Políticas de control de servicios - AWS Organizations

Políticas de control de servicios

Para obtener información y procedimientos comunes a todos los tipos de políticas, consulte los siguientes temas:

Políticas de control de servicios (SCP)

Las políticas de control de servicios (SCP) son un tipo de política de organización que puede utilizar para administrar permisos en su organización. Las políticas de control de servicios (SCP) ofrecen un control central sobre los máximos permisos disponibles para todas las cuentas de su organización. Las políticas de control de servicios le ayudan a garantizar que sus cuentas se mantengan dentro de las directrices de control de acceso de su organización. Las SCP solo están disponibles en las organizaciones que tienen todas las características habilitadas. Las SCP no están disponibles si su organización ha habilitado únicamente las características de facturación unificada. Para obtener instrucciones sobre cómo habilitar SCP, consulte Habilitar y deshabilitar tipos de política.

Las SCP por sí solas no son suficientes para conceder permisos a las cuentas de la organización. Una SCP no concede permisos. Una SCP define una barandilla, o establece límites, en las acciones que el administrador de la cuenta puede delegar a los usuarios de IAM y roles en las cuentas afectadas. El administrador aún debe adjuntar Políticas basadas en identidad o políticas basadas en recursos a los usuarios o roles de IAM, o a los recursos de sus cuentas para conceder permisos realmente. Los permisos efectivos son la intersección lógica entre lo que permite la SCP y lo que permite la IAM y las políticas basadas en recursos.

importante

Las SCP no afectan a los usuarios ni a los roles de la cuenta de administración. Afectan solo a las cuentas miembro de su organización.

Comprobación de los efectos de las políticas SCP

AWS recomienda encarecidamente no adjuntar SCP al nodo raíz de la organización sin haber comprobado exhaustivamente el impacto que tendrá la política en las cuentas. En lugar de ello, cree una unidad organizativa en la que pueda mover sus cuentas de una en una, o al menos en incrementos pequeños, a fin de garantizar que no bloquee inadvertidamente a los usuarios de servicios clave. Una forma de determinar si una cuenta utilizará un servicio es examinar los datos a los que tuvo acceso el servicio por última vez en IAM. Otra forma es utilizar AWS CloudTrail para registrar el uso del servicio en el nivel de API.

Tamaño máximo de las políticas SCP

Todos los caracteres de la SCP se contabilizan para calcular su tamaño máximo. Los ejemplos que aparecen en esta guía muestran los SCP formateados con espacios en blanco adicionales para mejorar su legibilidad. Sin embargo, para ahorrar espacio si el tamaño de la política se aproxima al tamaño máximo, puede eliminar todos los espacios en blanco, como espacios y saltos de línea, que estén fuera de las comillas.

sugerencia

Utilice el editor visual para crear la SCP. Este elimina automáticamente el espacio en blanco adicional.

Herencia de SCP en la jerarquía OU

Para obtener una explicación detallada de cómo funciona la herencia SCP, consulte Herencia para políticas de control de servicios

Efectos en los permisos

Las SCP son similares a las políticas de permisos de AWS Identity and Access Management (IAM) y utilizan prácticamente la misma sintaxis. Sin embargo, una SCP nunca concede permisos. En su lugar, las SCP son políticas JSON que especifican los permisos máximos para las cuentas afectadas. Para obtener más información, consulte Lógica de evaluación de políticas en la Guía del usuario IAM.

  • Las SCP solo afectan a los usuarios y roles IAM administrados por cuentas que forman parte de la organización. Las SCP no afectan directamente a las políticas basadas en recursos. Tampoco afectan a los usuarios ni a los roles de cuentas que no pertenecen a la organización. Por ejemplo, tomemos el caso de un bucket de Amazon S3 que es propiedad de la cuenta A de una organización. La política de bucket (basada en recursos) concede acceso a los usuarios de la cuenta B que no pertenecen a la organización. La cuenta A tiene asociada una SCP. Esa SCP no se aplica a los usuarios externos de la cuenta B. La SCP solo se aplica a los usuarios que administra la cuenta A de la organización.

  • Una SCP limita los permisos para los usuarios y roles de IAM en las cuentas miembro, incluido el usuario raíz de la cuenta de miembro. Cada cuenta tiene únicamente los permisos concedidos por cada elemento principal situado por encima de ella. Si se bloquea un permiso en cualquier nivel por encima de la cuenta, ya sea implícitamente (sin incluirlo en una instrucción de política "Allow") o explícitamente (incluyéndolo en una instrucción de política "Deny"), el usuario o función de la cuenta afectada no puede usar ese permiso, aunque el administrador de la cuenta asocie la política de IAM AdministratorAccess con los permisos */* al usuario.

  • Las SCP afectan solo a las cuentas miembro de su organización. No tienen ningún efecto en los usuarios ni en los roles de la cuenta de administración.

  • A los usuarios y roles se les deben seguir concediendo permisos con las políticas de permisos de IAM adecuadas. Un usuario sin políticas de permisos de IAM no tendrá ningún tipo de acceso, aunque las políticas de control de servicios correspondientes permitan todos los servicios y todas las acciones.

  • Si un usuario o rol tiene una política de permisos de IAM que le concede acceso a una acción que también está permitida por las SCP correspondientes, el usuario o rol puede realizar dicha acción.

  • Si un usuario o rol tiene una política de permisos de IAM que le concede acceso a una acción que no está permitida o ha sido explícitamente denegada por las SCP correspondientes, el usuario o rol no puede realizar dicha acción.

  • Las SCP afectan a todos los usuarios y roles en las cuentas adjuntas, incluyendo el usuario raíz. Las únicas excepciones son las descritas en Tareas y entidades no restringidas por SCP.

  • Las SCP no afectan a cualquier rol vinculado al servicio. Las funciones vinculadas a servicios permiten que otros servicios de AWS se integren con AWS Organizations y no se pueden restringir con SCP.

  • Cuando se deshabilita el tipo de política SCP en un nodo raíz, todas las políticas SCP se desasocian automáticamente de todas las entidades de AWS Organizations de ese nodo raíz. Las entidades de AWS Organizations incluyen unidades organizativas, organizaciones y cuentas. Si vuelve a habilitar las políticas SCP en un nodo raíz, ese nodo se revierte a solo la política FullAWSAccess predeterminada asociada automáticamente a todas las entidades del nodo raíz. Se perderán todas las asociaciones de políticas SCP a las entidades de AWS Organizations realizadas antes de que se deshabilitaran las SCP y no podrán recuperarse automáticamente aunque las vuelva a asociar manualmente.

  • Si existen tanto un límite de permisos (característica avanzada de IAM) como una SCP, entonces ese límite, la SCP y la política basada en identidad deberán permitir la acción.

Uso de datos de acceso para mejorar las políticas SCP

Cuando inicia sesión con las credenciales de la cuenta de administración, puede consultar los datos del último acceso al servicio de una entidad de AWS Organizations o una política en la sección AWS Organizations de la consola de IAM. También puede utilizar la AWS Command Line Interface (AWS CLI) o la API de AWS en IAM para obtener datos del último acceso al servicio. Estos datos incluyen información sobre la última vez que los usuarios y roles IAM de una cuenta de AWS Organizations intentaron obtener acceso a los servicios permitidos y cuándo. Puede utilizar esta información para identificar permisos no utilizado, de modo que pueda perfeccionar sus políticas de control de servicios para que cumplan mejor el principio de privilegios mínimos.

Por ejemplo, es posible que tenga una SCP de lista de denegación que prohíba el acceso a tres servicios de AWS. Todos los servicios que no figuren en la instrucción Deny de la SCP se permiten. Los datos de último acceso a los servicios de IAM le indican qué servicios de AWS están permitidos por la SCP pero no se utilizan nunca. Con esa información, puede actualizar la SCP para denegar el acceso a los servicios que no necesite.

Para obtener más información, consulte los siguientes temas de la guía del usuario de IAM:

Tareas y entidades no restringidas por SCP

Usted no puede utilizar SCP para restringir las siguientes tareas:

  • Cualquier acción realizada por la cuenta de administración

  • Cualquier acción realizada mediante permisos que adjuntos a un rol vinculado al servicio

  • Registrarse en el plan Enterprise Support como usuario raíz

  • Cambiar el nivel de soporte de AWS como usuario raíz

  • Administrar las claves de Amazon CloudFront como usuario raíz

  • Proporcionar funcionalidad de firmante de confianza para contenido privado de CloudFront

  • Configurar DNS inverso para un servidor de correo electrónico de Amazon LightSail como usuario raíz

  • Tareas en algunos servicios relacionados con AWS:

    • Alexa Top Sites

    • Alexa Web Information Service

    • Amazon Mechanical Turk

    • API de marketing de productos de Amazon

Excepciones para cuentas de miembro creadas antes del 15 de septiembre de 2017

Para algunas cuentas creadas antes del 15 de septiembre de 2017, usted no puede utilizar las SCP para evitar que el usuario raíz de esas cuentas miembro realice las siguientes tareas:

importante

Para todas las cuentas creadas después del 15 de septiembre de 2017, las siguientes excepciones no se aplican y usted puede utilizar las SCP para evitar que el usuario raíz de esas cuentas miembro realice las siguientes tareas: Sin embargo, a menos que esté seguro de que todas las cuentas de su organización se crearon después del 15 de septiembre de 2017, le recomendamos que no utilice las políticas SCP para intentar restringir estas operaciones:

  • Activar o desactivar la autenticación multifactor en el usuario raíz

  • Crear, actualizar o eliminar las claves x.509 del usuario raíz

  • Cambiar la contraseña del usuario raíz

  • Crear, actualizar o eliminar claves de acceso raíz