia sesión con las credenciales de la cuenta de administración, puede consultar los datos del último acceso al servicio de una entidad de AWS Organizations o una política en la sección AWS Organizations de la consola de IAM. También puede utilizar la AWS Command Line Interface (AWS CLI) o la API de AWS en IAM para obtener datos del último acceso al servicio. Estos datos incluyen información sobre la última vez que los usuarios y roles IAM de una cuenta de AWS Organizations intentaron obtener acceso a los servicios permitidos y cuándo. Puede utilizar esta información para identificar permisos no utilizado, de modo que pueda perfeccionar sus políticas de control de servicios para que cumplan mejor el principio de privilegios mínimos.

Por ejemplo, es posible que tenga una SCP de lista de denegación que prohíba el acceso a tres Servicios de AWS. Todos los servicios que no figuren en la instrucción Deny de la SCP se permiten. Los datos de último acceso a los servicios de IAM le indican qué Servicios de AWS están permitidos por la SCP, pero no se utilizan nunca. Con esa información, puede actualizar la SCP para denegar el acceso a los servicios que no necesite.

Para obtener más información, consulte los siguientes temas de la guía del usuario de IAM:

Tareas y entidades no restringidas por SCP

Usted no puede utilizar SCP para restringir las siguientes tareas:

  • Cualquier acción realizada por la cuenta de administración

  • Cualquier acción realizada mediante permisos que adjuntos a un rol vinculado al servicio

  • Registrarse en el plan Enterprise Support como usuario raíz

  • Cambiar el nivel de soporte de AWS como usuario raíz

  • Proporcionar funcionalidad de firmante de confianza para contenido privado de CloudFront

  • Configurar DNS inverso para un servidor de correo electrónico de Amazon Lightsail y una instancia de Amazon EC2 como usuario raíz

  • Tareas en algunos servicios relacionados con AWS:

    • Alexa Top Sites

    • Alexa Web Information Service

    • Amazon Mechanical Turk

    • API de marketing de productos de Amazon