Stratégies de contrôle de service - AWS Organizations

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Stratégies de contrôle de service

Pour obtenir de plus amples informations et connaître les procédures communes à tous les types de stratégies, veuillez consulter les rubriques suivantes :

Stratégies de contrôle de service

Les stratégies de contrôle des services (SCP) sont un type de stratégie d'organisation que vous pouvez utiliser pour gérer les autorisations dans votre organisation. Les stratégies de contrôle des services (SCP) offrent un contrôle central sur les autorisations maximales disponibles pour tous les comptes de votre organisation. Les stratégies de contrôle des services vous aident à vous assurer que vos comptes respectent les directives de contrôle d'accès de votre organisation. Les stratégies de contrôle de service sont disponibles uniquement dans une organisation dont toutes les fonctions activées. Les stratégies SCP ne sont pas disponibles si votre organisation a activé uniquement les fonctions de facturation consolidée. Pour obtenir des instructions sur l'activation des SCP, veuillez consulter Activation et désactivation des types de stratégie.

Les stratégies de contrôle de service ne suffisent pas à accorder des autorisations aux comptes de votre organisation. Aucune autorisation n'est accordée par un SCP. Un SCP définit une barrière, ou définit des limites, sur les actions que l'administrateur du compte peut déléguer aux utilisateurs et aux rôles IAM dans les comptes concernés. L'administrateur doit toujours joindreStratégies basées sur les ressources ou stratégies basées sur l'identitéaux utilisateurs ou aux rôles IAM, ou aux ressources de vos comptes pour accorder réellement des autorisations. La .Autorisations en vigueursont l'intersection logique entre ce qui est autorisé par le SCP et ce qui est autorisé par l'IAM et les stratégies basées sur les ressources.

Important

Les stratégies de contrôle des services n'affectent pas les utilisateurs ni les rôles dans le compte de gestion. Elles affectent uniquement les comptes membres de votre organisation.

Test des effets des stratégies de contrôle de service

AWS recommande vivement de ne pas attacher de stratégie de contrôle de service à la racine de votre organisation sans soigneusement tester son impact sur les comptes. A la place, créez une unité d'organisation dans laquelle vous pouvez déplacer vos comptes un par un, ou au moins en petits nombres, afin de veiller à ne pas accidentellement verrouiller des utilisateurs en dehors des services clés. Pour déterminer si un service est utilisé par un compte, examinez ladernières données de service consultées dans IAM. Sinon, utilisez AWS CloudTrail pour enregistrer l'utilisation des services au niveau de l'API.

Taille maximale des SCP (stratégies de contrôle de service)

Tous les caractères dans votre stratégie de contrôle de service sont pris en compte dans le calcul de sa taille maximale. Les exemples présentés dans ce manuel montrent les stratégies SCP formatées avec des espaces supplémentaires pour une meilleure lisibilité. Toutefois, pour économiser de l'espace si la taille de votre stratégie approche de la taille maximale, vous pouvez supprimer les espaces, comme les espaces et les sauts de ligne qui ne figurent pas entre guillemets.

Astuce

Utilisez l'éditeur visuel pour créer votre stratégie de contrôle de service. Il supprime automatiquement les espaces superflus.

Héritage des SCP dans la hiérarchie de l'UO

Pour obtenir une explication détaillée du fonctionnement de l'héritage SCP, consultezHéritage pour les stratégies de contrôle de service

Effets sur les autorisations

Les SCP sont similaires àAWS Identity and Access Management(IAM) et utilisent presque la même syntaxe. Toutefois, une stratégie de contrôle de service n'accorde jamais d'autorisations. Au lieu de cela, les stratégies de contrôle de service sont des stratégies JSON qui spécifient les autorisations maximales pour les comptes concernés. Pour de plus amples informations, veuillez consulterLogique d'évaluation des stratégiesdans leGuide de l'utilisateur IAM.

  • SCPaffecte uniquement les utilisateurs et les rôles IAMqui sont gérés par des comptes faisant partie de l'organisation. Les SCP n'affectent pas directement les stratégies basées sur les ressources. Elles n'affectent pas les utilisateurs ni les rôles de comptes extérieurs à l'organisation. Par exemple, considérons un compartiment Amazon S3 détenu par le compte A d'une organisation. La stratégie de compartiment (stratégie basée sur une ressource) accorde l'accès aux utilisateurs à partir du compte B en dehors de l'organisation. Une stratégie SCP est attachée au compte A. Cette stratégie SCP ne s'applique pas aux utilisateurs externes dans le compte B. Elle s'applique uniquement aux utilisateurs gérés par le compte A dans l'organisation.

  • Une stratégie de contrôle de service limite les autorisations pour les utilisateurs et les rôles IAM dans les comptes membres, y compris l'utilisateur racine du compte membre. Chaque compte ne dispose que des autorisations octroyées par chaque parent au-dessus de celui-ci. Si une autorisation est bloquée à n'importe quel niveau au-dessus du compte, implicitement (en n'étant pas incluse dans une instruction de stratégie Allow ou explicitement (en étant incluse dans une déclaration de stratégie Deny), un utilisateur ou un rôle figurant dans le compte concerné ne peut pas utiliser cette autorisation, même si l'administrateur du compte attache la stratégie IAM AdministratorAccess avec des autorisations */* à l'utilisateur.

  • Seuls les stratégies de contrôle de servicememberDans l'organisation. Ils n'ont aucun effet sur les utilisateurs ou les rôles dans le compte de gestion.

  • Les utilisateurs et les rôles doivent toujours se voir attribuer des autorisations avec les stratégies d'autorisation IAM appropriées. Un utilisateur sans aucune stratégie d'autorisation IAM ne bénéficie d'aucun accès, même si les stratégies de contrôle de service permettent tous les services et toutes les actions.

  • Si un utilisateur ou un rôle dispose d'une stratégie d'autorisation IAM qui accorde l'accès à une action qui est également autorisée par les stratégies SCP applicables, l'utilisateur ou le rôle peut exécuter cette action.

  • Si un utilisateur ou un rôle dispose d'une stratégie d'autorisation IAM qui accorde l'accès à une action qui n'est pas autorisée ou explicitement refusée par les stratégies SCP applicables, l'utilisateur ou le rôle ne peut pas exécuter cette action.

  • Les stratégies SCP affectent tous les utilisateurs et les rôles figurant dans les comptes attachés, y compris l'utilisateur racine. Les seules exceptions sont celles décrites dans Tâches et entités non restreintes par les SCP.

  • Les SCP n'affectent pas les rôles liés au service. Les rôles liés au service permettent à d'autres services AWS de s’intégrer à AWS Organizations et ne peuvent être restreints par SCP.

  • Lorsque vous désactivez le type de stratégie SCP dans une racine, toutes les SCP sont automatiquement détachées de toutes les entités AWS Organizations de cette racine. Les entités AWS Organizations comprennent les unités d'organisation, les organisations et les comptes. Si vous activez de nouveau les stratégies SCP dans une racine, cette dernière revient uniquement à la stratégie FullAWSAccess par défaut attachée automatiquement à toutes les entités figurant dans la racine. Tous les attachements de stratégies SCP à des entités AWS Organizations, réalisés avant la désactivation de ces stratégies, sont perdus et ne sont pas récupérables automatiquement, même si vous pouvez les attacher de nouveau manuellement.

  • Si une limite d'autorisations (une fonctionnalité IAM avancée) et une stratégie de contrôle de service sont présentes, la limite, la stratégie de contrôle de service et la stratégie basée sur l'identité doivent toutes autoriser l'action.

Utilisation des données d’accès pour améliorer les stratégies de contrôle de service (SCP)

Lorsque vous vous connectez avec les informations d'identification du compte de gestion, vous pouvez afficherdernières données de service consultéespour unAWS Organizationsde l'entité ou de la stratégie dans laAWS Organizationsde la console IAM. Vous pouvez également utiliser l'AWS Command Line Interface(AWS CLI) ouAWSAPI dans IAM pour récupérer les données relatives aux services consultés en dernier. Ces données incluent les informations sur les services autorisés que les utilisateurs et les rôles IAM dans uneAWS Organizationsdernière tentative d'accès et quand. Elles vous permettent d'identifier toute autorisation non utilisée. Vous pouvez ainsi peaufiner vos SCP afin qu'elles respectent au plus près le principe du moindre privilège.

Par exemple, vous pouvez avoir une SCP de liste de refus qui interdit l'accès à trois services AWS. Tous les services qui ne sont pas répertoriés dans l’instruction Deny de la SCP sont autorisés. Les données relatives aux derniers services consultés dans IAM vous indiquent quellesAWSLes services sont autorisés par la SCP, mais ne sont jamais utilisés. Ces informations vous permettent de mettre à jour la SCP pour refuser l'accès aux services dont vous n'avez pas besoin.

Pour plus d'informations, veuillez consulter les rubriques suivantes dans le Guide de l'utilisateur IAM :

Tâches et entités non restreintes par les SCP

Vousne peut pasutiliser des SCP pour restreindre les tâches suivantes :

  • Toute action effectuée par le compte de gestion

  • Toute action réalisée à l'aide des autorisations étant jointes à un rôle lié au service

  • S’inscrire pour le plan Enterprise Support en tant qu'utilisateur racine

  • Modification du niveau de support AWS en tant qu'utilisateur racine

  • Gérer les clés Amazon CloudFront en tant qu'utilisateur racine

  • Fournir des fonctionnalités de signataire de confiance pour le contenu privé CloudFront

  • Configurer le DNS inverse pour un serveur de messagerie Amazon Lightsail en tant qu'utilisateur racine

  • Tâches sur certainsAWSServices liés à :

    • Alexa Top Sites

    • Alexa Web Information Service

    • Amazon Mechanical Turk

    • API Amazon Product Marketing

Exceptions pour les comptes membres créés avant le 15 septembre 2017

PourEVERYCréation des comptesavant15 septembre 2017ne peut pasutiliser des SCP pour empêcher l'utilisateur racine de ces comptes membres d'effectuer les tâches suivantes :

Important

PourToutCréation des comptesAprès15 septembre 2017, les exceptions suivantes ne s'appliquent pas et vouspeututilisent des SCP pour empêcher l'utilisateur racine de ces comptes membres d'effectuer les tâches suivantes. Cependant, sauf si vous êtes certain queToutDes comptes de votre organisation ont été créés après le 15 septembre 2017, nous vous recommandons de ne pas compter sur les stratégies de contrôle de service pour essayer de limiter ces opérations :

  • Activer ou désactiver la Multi-Factor Authentication sur l'utilisateur racine

  • Créer, mettre à jour ou supprimer les clés x.509 pour l'utilisateur racine

  • Modifier le mot de passe de l'utilisateur racine

  • Créer, mettre à jour ou supprimer les clés d'accès racine