Seleziona le tue preferenze relative ai cookie

Utilizziamo cookie essenziali e strumenti simili necessari per fornire il nostro sito e i nostri servizi. Utilizziamo i cookie prestazionali per raccogliere statistiche anonime in modo da poter capire come i clienti utilizzano il nostro sito e apportare miglioramenti. I cookie essenziali non possono essere disattivati, ma puoi fare clic su \"Personalizza\" o \"Rifiuta\" per rifiutare i cookie prestazionali.

Se sei d'accordo, AWS e le terze parti approvate utilizzeranno i cookie anche per fornire utili funzionalità del sito, ricordare le tue preferenze e visualizzare contenuti pertinenti, inclusa la pubblicità pertinente. Per continuare senza accettare questi cookie, fai clic su \"Continua\" o \"Rifiuta\". Per effettuare scelte più dettagliate o saperne di più, fai clic su \"Personalizza\".

Politiche di controllo del servizio (SCPs)

Modalità Focus
Politiche di controllo del servizio (SCPs) - AWS Organizations

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Le politiche di controllo dei servizi (SCPs) sono un tipo di politica organizzativa che è possibile utilizzare per gestire le autorizzazioni all'interno dell'organizzazione. SCPsoffrono il controllo centralizzato sulle autorizzazioni massime disponibili per gli IAM utenti e IAM i ruoli dell'organizzazione. SCPsti aiutano a garantire che i tuoi account rispettino le linee guida per il controllo degli accessi della tua organizzazione. SCPssono disponibili solo in un'organizzazione che ha tutte le funzionalità abilitate. SCPsnon sono disponibili se l'organizzazione ha abilitato solo le funzionalità di fatturazione consolidata. Per istruzioni sull'attivazioneSCPs, consulta. Abilitazione di un tipo di policy

SCPsnon concedete autorizzazioni agli IAM utenti e ai IAM ruoli della vostra organizzazione. Nessuna autorizzazione viene concessa da un. SCP An SCP definisce una barriera di autorizzazioni, o imposta dei limiti, alle azioni che gli IAM utenti e IAM i ruoli dell'organizzazione possono eseguire. Per concedere le autorizzazioni, l'amministratore deve allegare politiche per il controllo dell'accesso, ad esempio politiche basate sull'identità associate a IAM utenti e IAM ruoli e politiche basate sulle risorse allegate alle risorse degli account. Per ulteriori informazioni, consulta Politiche basate sull'identità e politiche basate sulle risorse nella Guida per l'utente. IAM

Le autorizzazioni effettive sono l'intersezione logica tra ciò che è consentito dalle politiche di controllo delle risorse (RCPs) SCP e ciò che è consentito dalle politiche basate sull'identità e sulle risorse.

SCPsnon influiscono sugli utenti o sui ruoli nell'account di gestione

SCPsnon influiscono sugli utenti o sui ruoli nell'account di gestione. Influiscono solo sugli account membri nell'organizzazione. Ciò significa che SCPs si applicano anche agli account dei membri designati come amministratori delegati.

Effetti dei test di SCPs

AWS ti consiglia vivamente di non dedicarti SCPs alla radice della tua organizzazione senza aver testato a fondo l'impatto che la politica ha sugli account. Piuttosto, crea una UO in cui puoi spostare uno alla volta i tuoi account o al massimo in piccole quantità, per accertarti di non escludere inavvertitamente degli utenti dai servizi chiave. Uno dei modi per determinare se un servizio è utilizzato da un account è esaminare i dati a cui il servizio ha effettuato l'ultimo accesso in IAM. Un altro metodo consiste nell'utilizzare AWS CloudTrail per registrare l'utilizzo del servizio a API livello locale.

Nota

Non dovresti rimuovere la ullAWSAccess politica F a meno che non la modifichi o la sostituisca con una politica separata con azioni consentite, altrimenti tutte le AWS azioni degli account dei membri falliranno.

Dimensione massima di SCPs

Tutti i caratteri inclusi nel SCP conteggio vengono calcolati rispetto alla dimensione massima. Gli esempi di questa guida mostrano la SCPs formattazione con spazio bianco aggiuntivo per migliorarne la leggibilità. Tuttavia, per risparmiare spazio se la dimensione della policy è prossima alla dimensione massima, puoi eliminare qualsiasi spazio vuoto, come i caratteri spazio e le interruzioni di linea che si trovano al di fuori delle virgolette.

Suggerimento

Usa l'editor visivo per creare il tuo. SCP Rimuove automaticamente lo spazio vuoto aggiuntivo.

Collegamento SCPs a diversi livelli dell'organizzazione

Per una spiegazione dettagliata del SCPs funzionamento, vedereValutazione SCP.

SCPeffetti sulle autorizzazioni

SCPssono simili alle politiche di AWS Identity and Access Management autorizzazione e utilizzano quasi la stessa sintassi. Tuttavia, SCP non concede mai le autorizzazioni. SCPsSono invece controlli di accesso che specificano le autorizzazioni massime disponibili per IAM gli utenti e IAM i ruoli dell'organizzazione. Per ulteriori informazioni, vedere Policy Evaluation Logic nella Guida per l'IAMutente.

  • SCPsriguardano solo IAM gli utenti e i ruoli gestiti da account che fanno parte dell'organizzazione. SCPsnon influiscono direttamente sulle politiche basate sulle risorse. Non influenzano gli utenti e i ruoli degli account al di fuori dell'organizzazione. Ad esempio, considera un bucket Amazon S3 che è di proprietà dell'account A in un'organizzazione. La policy del bucket (una policy basata su risorse) concede l'accesso agli utenti dell'account B al di fuori dell'organizzazione. L'account A ha un allegato. SCP Ciò SCP non si applica agli utenti esterni dell'account B. SCP Si applica solo agli utenti gestiti dall'account A nell'organizzazione.

  • An SCP limita le autorizzazioni per IAM gli utenti e i ruoli negli account dei membri, incluso l'utente root dell'account membro. Ogni account dispone solo delle autorizzazioni consentite da ogni padre al di sopra di esso. Se un'autorizzazione è bloccata a qualsiasi livello superiore a quello dell'account, implicitamente (non essendo inclusa in un'informativa Allow politica) o esplicitamente (essendo inclusa in un'informativa Deny politica), un utente o un ruolo nell'account interessato non può utilizzare tale autorizzazione, anche se l'amministratore dell'account attribuisce all'utente la AdministratorAccess IAM politica con le autorizzazioni */*.

  • SCPsriguardano solo gli account dei membri dell'organizzazione. Non hanno alcun effetto sugli utenti o sui ruoli nell'account di gestione. Ciò significa che SCPs si applicano anche agli account dei membri designati come amministratori delegati. Per ulteriori informazioni, consulta Best practice per l'account di gestione.

  • Agli utenti e ai ruoli devono ancora essere concesse le autorizzazioni con policy di autorizzazione IAM appropriate. Un utente senza alcuna politica di IAM autorizzazione non ha accesso, anche se l'applicabile SCPs consente tutti i servizi e tutte le azioni.

  • Se un utente o un ruolo dispone di una politica di IAM autorizzazione che concede l'accesso a un'azione consentita anche dal pertinenteSCPs, l'utente o il ruolo può eseguire tale azione.

  • Se un utente o un ruolo dispone di una politica di IAM autorizzazione che concede l'accesso a un'azione non consentita o esplicitamente negata dall'autorità applicabileSCPs, l'utente o il ruolo non può eseguire tale azione.

  • SCPsinfluiscono su tutti gli utenti e i ruoli negli account collegati, incluso l'utente root. Le uniche eccezioni sono quelle descritte in Attività ed entità non limitate da SCPs.

  • SCPsnon influiscono su alcun ruolo collegato al servizio. I ruoli collegati ai servizi consentono ad altri di Servizi AWS integrarsi AWS Organizations e non possono essere limitati da. SCPs

  • Quando si disabilita il tipo di SCP policy in una radice, tutte le entità in quella radice SCPs vengono automaticamente scollegate da tutte le AWS Organizations entità presenti in quella radice. AWS Organizations le entità includono unità organizzative, organizzazioni e account. Se si riattiva SCPs in una radice, tale radice ritorna solo alla FullAWSAccess politica predefinita allegata automaticamente a tutte le entità nella radice. Tutti gli allegati SCPs alle AWS Organizations entità precedentemente SCPs disattivate vengono persi e non sono recuperabili automaticamente, sebbene sia possibile ricollegarli manualmente.

  • Se SCP sono presenti sia un limite di autorizzazioni (una IAM funzionalità avanzata) sia un limite di autorizzazioni, allora il limite, la politica basata sull'SCPidentità devono tutti consentire l'azione.

Usare i dati di accesso per migliorare SCPs

Una volta effettuato l'accesso con le credenziali dell'account di gestione, è possibile visualizzare i dati dell'ultimo accesso al servizio per un' AWS Organizations entità o una politica nella AWS Organizationssezione della IAM console. Puoi anche utilizzare AWS Command Line Interface (AWS CLI) o AWS API in IAM per recuperare i dati dell'ultimo accesso al servizio. Questi dati includono informazioni su quali servizi consentiti a cui IAM gli utenti e i ruoli di un AWS Organizations account hanno tentato l'ultima volta di accedere e quando. È possibile utilizzare queste informazioni per identificare le autorizzazioni non utilizzate in modo da perfezionarle per aderire meglio SCPs al principio del privilegio minimo.

Ad esempio, potresti avere un elenco SCP di persone rifiutate che vieta l'accesso a tre persone. Servizi AWS Tutti i servizi che non sono elencati nella Deny dichiarazione sono SCP consentiti. I dati dell'ultimo accesso al servizio IAM indicano quali Servizi AWS sono consentiti da SCP ma non vengono mai utilizzati. Con queste informazioni, puoi aggiornarli SCP per negare l'accesso ai servizi che non ti servono.

Per ulteriori informazioni, consulta gli argomenti seguenti nella Guida per l'utenteIAM:

Attività ed entità non limitate da SCPs

Non è possibile utilizzare SCPs per limitare le seguenti attività:

  • Qualsiasi operazione eseguita dall'account di gestione

  • Qualsiasi operazione eseguita utilizzando le autorizzazioni collegate a un ruolo collegato ai servizi

  • Eseguire la registrazione per il piano di supporto Enterprise come utente root

  • Fornisci funzionalità di firmatario affidabile per i contenuti CloudFront privati

  • Configurazione inversa DNS per un server di posta elettronica Amazon Lightsail e un'istanza EC2 Amazon come utente root

  • Attività su alcuni servizi AWS correlati:

    • Alexa Top Sites

    • Alexa Web Information Service

    • Amazon Mechanical Turk

    • Marketing dei prodotti Amazon API

PrivacyCondizioni del sitoPreferenze cookie
© 2025, Amazon Web Services, Inc. o società affiliate. Tutti i diritti riservati.