Politiques de contrôle de service (SCP)

Les politiques de contrôle des services (SCP) sont un type de politique d'organisation que vous pouvez utiliser pour gérer les autorisations dans votre organisation. Les SCP offrent un contrôle centralisé sur les autorisations maximales disponibles pour les utilisateurs IAM et les rôles IAM au sein de votre organisation. Les politiques de contrôle des services vous aident à vous assurer que vos comptes respectent les directives de contrôle d'accès de votre organisation. Les politiques de contrôle des services sont disponibles uniquement dans une organisation dont toutes les fonctions sont activées. Les politiques SCP ne sont pas disponibles si votre organisation a activé uniquement les fonctions de facturation consolidée. Pour obtenir des instructions sur l'activation des SCP, consultez Activation et désactivation des types de politiques.

Les SCP n'accordent pas d'autorisations aux utilisateurs IAM et aux rôles IAM au sein de votre organisation. Aucune autorisation n'est accordée par une SCP. Un SCP définit une barrière d'autorisation, ou fixe des limites, aux actions que les utilisateurs IAM et les rôles IAM de votre organisation peuvent effectuer. Pour accorder des autorisations, l'administrateur doit associer des politiques pour contrôler l'accès, telles que des politiques basées sur l'identité associées aux utilisateurs IAM et aux rôles IAM, et des politiques basées sur les ressources associées aux ressources de vos comptes. Les autorisations effectives sont l'intersection logique entre ce qui est autorisé par le SCP et ce qui est autorisé par les politiques basées sur l'identité et les ressources.

Important

Les SCP n'affectent pas les utilisateurs ni les rôles dans le compte de gestion. Elles affectent uniquement les comptes membres de votre organisation.

Rubriques

• Test des effets des politiques de contrôle des services
• Taille maximale des SCP (politiques de contrôle des services)
• Attachement de SCP à différents niveaux de l'organisation
• Effets des SCP sur les autorisations
• Utilisation des données d'accès pour améliorer les politiques de contrôle des services (SCP)
• Tâches et entités non restreintes par les SCP
• Création, mise à jour et suppression de politiques de contrôle des services
• Attachement et détachement de politiques de contrôle des services
• Évaluation du SCP
• Syntaxe d'une stratégie de contrôle de service
• Exemples de politiques de contrôle des services

Test des effets des politiques de contrôle des services

AWS vous recommande vivement de ne pas associer de SCP à la racine de votre organisation sans avoir testé de manière approfondie l'impact de la politique sur les comptes. À la place, créez une unité d'organisation dans laquelle vous pouvez déplacer vos comptes un par un, ou au moins en petits nombres, afin de veiller à ne pas accidentellement empêcher des utilisateurs d'accéder à des services clés. Pour déterminer si un service est utilisé par un compte, vous pouvez examiner les Dernières informations consultées relatives aux services dans IAM. Une autre méthode consiste AWS CloudTrail à enregistrer l'utilisation du service au niveau de l'API.

Note

Vous ne devez pas supprimer la AWSAccess politique complète à moins de la modifier ou de la remplacer par une politique distincte avec des actions autorisées, sinon toutes les AWS actions des comptes membres échoueront.

Taille maximale des SCP (politiques de contrôle des services)

Tous les caractères de votre SCP sont pris en compte dans le calcul de sa taille maximale. Les exemples présentés dans ce guide montrent les politiques SCP formatées avec des espaces supplémentaires pour une meilleure lisibilité. Toutefois, pour économiser de l'espace si la taille de votre politique approche de la taille maximale, vous pouvez supprimer les espaces, comme les espacements et les sauts de ligne qui ne figurent pas entre guillemets.

Astuce

Utilisez l'éditeur visuel pour créer votre politique de contrôle des services. Il supprime automatiquement les espaces superflus.

Attachement de SCP à différents niveaux de l'organisation

Pour en savoir plus sur le fonctionnement des SCP, consultez la rubrique Évaluation du SCP.

Effets des SCP sur les autorisations

Les SCP sont similaires aux politiques d'autorisation AWS Identity and Access Management (IAM) et utilisent presque la même syntaxe. Toutefois, une politique de contrôle des services n'accorde jamais d'autorisations. Les SCP sont plutôt des politiques JSON qui spécifient les autorisations maximales pour les utilisateurs IAM et les rôles IAM au sein de votre organisation. Pour de plus amples informations, consultez Logique d'évaluation des politiques dans le Guide de l'utilisateur IAM.

• Les SCP affectent uniquement les utilisateurs et les rôles IAM qui sont gérés par des comptes faisant partie de l'organisation. Les SCP n'affectent pas directement les politiques basées sur les ressources. Elles n'affectent pas les utilisateurs ni les rôles de comptes extérieurs à l'organisation. Par exemple, considérons un compartiment Amazon S3 détenu par le compte A d'une organisation. La politique du compartiment (politique basée sur une ressource) accorde l'accès aux utilisateurs du compte B qui est extérieur à l'organisation. Une politique SCP est attachée au compte A. Cette politique de contrôle des services ne s'applique pas aux utilisateurs externes du compte B. La politique de contrôle des services s'applique uniquement aux utilisateurs gérés par le compte A dans l'organisation.

• Une SCP limite les autorisations des utilisateurs et des rôles IAM dans les comptes membres, y compris l'utilisateur racine du compte membre. Chaque compte ne dispose que des autorisations octroyées par chaque parent au-dessus de lui. Si une autorisation est bloquée à n'importe quel niveau au-dessus du compte, implicitement (en n'étant pas incluse dans une instruction de politique Allow) ou explicitement (en étant incluse dans une instruction de politique Deny), un utilisateur ou un rôle figurant dans le compte concerné ne peut pas utiliser cette autorisation, même si l'administrateur du compte attache à l'utilisateur la politique IAM AdministratorAccess avec des autorisations */*.

• Les SCP affectent uniquement les comptes membres de l'organisation. Elles n'ont aucun effet sur les utilisateurs ou les rôles du compte de gestion.

• Les utilisateurs et les rôles doivent toujours se voir attribuer des autorisations avec les politiques d'autorisation IAM appropriées. Un utilisateur sans aucune politique d'autorisation IAM ne bénéficie d'aucun accès, même si les politiques SCP applicables autorisent tous les services et toutes les actions.

• Si un utilisateur ou un rôle dispose d'une politique d'autorisation IAM qui accorde l'accès à une action qui est également autorisée par les politiques SCP applicables, l'utilisateur ou le rôle peut effectuer cette action.

• Si un utilisateur ou un rôle dispose d'une politique d'autorisation IAM qui accorde l'accès à une action qui n'est pas autorisée ou qui est explicitement refusée par les politiques SCP applicables, l'utilisateur ou le rôle ne peut pas exécuter cette action.

• Les politiques SCP affectent tous les utilisateurs et les rôles figurant dans les comptes attachés, y compris l'utilisateur racine. Les seules exceptions sont celles décrites dans Tâches et entités non restreintes par les SCP.

• Les SCP n'affectent pas les rôles liés à un service. Les rôles liés aux services permettent à d'autres AWS services de s'intégrer aux SCP AWS Organizations et ne peuvent pas être restreints par ces derniers.

• Lorsque vous désactivez le type de politique SCP dans une racine, tous les SCP sont automatiquement détachés de toutes les AWS Organizations entités de cette racine. AWS Organizations les entités incluent les unités organisationnelles, les organisations et les comptes. Si vous activez de nouveau les politiques SCP dans une racine, cette dernière revient uniquement à la politique FullAWSAccess par défaut attachée automatiquement à toutes les entités figurant dans la racine. Tous les attachements de politiques SCP à des entités AWS Organizations réalisés avant la désactivation de ces politiques sont perdus et ne sont pas récupérables automatiquement, mais vous pouvez les attacher de nouveau manuellement.

• Si une limite d'autorisations (une fonctionnalité IAM avancée) et une politique de contrôle des services sont présentes, la limite, la politique de contrôle des services et la politique basée sur l'identité doivent toutes autoriser l'action.

Utilisation des données d'accès pour améliorer les politiques de contrôle des services (SCP)

Lorsque vous êtes connecté avec les informations d'identification du compte de gestion, vous pouvez consulter les données du dernier accès au service pour une AWS Organizations entité ou une politique dans la AWS Organizationssection de la console IAM. Vous pouvez également utiliser le AWS Command Line Interface (AWS CLI) ou l' AWS API dans IAM pour récupérer les dernières données du service auxquelles vous avez accédé. Ces données incluent des informations sur les services autorisés auxquels les utilisateurs et les rôles IAM d'un AWS Organizations compte ont tenté d'accéder pour la dernière fois et à quel moment. Elles vous permettent d'identifier toute autorisation non utilisée. Vous pouvez ainsi peaufiner vos SCP afin qu'elles respectent au plus près le principe du moindre privilège.

Par exemple, vous pouvez avoir une liste de refus SCP qui interdit l'accès à trois AWS services. Tous les services qui ne sont pas répertoriés dans l’instruction Deny de la SCP sont autorisés. Les données du dernier accès au service dans IAM vous indiquent quels AWS services sont autorisés par le SCP mais ne sont jamais utilisés. Ces informations vous permettent de mettre à jour la SCP pour refuser l'accès aux services dont vous n'avez pas besoin.

Pour plus d'informations, consultez les rubriques suivantes dans le Guide de l'utilisateur IAM :

• Affichage des dernières informations relatives aux services pour Organizations

• Using Data to Refine Permissions for an Organizational Unit (Utilisation des données pour affiner les autorisations d’une unité d’organisation)

Tâches et entités non restreintes par les SCP

Vous ne pouvez pas utiliser des SCP pour restreindre les tâches suivantes :

• Toute action effectuée par le compte de gestion

• Toute action réalisée à l'aide des autorisations attachées à un rôle lié à un service.

• Enregistrement pour le plan Enterprise Support en tant qu'utilisateur racine

• Modifier le niveau de AWS support en tant qu'utilisateur root

• Fournir des fonctionnalités de signature fiables pour le contenu CloudFront privé

• Configuration de DNS inverse pour un serveur de messagerie Amazon Lightsail et une instance Amazon EC2 en tant qu'utilisateur racine

• Tâches AWS relatives à certains services connexes :

  • Alexa Top Sites

  • Alexa Web Information Service

  • Amazon Mechanical Turk

  • API Amazon Product Marketing