Politiques de contrôle des services (SCPs)

Les politiques de contrôle des services (SCPs) sont un type de politique d'organisation que vous pouvez utiliser pour gérer les autorisations au sein de votre organisation. SCPsoffrent un contrôle centralisé sur les autorisations maximales disponibles pour les IAM utilisateurs et les IAM rôles au sein de votre organisation. SCPsvous aider à garantir que vos comptes respectent les directives de contrôle d'accès de votre organisation. SCPsne sont disponibles que dans une organisation dont toutes les fonctionnalités sont activées. SCPsne sont pas disponibles si votre organisation a activé uniquement les fonctionnalités de facturation consolidée. Pour obtenir des instructions sur l'activationSCPs, consultezDésactivation d'un type de politique.

SCPsn'accordez pas d'autorisations aux IAM utilisateurs et aux IAM rôles de votre organisation. Aucune autorisation n'est accordée par unSCP. An SCP définit une barrière d'autorisation, ou fixe des limites, aux actions que les IAM utilisateurs et les IAM rôles de votre organisation peuvent effectuer. Pour accorder des autorisations, l'administrateur doit associer des politiques pour contrôler l'accès, telles que des politiques basées sur l'identité associées aux IAM utilisateurs et aux IAM rôles, et des politiques basées sur les ressources associées aux ressources de vos comptes. Les autorisations effectives sont l'intersection logique entre ce qui est autorisé par SCP et ce qui est autorisé par les politiques basées sur l'identité et les ressources.

Important

SCPsn'affectent pas les utilisateurs ni les rôles dans le compte de gestion. Elles affectent uniquement les comptes membres de votre organisation.

Rubriques

• Tester les effets de SCPs
• Taille maximale de SCPs
• SCPsAttachement aux différents niveaux de l'organisation
• SCPeffets sur les autorisations
• Utiliser les données d'accès pour améliorer SCPs
• Tâches et entités non limitées par SCPs
• SCPévaluation
• SCPsyntaxe
• Exemples de politiques de contrôle des services
• Résolution des problèmes liés aux politiques de contrôle des services (SCPs) avec AWS Organizations

Tester les effets de SCPs

AWS vous recommande vivement de ne pas vous attacher SCPs à la racine de votre organisation sans avoir testé de manière approfondie l'impact de la politique sur les comptes. À la place, créez une unité d'organisation dans laquelle vous pouvez déplacer vos comptes un par un, ou au moins en petits nombres, afin de veiller à ne pas accidentellement empêcher des utilisateurs d'accéder à des services clés. L'un des moyens de déterminer si un service est utilisé par un compte consiste à examiner les données du service consultées pour la dernière fois IAM. Une autre méthode consiste à utiliser AWS CloudTrail pour enregistrer l'utilisation du service au API niveau.

Note

Vous ne devez pas supprimer la ullAWSAccess politique F à moins de la modifier ou de la remplacer par une politique distincte avec des actions autorisées, sinon toutes AWS les actions effectuées depuis les comptes des membres échoueront.

Taille maximale de SCPs

Tous les caractères de votre choix sont SCP pris en compte dans sa taille maximale. Les exemples présentés dans ce guide montrent les SCPs fichiers formatés avec des espaces blancs supplémentaires pour améliorer leur lisibilité. Toutefois, pour économiser de l'espace si la taille de votre politique approche de la taille maximale, vous pouvez supprimer les espaces, comme les espacements et les sauts de ligne qui ne figurent pas entre guillemets.

Astuce

Utilisez l'éditeur visuel pour créer votreSCP. Il supprime automatiquement les espaces superflus.

SCPsAttachement aux différents niveaux de l'organisation

Pour une explication détaillée du SCPs fonctionnement, voirSCPévaluation.

SCPeffets sur les autorisations

SCPssont similaires à AWS Identity and Access Management (IAM) politiques d'autorisation et utilise presque la même syntaxe. Cependant, l'homme SCP n'accorde jamais d'autorisations. SCPsIl s'agit plutôt de JSON politiques qui spécifient les autorisations maximales pour les IAM utilisateurs et les IAM rôles au sein de votre organisation. Pour plus d'informations, consultez la section Logique d'évaluation des politiques dans le guide de IAM l'utilisateur.

• SCPsconcernent uniquement IAM les utilisateurs et les rôles gérés par des comptes faisant partie de l'organisation. SCPsn'affectent pas directement les politiques basées sur les ressources. Elles n'affectent pas les utilisateurs ni les rôles de comptes extérieurs à l'organisation. Par exemple, considérons un compartiment Amazon S3 détenu par le compte A d'une organisation. La politique du compartiment (politique basée sur une ressource) accorde l'accès aux utilisateurs du compte B qui est extérieur à l'organisation. Le compte A a une SCP pièce jointe. Cela SCP ne s'applique pas aux utilisateurs externes du compte B. SCP Cela ne s'applique qu'aux utilisateurs gérés par le compte A dans l'organisation.

• An SCP restreint les autorisations accordées aux IAM utilisateurs et aux rôles dans les comptes membres, y compris l'utilisateur root du compte membre. Chaque compte ne dispose que des autorisations octroyées par chaque parent au-dessus de lui. Si une autorisation est bloquée à un niveau supérieur au compte, que ce soit implicitement (en n'étant pas incluse dans une déclaration de Allow politique) ou explicitement (en étant incluse dans une déclaration de Deny politique), un utilisateur ou un rôle du compte concerné ne peut pas utiliser cette autorisation, même si l'administrateur du compte associe la AdministratorAccess IAM politique avec des autorisations*/* à l'utilisateur.

• SCPsconcernent uniquement les comptes des membres de l'organisation. Elles n'ont aucun effet sur les utilisateurs ou les rôles du compte de gestion.

• Les utilisateurs et les rôles doivent toujours bénéficier d'autorisations conformément aux politiques IAM d'autorisation appropriées. Un utilisateur n'ayant aucune politique d'IAMautorisation n'a aucun accès, même si les règles applicables SCPs autorisent tous les services et toutes les actions.

• Si un utilisateur ou un rôle dispose d'une politique d'IAMautorisation qui accorde l'accès à une action également autorisée par l'autorité applicableSCPs, l'utilisateur ou le rôle peut effectuer cette action.

• Si un utilisateur ou un rôle dispose d'une politique d'IAMautorisation qui accorde l'accès à une action non autorisée ou explicitement refusée par l'autorité applicableSCPs, l'utilisateur ou le rôle ne peut pas effectuer cette action.

• SCPsaffectent tous les utilisateurs et rôles des comptes rattachés, y compris l'utilisateur root. Les seules exceptions sont celles décrites dans Tâches et entités non limitées par SCPs.

• SCPsn'affectent aucun rôle lié à un service. Les rôles liés à un service permettent d'autres Services AWS à intégrer à AWS Organizations et ne peut pas être limité parSCPs.

• Lorsque vous désactivez le type de SCP politique dans une racine, toutes SCPs sont automatiquement détachées de toutes AWS Organizations entités de cette racine. AWS Organizations les entités incluent les unités organisationnelles, les organisations et les comptes. Si vous le réactivez SCPs dans une racine, cette racine revient uniquement à la FullAWSAccess politique par défaut automatiquement attachée à toutes les entités de la racine. Toutes les pièces jointes SCPs de AWS Organizations les entités antérieures à la désactivation SCPs sont perdues et ne sont pas automatiquement récupérables, bien que vous puissiez les rattacher manuellement.

• Si une limite d'autorisation (une IAM fonctionnalité avancée) et une SCP sont présentes, alors la limite, la politique basée sur l'SCPidentité et la politique basée sur l'identité doivent toutes autoriser l'action.

Utiliser les données d'accès pour améliorer SCPs

Lorsque vous êtes connecté avec les informations d'identification du compte de gestion, vous pouvez consulter les données du dernier accès au service pour un AWS Organizations entité ou politique dans le AWS Organizationssection de la IAM console. Vous pouvez également utiliser le AWS Command Line Interface (AWS CLI) ou AWS APIentrez IAM pour récupérer les dernières données consultées par le service. Ces données incluent des informations sur les services autorisés que les IAM utilisateurs et les rôles dans un AWS Organizations dernière tentative d'accès au compte et quand. Vous pouvez utiliser ces informations pour identifier les autorisations non utilisées afin d'affiner les SCPs vôtres afin de mieux respecter le principe du moindre privilège.

Par exemple, vous pouvez avoir une liste de refus SCP qui interdit l'accès à trois Services AWS. Tous les services qui ne figurent pas dans SCP la Deny déclaration sont autorisés. Les données consultées pour la dernière fois par le service vous IAM indiquent lesquelles Services AWS sont autorisés par le SCP mais ne sont jamais utilisés. Grâce à ces informations, vous pouvez les mettre SCP à jour pour refuser l'accès aux services dont vous n'avez pas besoin.

Pour plus d'informations, consultez les rubriques suivantes du guide de l'IAMutilisateur :

• Affichage des dernières informations relatives aux services pour Organizations

• Using Data to Refine Permissions for an Organizational Unit (Utilisation des données pour affiner les autorisations d’une unité d’organisation)

Tâches et entités non limitées par SCPs

Vous ne pouvez pas utiliser SCPs pour restreindre les tâches suivantes :

• Toute action effectuée par le compte de gestion

• Toute action réalisée à l'aide des autorisations attachées à un rôle lié à un service.

• Enregistrement pour le plan Enterprise Support en tant qu'utilisateur racine

• Changez le AWS niveau de support en tant qu'utilisateur root

• Fournir des fonctionnalités de signature fiables pour le contenu CloudFront privé

• Configuration inverse DNS pour un serveur de messagerie Amazon Lightsail et une instance EC2 Amazon en tant qu'utilisateur root

• Tâches sur certains AWS services connexes :

  • Alexa Top Sites

  • Alexa Web Information Service

  • Amazon Mechanical Turk

  • Marketing des produits Amazon API