Políticas de control de servicios - AWS Organizations

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Políticas de control de servicios

Para obtener información y procedimientos comunes a todos los tipos de políticas, consulte los siguientes temas:

Políticas de control de servicios (SCP)

Las políticas de control de servicios (SCP) son un tipo de política de organización que puede utilizar para administrar permisos en su organización. SCPs le ofrece control central sobre el máximo de permisos disponibles para todas las cuentas de su organización. SCPs le ayuda a garantizar que sus cuentas permanezcan dentro de las directrices de control de acceso de su organización. SCPs solo están disponibles en una organización que tiene todas las características habilitadas. SCPs no están disponibles si su organización ha habilitado únicamente las características de facturación unificada. Para obtener instrucciones sobre cómo habilitar SCPs, consulte Habilitar y deshabilitar tipos de política.

Las SCPs por sí solas no son suficientes para conceder permisos a las cuentas de la organización. No se concede ningún permiso mediante una SCP. Una SCP define una medida de seguridad o establece límites para las acciones que el administrador de la cuenta puede delegar a los usuarios y funciones de IAM de las cuentas afectadas. El administrador debe seguir asociando políticas basadas en identidades o en recursos a usuarios o roles de IAM o a los recursos de las cuentas para conceder permisos. Los permisos efectivos son la intersección lógica entre lo que permite la SCP y lo que permiten las políticas basadas en recursos y IAM.

importante

Los SCPs no afectan a los usuarios ni a los roles de la cuenta de administración. Solo afectan a las cuentas miembro de su organización.

Probar efectos de SCPs.

AWS recomienda encarecidamente que no asocie SCPs a la raíz de su organización sin probar exhaustivamente el impacto que tendrá la política en las cuentas. En lugar de ello, cree una unidad organizativa en la que pueda mover sus cuentas de una en una, o al menos en incrementos pequeños, a fin de garantizar que no bloquee inadvertidamente a los usuarios de servicios clave. Una forma de determinar si una cuenta utilizará un servicio es examinar los datos a los que tuvo acceso el servicio por última vez en IAM. Otra forma es utilizar AWS CloudTrail para registrar el uso del servicio en el nivel de API.

Tamaño máximo deSCPs

Todos los caracteres de la SCP se contabilizan para calcular su tamaño máximo. Los ejemplos de esta guía muestran el SCPs formateado con espacios en blanco adicionales para mejorar su legibilidad. Sin embargo, para ahorrar espacio si el tamaño de la política se aproxima al tamaño máximo, puede eliminar todos los espacios en blanco, como espacios y saltos de línea, que estén fuera de las comillas.

sugerencia

Utilice el editor visual para crear la SCP. Este elimina automáticamente el espacio en blanco adicional.

Herencia de SCPs en la jerarquía de unidades organizativas

Para obtener una explicación detallada de cómo funciona la herencia de SCP, consulte Herencia para políticas de control de servicios

Efectos en los permisos

Los SCPs de AWS Identity and Access Management son similares a las políticas de permisos de IAM () y utilizan prácticamente la misma sintaxis. Sin embargo, una SCP nunca concede permisos. En su lugar, SCPs son políticas JSON que especifican los permisos máximos para las cuentas afectadas. Para obtener más información, consulte Lógica de evaluación de políticas en la Guía del usuario de IAM.

  • SCPs: afecta solo a los usuarios y roles de administrados por cuentas que forman parte de la organización.IAM Los SCPs no afectan directamente a las políticas basadas en recursos. Tampoco afectan a los usuarios ni a los roles de cuentas que no pertenecen a la organización. Por ejemplo, tomemos el caso de un bucket de Amazon S3 que es propiedad de la cuenta A de una organización. La política de bucket (basada en recursos) concede acceso a los usuarios de la cuenta B que no pertenecen a la organización. La cuenta A tiene asociada una SCP. Esa SCP no se aplica a los usuarios externos de la cuenta B. La SCP se aplica únicamente a los usuarios que administra la cuenta A de la organización.

  • Una SCP restringe los permisos de los usuarios y roles de IAM en las cuentas miembro, incluido el usuario raíz de la cuenta miembro. Cada cuenta tiene únicamente los permisos concedidos por cada elemento principal situado por encima de ella. Si se bloquea un permiso en cualquier nivel por encima de la cuenta, ya sea implícitamente (sin incluirlo en una instrucción de política "Allow") o explícitamente (incluyéndolo en una instrucción de política "Deny"), el usuario o función de la cuenta afectada no puede usar ese permiso, aunque el administrador de la cuenta asocie la política de IAM AdministratorAccess con los permisos */* al usuario.

  • SCPs solo afecta a las cuentas de miembro de la organización. No tienen ningún efecto en los usuarios o roles de la cuenta de administración.

  • A los usuarios y las funciones se les deben seguir concediendo permisos con las políticas de permisos de IAM adecuadas. Un usuario sin políticas de permisos de IAM no tendrá ningún tipo de acceso, aunque la política de SCPs aplicable permita todos los servicios y todas las acciones.

  • Si un usuario o rol tiene una política de permisos de IAM que le concede acceso a una acción que también está permitida por la SCPs aplicable, el usuario o rol puede realizar dicha acción.

  • Si un usuario o rol tiene una política de permisos de IAM que le concede acceso a una acción que no está permitida o ha sido explícitamente denegada por la SCPs aplicable, el usuario o rol no puede realizar dicha acción.

  • SCPs afecta a todos los usuarios y roles de las cuentas asociadas, incluido el usuario raíz. Las únicas excepciones son las descritas en Tareas y entidades no restringidas porSCPs.

  • SCPs: no afecta a ningún rol vinculado al servicio. Los roles vinculados a servicios permiten que otros servicios de AWS se integren con AWS Organizations y SCPs no puede restringirlos.

  • Cuando deshabilita el tipo de política SCP en un nodo raíz, todas las SCPs se desasocian automáticamente de todas las entidades de AWS Organizations de ese nodo raíz. Las entidades de AWS Organizations incluyen unidades organizativas, organizaciones y cuentas. Si vuelve a habilitar SCPs en un nodo raíz, ese nodo se revierte a solo la política FullAWSAccess predeterminada asociada automáticamente a todas las entidades del nodo raíz. Se perderán todas las asociaciones de SCPs a entidades de AWS Organizations realizadas antes de que se deshabilitara SCPs y no podrán recuperarse automáticamente aunque las vuelva a asociar manualmente.

  • Si existen tanto un límite de permisos (funcionalidad avanzada de IAM) como una SCP, entonces ese límite, la SCP y la política basada en identidad deberán permitir la acción.

Usar datos de acceso para mejorar SCPs

Cuando inicia sesión con las credenciales de la cuenta de administración (antes denominada "cuenta maestra"), puede ver los datos del último acceso al servicio de una entidad o política de AWS Organizations en la sección AWS Organizations de la consola de .IAM También puede utilizar la AWS Command Line Interface (AWS CLI) o la API de AWS en IAM para obtener datos del último acceso al servicio. Estos datos incluyen información sobre los servicios permitidos a los que los usuarios y roles de IAM de una cuenta de AWS Organizations intentaron obtener acceso por última vez y cuándo. : puede utilizar esta información para identificar permisos no utilizados, de modo que pueda perfeccionar su SCPs para que cumpla mejor el principio de privilegios mínimos.

Por ejemplo, es posible que tenga una SCP de lista de denegación que prohíba el acceso a tres servicios de AWS. Todos los servicios que no figuren en la instrucción Deny de la SCP se permiten. Los datos de último acceso a los servicios de IAM le indican qué servicios de AWS están permitidos por la SCP pero no se utilizan nunca. Con esa información, puede actualizar la SCP para denegar el acceso a los servicios que no necesite.

Para obtener más información, consulte los siguientes temas en la Guía del usuario de IAM:

Tareas y entidades no restringidas porSCPs

No puede utilizar para restringir las siguientes tareas:SCPs

  • Cualquier acción realizada por la cuenta de administración

  • Cualquier acción realizada mediante permisos que se asocian a un rol vinculado a un servicio

  • Registrarse en el plan Enterprise Support como usuario raíz

  • Cambiar el nivel de soporte de AWS como usuario raíz

  • Administrar claves de Amazon CloudFront como usuario raíz

  • Proporcionar funcionalidad de signatario de confianza para contenido privado de CloudFront

  • Modificación de la función allowance/reverse DNS de correo electrónico de las cuentas de AWS

  • Tareas en algunos servicios relacionados con AWS:

    • Alexa Top Sites

    • Alexa Web Information Service

    • Amazon Mechanical Turk

    • API de marketing de productos de Amazon

Excepciones solo para las cuentas miembro creadas antes del 15 de septiembre de 2017

Para algunas cuentas creadas antes del 15 de septiembre de 2017, no puede usar SCPs para evitar que el usuario raíz de dichas cuentas miembro realice las siguientes tareas:

importante

Para todas las cuentas creadas después del 15 de septiembre de 2017, las siguientes excepciones no se aplican y se pueden utilizar para evitar que el usuario raíz de dichas cuentas miembro realice las siguientes tareas.SCPs Sin embargo, a menos que esté seguro de que todas las cuentas de su organización se han creado después del 15 de septiembre de 2017, le recomendamos que no confíe en SCPs para intentar restringir estas operaciones:

  • Activar o desactivar la autenticación multifactor en el usuario raíz

  • Crear, actualizar o eliminar las claves x.509 del usuario raíz

  • Cambiar la contraseña del usuario raíz

  • Crear, actualizar o eliminar claves de acceso raíz