Politiques de contrôle de service (SCP) - AWS Organizations

Politiques de contrôle de service (SCP)

Pour obtenir de plus amples informations et connaître les procédures communes à tous les types de politiques, consultez les rubriques suivantes :

Les politiques de contrôle des services (SCP) sont un type de politique d'organisation que vous pouvez utiliser pour gérer les autorisations dans votre organisation. Les politiques de contrôle des services (SCP) offrent un contrôle central sur les autorisations maximales disponibles pour tous les comptes de votre organisation. Les politiques de contrôle des services vous aident à vous assurer que vos comptes respectent les directives de contrôle d'accès de votre organisation. Les politiques de contrôle des services sont disponibles uniquement dans une organisation dont toutes les fonctions sont activées. Les politiques SCP ne sont pas disponibles si votre organisation a activé uniquement les fonctions de facturation consolidée. Pour obtenir des instructions sur l'activation des SCP, consultez Activation et désactivation des types de politiques.

Les politiques de contrôle des services ne suffisent pas à accorder des autorisations aux comptes de votre organisation. Aucune autorisation n'est accordée par une SCP. Une SCP définit une barrière, ou définit des limites, sur les actions que l'administrateur du compte peut déléguer aux utilisateurs et aux rôles IAM dans les comptes concernés. L'administrateur doit toujours attacher des politiques basées sur les ressources ou basées sur l'identité aux utilisateurs ou aux rôles IAM, ou aux ressources de vos comptes pour accorder réellement des autorisations. Les autorisations en vigueur sont l'intersection logique entre ce qui est autorisé par la SCP et ce qui est autorisé par l'IAM et les politiques basées sur les ressources.

Important

Les SCP n'affectent pas les utilisateurs ni les rôles dans le compte de gestion. Elles affectent uniquement les comptes membres de votre organisation.

Test des effets des politiques de contrôle des services

AWS recommande vivement de ne pas attacher de politiques de contrôle des services à la racine de votre organisation sans soigneusement tester son impact sur les comptes. À la place, créez une unité d'organisation dans laquelle vous pouvez déplacer vos comptes un par un, ou au moins en petits nombres, afin de veiller à ne pas accidentellement empêcher des utilisateurs d'accéder à des services clés. Pour déterminer si un service est utilisé par un compte, vous pouvez examiner les Dernières informations consultées relatives aux services dans IAM. Sinon, utilisez AWS CloudTrail pour enregistrer l'utilisation des services au niveau des API.

Taille maximale des SCP (politiques de contrôle des services)

Tous les caractères de votre SCP sont pris en compte dans le calcul de sa taille maximale. Les exemples présentés dans ce guide montrent les politiques SCP formatées avec des espaces supplémentaires pour une meilleure lisibilité. Toutefois, pour économiser de l'espace si la taille de votre politique approche de la taille maximale, vous pouvez supprimer les espaces, comme les espacements et les sauts de ligne qui ne figurent pas entre guillemets.

Astuce

Utilisez l'éditeur visuel pour créer votre politique de contrôle des services. Il supprime automatiquement les espaces superflus.

Héritage des SCP dans la hiérarchie des UO

Pour obtenir une explication détaillée du fonctionnement de l'héritage des SCP, consultez Héritage pour les politiques de contrôle des services

Effets des SCP sur les autorisations

Les politiques de contrôle des services sont similaires aux politiques d'autorisation AWS Identity and Access Management (IAM) et utilisent presque la même syntaxe. Toutefois, une politique de contrôle des services n'accorde jamais d'autorisations. Au lieu de cela, les politiques de contrôle des services sont des politiques JSON qui spécifient les autorisations maximales pour les comptes concernés. Pour de plus amples informations, consultez Logique d'évaluation des politiques dans le Guide de l'utilisateur IAM.

  • Les SCP affectent uniquement les utilisateurs et les rôles IAM qui sont gérés par des comptes faisant partie de l'organisation. Les SCP n'affectent pas directement les politiques basées sur les ressources. Elles n'affectent pas les utilisateurs ni les rôles de comptes extérieurs à l'organisation. Par exemple, considérons un compartiment Amazon S3 détenu par le compte A d'une organisation. La politique du compartiment (politique basée sur une ressource) accorde l'accès aux utilisateurs du compte B qui est extérieur à l'organisation. Une politique SCP est attachée au compte A. Cette politique de contrôle des services ne s'applique pas aux utilisateurs externes du compte B. La politique de contrôle des services s'applique uniquement aux utilisateurs gérés par le compte A dans l'organisation.

  • Une SCP limite les autorisations des utilisateurs et des rôles IAM dans les comptes membres, y compris l'utilisateur racine du compte membre. Chaque compte ne dispose que des autorisations octroyées par chaque parent au-dessus de lui. Si une autorisation est bloquée à n'importe quel niveau au-dessus du compte, implicitement (en n'étant pas incluse dans une instruction de politique Allow) ou explicitement (en étant incluse dans une instruction de politique Deny), un utilisateur ou un rôle figurant dans le compte concerné ne peut pas utiliser cette autorisation, même si l'administrateur du compte attache à l'utilisateur la politique IAM AdministratorAccess avec des autorisations */*.

  • Les SCP affectent uniquement les comptes membres de l'organisation. Elles n'ont aucun effet sur les utilisateurs ou les rôles du compte de gestion.

  • Les utilisateurs et les rôles doivent toujours se voir attribuer des autorisations avec les politiques d'autorisation IAM appropriées. Un utilisateur sans aucune politique d'autorisation IAM ne bénéficie d'aucun accès, même si les politiques SCP applicables autorisent tous les services et toutes les actions.

  • Si un utilisateur ou un rôle dispose d'une politique d'autorisation IAM qui accorde l'accès à une action qui est également autorisée par les politiques SCP applicables, l'utilisateur ou le rôle peut effectuer cette action.

  • Si un utilisateur ou un rôle dispose d'une politique d'autorisation IAM qui accorde l'accès à une action qui n'est pas autorisée ou qui est explicitement refusée par les politiques SCP applicables, l'utilisateur ou le rôle ne peut pas exécuter cette action.

  • Les politiques SCP affectent tous les utilisateurs et les rôles figurant dans les comptes attachés, y compris l'utilisateur racine. Les seules exceptions sont celles décrites dans Tâches et entités non restreintes par les SCP.

  • Les SCP n'affectent pas les rôles liés à un service. Les rôles liés à un service permettent à d'autres services AWS de s'intégrer à AWS Organizations et ne peuvent pas être restreints par des SCP.

  • Lorsque vous désactivez le type de politique SCP dans une racine, toutes les SCP sont automatiquement détachées de toutes les entités AWS Organizations de cette racine. Les entités AWS Organizations comprennent les unités d'organisation, les organisations et les comptes. Si vous activez de nouveau les politiques SCP dans une racine, cette dernière revient uniquement à la politique FullAWSAccess par défaut attachée automatiquement à toutes les entités figurant dans la racine. Tous les attachements de politiques SCP à des entités AWS Organizations réalisés avant la désactivation de ces politiques sont perdus et ne sont pas récupérables automatiquement, mais vous pouvez les attacher de nouveau manuellement.

  • Si une limite d'autorisations (une fonctionnalité IAM avancée) et une politique de contrôle des services sont présentes, la limite, la politique de contrôle des services et la politique basée sur l'identité doivent toutes autoriser l'action.

Utilisation des données d'accès pour améliorer les politiques de contrôle des services (SCP)

Une fois connecté avec les informations d'identification du compte de gestion, vous pouvez afficher les Dernières informations consultées relatives aux services pour une politique ou une entité AWS Organizations dans la section AWS Organizations de la console IAM. Vous pouvez également utiliser la AWS Command Line Interface (AWS CLI) ou l'API AWS dans IAM pour récupérer les dernières informations consultées relatives aux services. Ces données incluent les informations concernant les services autorisés auxquels les utilisateurs IAM et les rôles d'un compte AWS Organizations ont tenté d'accéder pour la dernière fois et quand. Elles vous permettent d'identifier toute autorisation non utilisée. Vous pouvez ainsi peaufiner vos SCP afin qu'elles respectent au plus près le principe du moindre privilège.

Par exemple, vous pouvez avoir une SCP de liste de refus qui interdit l'accès à trois services AWS. Tous les services qui ne sont pas répertoriés dans l’instruction Deny de la SCP sont autorisés. Les données relatives aux services consultés en dernier dans IAM vous indiquent quels services AWS sont autorisés par la SCP, mais ne sont jamais utilisés. Ces informations vous permettent de mettre à jour la SCP pour refuser l'accès aux services dont vous n'avez pas besoin.

Pour plus d'informations, consultez les rubriques suivantes dans le Guide de l'utilisateur IAM :

Tâches et entités non restreintes par les SCP

Vous ne pouvez pas utiliser des SCP pour restreindre les tâches suivantes :

  • Toute action effectuée par le compte de gestion

  • Toute action réalisée à l'aide des autorisations attachées à un rôle lié à un service.

  • Enregistrement pour le plan Enterprise Support en tant qu'utilisateur racine

  • Modification du niveau de support AWS en tant qu'utilisateur racine

  • Activation d'une fonctionnalité de signataire autorisé pour le contenu privé CloudFront

  • Configuration de DNS inverse pour un serveur de messagerie Amazon Lightsail et une instance Amazon EC2 en tant qu'utilisateur racine

  • Tâches sur certains services liés à AWS :

    • Alexa Top Sites

    • Alexa Web Information Service

    • Amazon Mechanical Turk

    • API Amazon Product Marketing

Exceptions uniquement pour les comptes membres créés avant le 15 septembre 2017

Pour certains comptes créés avant le 15 septembre 2017, vous ne pouvez pas utiliser des SCP pour empêcher l'utilisateur racine de ces comptes membres d'effectuer les tâches suivantes :

Important

Pour tous les comptes créés après le 15 septembre 2017, les exceptions suivantes ne s'appliquent pas et vous pouvez utiliser des SCP pour empêcher l'utilisateur racine de ces comptes membres d'effectuer les tâches suivantes. Cependant, sauf si vous êtes certain que tous les comptes de votre organisation ont été créés après le 15 septembre 2017, nous vous recommandons de ne pas vous appuyer sur des SCP pour essayer de limiter ces opérations :

  • Activer ou désactiver l'authentification multifacteur sur l'utilisateur racine

  • Créer, mettre à jour ou supprimer des clés x.509 pour l'utilisateur racine

  • Modifier le mot de passe de l'utilisateur racine

  • Créer, mettre à jour ou supprimer des clés d'accès racine