Politiques de contrôle des services (SCPs)

Les politiques de contrôle des services (SCPs) sont un type de politique d'organisation que vous pouvez utiliser pour gérer les autorisations au sein de votre organisation. SCPs offrent un contrôle centralisé des autorisations maximales disponibles pour les utilisateurs IAM et les rôles IAM au sein de votre organisation. SCPs vous aider à garantir que vos comptes respectent les directives de contrôle d'accès de votre organisation. SCPsne sont disponibles que dans une organisation dont toutes les fonctionnalités sont activées. SCPs ne sont pas disponibles si votre organisation a activé uniquement les fonctionnalités de facturation consolidée. Pour obtenir des instructions sur l'activation SCPs, consultezDésactivation d'un type de politique.

SCPs n'accordez pas d'autorisations aux utilisateurs IAM et aux rôles IAM au sein de votre organisation. Aucune autorisation n'est accordée par une SCP. Un SCP définit une barrière d'autorisation, ou fixe des limites, aux actions que les utilisateurs IAM et les rôles IAM de votre organisation peuvent effectuer. Pour accorder des autorisations, l'administrateur doit associer des politiques pour contrôler l'accès, telles que des politiques basées sur l'identité associées aux utilisateurs IAM et aux rôles IAM, et des politiques basées sur les ressources associées aux ressources de vos comptes. Pour plus d'informations, consultez les sections Politiques basées sur l'identité et politiques basées sur les ressources dans le Guide de l'utilisateur IAM.

Les autorisations effectives sont l'intersection logique entre ce qui est autorisé par le SCP et les politiques de contrôle des ressources (RCPs) et ce qui est autorisé par les politiques basées sur l'identité et les ressources.

SCPs n'affectent pas les utilisateurs ou les rôles dans le compte de gestion

SCPs n'affectent pas les utilisateurs ni les rôles dans le compte de gestion. Elles affectent uniquement les comptes membres de votre organisation. Cela signifie également que cela SCPs s'applique aux comptes de membres désignés comme administrateurs délégués.

Rubriques

• Tester les effets de SCPs

• Taille maximale de SCPs

• SCPs Attachement aux différents niveaux de l'organisation

• Effets des SCP sur les autorisations

• Utiliser les données d'accès pour améliorer SCPs

• Tâches et entités non limitées par SCPs

• Évaluation du SCP

• Syntaxe d'une stratégie de contrôle de service

• Exemples de politiques de contrôle des services

• Résolution des problèmes liés aux politiques de contrôle des services (SCPs) avec AWS Organizations

Tester les effets de SCPs

AWS vous recommande vivement de ne pas vous attacher SCPs à la racine de votre organisation sans avoir testé de manière approfondie l'impact de la politique sur les comptes. À la place, créez une unité d'organisation dans laquelle vous pouvez déplacer vos comptes un par un, ou au moins en petits nombres, afin de veiller à ne pas accidentellement empêcher des utilisateurs d'accéder à des services clés. Pour déterminer si un service est utilisé par un compte, vous pouvez examiner les Dernières informations consultées relatives aux services dans IAM. Une autre méthode consiste AWS CloudTrail à enregistrer l'utilisation du service au niveau de l'API.

Note

Vous ne devez pas supprimer la AWSAccess politique complète à moins de la modifier ou de la remplacer par une politique distincte avec des actions autorisées, sinon toutes les AWS actions des comptes membres échoueront.

Taille maximale de SCPs

Tous les caractères de votre SCP sont pris en compte dans le calcul de sa taille maximale. Les exemples présentés dans ce guide montrent les SCPs fichiers formatés avec des espaces blancs supplémentaires pour améliorer leur lisibilité. Toutefois, pour économiser de l'espace si la taille de votre politique approche de la taille maximale, vous pouvez supprimer les espaces, comme les espacements et les sauts de ligne qui ne figurent pas entre guillemets.

Astuce

Utilisez l'éditeur visuel pour créer votre politique de contrôle des services. Il supprime automatiquement les espaces superflus.

SCPs Attachement aux différents niveaux de l'organisation

Pour une explication détaillée du SCPs fonctionnement, voirÉvaluation du SCP.

Effets des SCP sur les autorisations

SCPs sont similaires aux politiques AWS Identity and Access Management d'autorisation et utilisent presque la même syntaxe. Toutefois, une politique de contrôle des services n'accorde jamais d'autorisations. SCPs Il s'agit plutôt de contrôles d'accès qui spécifient les autorisations maximales disponibles pour les utilisateurs IAM et les rôles IAM au sein de votre organisation. Pour de plus amples informations, consultez Logique d'évaluation des politiques dans le Guide de l'utilisateur IAM.

• SCPs concernent uniquement les utilisateurs et les rôles IAM gérés par des comptes faisant partie de l'organisation. SCPs n'affectent pas directement les politiques basées sur les ressources. Elles n'affectent pas les utilisateurs ni les rôles de comptes extérieurs à l'organisation. Par exemple, considérons un compartiment Amazon S3 détenu par le compte A d'une organisation. La politique du compartiment (politique basée sur une ressource) accorde l'accès aux utilisateurs du compte B qui est extérieur à l'organisation. Une politique SCP est attachée au compte A. Cette politique de contrôle des services ne s'applique pas aux utilisateurs externes du compte B. La politique de contrôle des services s'applique uniquement aux utilisateurs gérés par le compte A dans l'organisation.

• Une SCP limite les autorisations des utilisateurs et des rôles IAM dans les comptes membres, y compris l'utilisateur racine du compte membre. Chaque compte ne dispose que des autorisations octroyées par chaque parent au-dessus de lui. Si une autorisation est bloquée à n'importe quel niveau au-dessus du compte, implicitement (en n'étant pas incluse dans une instruction de politique Allow) ou explicitement (en étant incluse dans une instruction de politique Deny), un utilisateur ou un rôle figurant dans le compte concerné ne peut pas utiliser cette autorisation, même si l'administrateur du compte attache à l'utilisateur la politique IAM AdministratorAccess avec des autorisations */*.

• SCPs concernent uniquement les comptes des membres de l'organisation. Elles n'ont aucun effet sur les utilisateurs ou les rôles du compte de gestion. Cela signifie également que cela SCPs s'applique aux comptes de membres désignés comme administrateurs délégués. Pour de plus amples informations, veuillez consulter Bonnes pratiques relatives au compte de gestion.

• Les utilisateurs et les rôles doivent toujours se voir attribuer des autorisations avec les politiques d'autorisation IAM appropriées. Un utilisateur ne disposant d'aucune politique d'autorisation IAM n'a aucun accès, même si les règles applicables SCPs autorisent tous les services et toutes les actions.

• Si un utilisateur ou un rôle dispose d'une politique d'autorisation IAM qui accorde l'accès à une action également autorisée par l'autorité applicable SCPs, l'utilisateur ou le rôle peut effectuer cette action.

• Si un utilisateur ou un rôle dispose d'une politique d'autorisation IAM qui accorde l'accès à une action non autorisée ou explicitement refusée par l'autorité applicable SCPs, l'utilisateur ou le rôle ne peut pas effectuer cette action.

• SCPs affectent tous les utilisateurs et rôles des comptes rattachés, y compris l'utilisateur root. Les seules exceptions sont celles décrites dans Tâches et entités non limitées par SCPs.

• SCPs n'affectent aucun rôle lié à un service. Les rôles liés aux services permettent Services AWS aux autres de s'intégrer AWS Organizations et ne peuvent pas être limités par. SCPs

• Lorsque vous désactivez le type de politique SCP dans une racine, toutes SCPs sont automatiquement détachées de toutes les AWS Organizations entités de cette racine. AWS Organizations les entités incluent les unités organisationnelles, les organisations et les comptes. Si vous le réactivez SCPs dans une racine, cette racine revient uniquement à la FullAWSAccess politique par défaut automatiquement attachée à toutes les entités de la racine. Toutes les pièces jointes d' AWS Organizations entités antérieures SCPs à la désactivation SCPs sont perdues et ne sont pas automatiquement récupérables, bien que vous puissiez les rattacher manuellement.

• Si une limite d'autorisations (une fonctionnalité IAM avancée) et une politique de contrôle des services sont présentes, la limite, la politique de contrôle des services et la politique basée sur l'identité doivent toutes autoriser l'action.

Utiliser les données d'accès pour améliorer SCPs

Lorsque vous êtes connecté avec les informations d'identification du compte de gestion, vous pouvez consulter les données du dernier accès au service pour une AWS Organizations entité ou une politique dans la AWS Organizationssection de la console IAM. Vous pouvez également utiliser le AWS Command Line Interface (AWS CLI) ou l' AWS API dans IAM pour récupérer les dernières données du service auxquelles vous avez accédé. Ces données incluent des informations sur les services autorisés auxquels les utilisateurs et les rôles IAM d'un AWS Organizations compte ont tenté d'accéder pour la dernière fois et à quel moment. Vous pouvez utiliser ces informations pour identifier les autorisations non utilisées afin d'affiner les SCPs vôtres afin de mieux respecter le principe du moindre privilège.

Par exemple, vous pouvez avoir une liste de refus SCP qui interdit l'accès à trois Services AWS d'entre eux. Tous les services qui ne sont pas répertoriés dans l’instruction Deny de la SCP sont autorisés. Les données du dernier accès au service dans IAM vous indiquent celles qui Services AWS sont autorisées par le SCP mais qui ne sont jamais utilisées. Ces informations vous permettent de mettre à jour la SCP pour refuser l'accès aux services dont vous n'avez pas besoin.

Pour plus d'informations, consultez les rubriques suivantes dans le Guide de l'utilisateur IAM :

• Affichage des dernières informations relatives aux services pour Organizations

• Using Data to Refine Permissions for an Organizational Unit (Utilisation des données pour affiner les autorisations d’une unité d’organisation)

Tâches et entités non limitées par SCPs

Vous ne pouvez pas utiliser SCPs pour restreindre les tâches suivantes :

• Toute action effectuée par le compte de gestion

• Toute action réalisée à l'aide des autorisations attachées à un rôle lié à un service.

• Enregistrement pour le plan Enterprise Support en tant qu'utilisateur racine

• Fournir des fonctionnalités de signature fiables pour le contenu CloudFront privé

• Configurer le DNS inverse pour un serveur de messagerie Amazon Lightsail et une instance EC2 Amazon en tant qu'utilisateur root

• Tâches AWS relatives à certains services connexes :

  • Alexa Top Sites

  • Alexa Web Information Service

  • Amazon Mechanical Turk

  • API Amazon Product Marketing