Kebijakan Pengendalian Layanan (SCPs)

Kebijakan kontrol layanan (SCP) adalah jenis kebijakan organisasi yang dapat Anda gunakan untuk mengelola izin dalam organisasi Anda. SCP menawarkan kontrol pusat atas izin maksimum yang tersedia untuk pengguna IAM dan peran IAM di organisasi Anda. SCP membantu Anda memastikan akun tetap berada dalam pedoman kontrol akses organisasi Anda. SCP hanya tersedia dalam organisasi yang mengaktifkan semua fitur. SCP tidak tersedia jika organisasi Anda hanya mengaktifkan fitur tagihan terkonsolidasi. Untuk petunjuk tentang cara mengaktifkan SCP, lihat Mengaktifkan dan menonaktifkan jenis kebijakan.

SCP tidak memberikan izin kepada pengguna IAM dan peran IAM di organisasi Anda. Tidak ada izin yang diberikan oleh SCP. SCP mendefinisikan pagar pembatas izin, atau menetapkan batasan, pada tindakan yang dapat dilakukan oleh pengguna IAM dan peran IAM di organisasi Anda. Untuk memberikan izin, administrator harus melampirkan kebijakan untuk mengontrol akses, seperti kebijakan berbasis identitas yang dilampirkan ke pengguna IAM dan peran IAM, serta kebijakan berbasis sumber daya yang dilampirkan ke sumber daya di akun Anda. Izin efektif adalah persimpangan logis antara apa yang diizinkan oleh SCP dan apa yang diizinkan oleh identitas dan kebijakan berbasis sumber daya.

penting

SCP tidak memengaruhi pengguna atau peran dalam akun pengelolaan. SCP tersebut hanya mempengaruhi akun anggota di organisasi Anda.

Topik

• Pengujian efek SCP
• Ukuran maksimum SCP
• Melampirkan SCP ke berbagai tingkatan dalam organisasi
• Efek SCP pada izin
• Menggunakan data akses untuk meningkatkan SCP
• Tugas dan entitas yang tidak dibatasi oleh SCP
• Membuat, memperbarui, dan menghapus kebijakan kontrol layanan
• Melampirkan dan melepaskan kebijakan kontrol layanan
• Evaluasi SCP
• Sintaksis SCP
• Contoh kebijakan kontrol layanan

Pengujian efek SCP

AWS sangat menyarankan agar Anda tidak melampirkan SCP ke akar organisasi Anda tanpa menguji secara menyeluruh dampak kebijakan terhadap akun. Sebaliknya, buat OU yang dapat Anda gunakan sebagai tempat untuk memindahkan akun Anda ke sana satu per satu, atau setidaknya dalam jumlah kecil, untuk memastikan bahwa Anda tidak mengunci pengguna dari layanan utama dengan tidak sengaja. Salah satu cara untuk menentukan apakah layanan digunakan oleh akun adalah dengan memeriksa layanan data terakhir yang diakses di IAM. Cara lain adalah dengan AWS CloudTrail menggunakan log penggunaan layanan di tingkat API.

catatan

Anda tidak boleh menghapus AWSAccess kebijakan Lengkap kecuali Anda memodifikasi atau menggantinya dengan kebijakan terpisah dengan tindakan yang diizinkan, jika tidak semua AWS tindakan dari akun anggota akan gagal.

Ukuran maksimum SCP

Semua karakter dalam hitungan SCP Anda terhadap ukuran maksimum-nya. Contoh dalam panduan ini menunjukkan SCP yang diformat dengan spasi kosong ekstra untuk meningkatkan keterbacaannya. Namun, untuk menghemat ruang jika ukuran kebijakan Anda mendekati ukuran maksimum, maka Anda dapat menghapus spasi kosong, seperti spasi karakter dan baris putus yang berada di luar tanda kutip.

Tip

Gunakan editor visual untuk membangun SCP Anda. Ia secara otomatis menghilangkan spasi kosong.

Melampirkan SCP ke berbagai tingkatan dalam organisasi

Untuk penjelasan rinci tentang cara kerja SCP, lihatEvaluasi SCP.

Efek SCP pada izin

SCP mirip dengan kebijakan izin AWS Identity and Access Management (IAM) dan menggunakan sintaks yang hampir sama. Namun, SCP tidak pernah memberikan izin. Sebagai gantinya, SCP adalah kebijakan JSON yang menentukan izin maksimum untuk pengguna IAM dan peran IAM di organisasi Anda. Untuk informasi selengkapnya, lihat: Logika evaluasi Kebijakan di Panduan Pengguna IAM.

• SCP hanya mempengaruhi pengguna dan peran IAM yang dikelola oleh akun yang merupakan bagian dari organisasi. SCP tidak mempengaruhi kebijakan berbasis sumber daya secara langsung. Mereka juga tidak memengaruhi pengguna atau peran dari akun di luar organisasi. Sebagai contoh, pertimbangkan bucket Amazon S3 yang dimiliki oleh akun A dalam sebuah organisasi. Kebijakan bucket (kebijakan berbasis sumber daya) memberikan akses ke pengguna dari akun B di luar organisasi. Akun A memiliki SCP terlampir. SCP itu tidak berlaku untuk pengguna luar di akun B. SCP hanya berlaku untuk pengguna yang dikelola oleh akun A dalam organisasi itu.

• SCP membatasi izin untuk pengguna dan peran IAM dalam akun anggota, termasuk pengguna akun anggota. Setiap akun hanya memiliki izin yang diizinkan oleh setiap induk di atasnya. Jika izin diblokir pada tingkat manapun yang ada di atas akun, baik secara implisit (dengan tidak disertakan dalam pernyataan kebijakan Allow) atau secara eksplisit (dengan dimasukkan dalam Deny), pengguna atau peran dalam akun yang terpengaruh tidak dapat menggunakan izin tersebut, meskipun administrator akun melampirkan kebijakan IAM AdministratorAccess dengan izin */* untuk pengguna.

• SCP tersebut hanya mempengaruhi akun anggota di organisasi. Mereka tidak berpengaruh pada pengguna atau peran dalam akun pengelolaan.

• Pengguna dan peran masih harus diberikan izin dengan kebijakan izin IAM yang sesuai. Pengguna tanpa kebijakan izin IAM tidak memiliki akses, bahkan jika SCP yang berlaku mengizinkan semua layanan dan semua tindakan.

• Jika pengguna atau peran memiliki kebijakan izin IAM yang memberikan akses pada tindakan yang juga diizinkan oleh SCP yang berlaku, maka pengguna atau peran dapat melakukan tindakan tersebut.

• Jika pengguna atau peran memiliki kebijakan izin IAM yang memberikan akses pada tindakan yang tidak diizinkan atau secara eksplisit ditolak oleh SCP yang berlaku, maka pengguna atau peran tidak dapat melakukan tindakan tersebut.

• SCP mempengaruhi semua pengguna dan peran dalam akun terlampir, termasuk pengguna akar. Satu-satunya pengecualian adalah yang diterangkan dalam Tugas dan entitas yang tidak dibatasi oleh SCP.

• SCP tidak mempengaruhi peran terkait layanan. Peran terkait layanan memungkinkan AWS layanan lain untuk diintegrasikan AWS Organizations dan tidak dapat dibatasi oleh SCP.

• Saat Anda menonaktifkan jenis kebijakan SCP di root, semua SCP secara otomatis terlepas dari semua AWS Organizations entitas di root tersebut. AWS Organizations entitas termasuk unit organisasi, organisasi, dan akun. Jika Anda mengaktifkan kembali SCP di sebuah akar, maka akar itu kembali ke kebijakan FullAWSAccess default saja yang secara otomatis dilampirkan ke semua entitas di akar. Lampiran SCP apa pun ke entitas AWS Organizations sebelum SCP dinonaktifkan hilang dan tidak dapat dipulihkan secara otomatis, meskipun Anda dapat melampirkannya kembali secara manual.

• Jika batas izin (fitur IAM lanjutan) dan SCP ada, maka batas tersebut, SCP, dan kebijakan berbasis identitas semuanya harus mengizinkan tindakan.

Menggunakan data akses untuk meningkatkan SCP

Saat masuk dengan kredenal akun manajemen, Anda dapat melihat data layanan yang terakhir diakses untuk AWS Organizations entitas atau kebijakan di AWS Organizationsbagian konsol IAM. Anda juga dapat menggunakan AWS Command Line Interface (AWS CLI) atau AWS API di IAM untuk mengambil data layanan yang terakhir diakses. Data ini mencakup informasi tentang layanan yang memungkinkan pengguna IAM dan peran dalam AWS Organizations akun terakhir mencoba untuk mengakses dan kapan. Anda dapat menggunakan informasi ini untuk mengidentifikasi izin yang tidak digunakan sehingga Anda dapat menyempurnakan SCP Anda agar lebih mematuhi prinsip hak istimewa terkecil.

Misalnya, Anda mungkin memiliki daftar penolakan SCP yang melarang akses ke tiga AWS layanan. Semua layanan yang tidak tercantum di pernyataan Deny SCP diperbolehkan. Layanan data yang terakhir diakses di IAM memberi tahu Anda AWS layanan mana yang diizinkan oleh SCP tetapi tidak pernah digunakan. Dengan informasi tersebut, Anda dapat memperbarui SCP untuk menolak akses ke layanan yang tidak Anda butuhkan.

Untuk informasi selengkapnya, lihat topik berikut di Panduan Pengguna IAM:

• Melihat Layanan Organizations Data Terakhir yang Diakses untuk Organizations

• Menggunakan Data untuk Memperbaiki Izin untuk Unit Organisasi

Tugas dan entitas yang tidak dibatasi oleh SCP

Anda tidak dapat menggunakan SCP untuk membatasi tugas berikut:

• Setiap tindakan yang dilakukan oleh akun pengelolaan

• Tindakan apa pun yang dilakukan menggunakan izin yang dilampirkan pada peran yang terkait layanan

• Mendaftar untuk paket support Korporasi sebagai pengguna akar

• Ubah level AWS dukungan sebagai pengguna root

• Menyediakan fungsionalitas penandatangan tepercaya untuk konten CloudFront pribadi

• Konfigurasikan DNS terbalik untuk server email Amazon Lightsail dan instans Amazon EC2 sebagai pengguna root

• Tugas pada beberapa layanan AWS terkait:

  • Alexa Top Sites

  • Alexa Web Information Service

  • Amazon Mechanical Turk

  • API Pemasaran Produk Amazon