Políticas de controle de serviço (SCPs) - AWS Organizations

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Políticas de controle de serviço (SCPs)

As políticas de controle de serviço (SCPs) são um tipo de política organizacional que você pode usar para gerenciar permissões na sua organização. As SCPs oferecem controle central sobre as permissões máximas disponíveis para todas as contas da organização. As SCPs ajudam você a garantir que as suas contas permaneçam dentro das diretrizes de controle de acesso da sua organização.

As SCPs estão disponíveis apenas em uma organização com todos os recursos habilitados. As SCPs não estarão disponíveis se sua organização tiver habilitado somente os recursos de faturamento consolidado. Para obter instruções sobre como habilitar SCPs, consulte Habilitar e desabilitar tipos de política.

As SCPs por si só não são suficientes para conceder permissões às contas de sua organização. Nenhuma permissão é concedida por uma SCP. Uma SCP define uma proteção, ou define limites, nas ações que o administrador da conta pode delegar aos usuários e funções do IAM nas contas afetadas. O administrador ainda deve anexar políticas baseadas em identidade ou em recurso para usuários ou funções do IAM ou para os recursos em suas contas para conceder permissões. As permissões em vigor são a interseção lógica entre o que é permitido pela SCP e o que é permitido pelo IAM e as políticas baseadas em recursos.

Importante

SCPs não afetam usuários ou funções na conta de gerenciamento. Elas afetam apenas as contas-membro de sua organização.

Teste de efeitos das SCPs

A AWS recomenda enfaticamente que você não anexe SCPs à raiz de sua organização sem testar totalmente o impacto que a política terá nas contas. Em vez disso, crie uma UO para a qual você possa mover suas contas, uma por vez, ou pelo menos em pequenas quantidades, para garantir que não seja possível bloquear acidentalmente usuários nos serviços principais. Uma forma de determinar se um serviço é usado por uma conta é examinar os últimos dados acessados pelo serviço no IAM. Outra forma é usar o AWS CloudTrail para registrar em log o uso do serviço no nível da API.

nota

Você não deve remover a AWSAccess política completa, a menos que a modifique ou substitua por uma política separada com ações permitidas, caso contrário, todas as AWS ações das contas dos membros falharão.

Tamanho máximo das SCPs

Todos os caracteres em sua conta de SCP contam em relação ao seu tamanho máximo. Os exemplos deste guia mostram as SCPs formatadas com espaço em branco adicional para melhorar a legibilidade. No entanto, para economizar espaço quando o tamanho da política se aproximar do tamanho máximo, é possível excluir todos os espaços em branco, como caracteres de espaço e quebras de linhas, que estiverem fora das aspas.

dica

Use o editor visual para criar sua SCP. Ele remove automaticamente os espaços em branco.

Vinculando SCPs a diferentes níveis da organização

Para uma explicação detalhada de como os SCPs funcionam, consulte Avaliação do SCP

Efeitos de SCP sobre permissões

SCPs são semelhantes às políticas de permissão do AWS Identity and Access Management (IAM) e usam praticamente a mesma sintaxe. No entanto, uma SCP nunca concede permissões. SCPs são políticas JSON que especificam o número máximo de permissões para as contas afetadas. Para obter mais informações, consulte Lógica da avaliação de políticas no Guia do usuário do IAM.

  • As SCPs afetam usuários e funções do IAM que são gerenciadas por contas que fazem parte da organização. As SCPs não afetam diretamente as políticas baseadas em recursos. Elas também não afetam usuários ou funções de contas de fora da organização. Por exemplo, considere um bucket do Amazon S3; que é de propriedade da conta A em uma organização. A política de bucket (uma política baseada em recursos) concede acesso a usuários da conta B fora da organização. A conta A tem uma SCP anexada. Essa SCP não se aplica aos usuários externos na conta B. A SCP se aplica somente aos usuários gerenciados pela conta A na organização.

  • Uma SCP restringe as permissões para usuários e funções do IAM em contas-membro, incluindo o usuário-raiz da conta-membro. Qualquer conta tem somente as permissões permitidas por cada pai acima dela. Se uma permissão for bloqueada em qualquer nível acima da conta, implicitamente (sem ser incluída em uma declaração de política Allow) ou explicitamente (estar incluída em uma declaração de política Deny), o usuário ou a função na conta afetada não poderá usar essa permissão, mesmo que o administrador da conta anexe a política do IAM AdministratorAccess com permissões */* ao usuário.

  • SCPs afetam apenas as contas-membro em sua organização. Eles não têm efeito sobre os usuários ou funções na conta de gerenciamento.

  • Os usuários e funções ainda devem receber permissões com as políticas de permissão do IAM apropriadas. Um usuário sem nenhuma política de permissão do IAM não tem acesso, mesmo que as SCPs aplicáveis permitam todos os serviços e todas as ações.

  • Se um usuário ou função tiver uma política de permissão do IAM que conceda acesso a uma ação que também é permitida pelas SCPs aplicáveis, o usuário ou a função poderá realizar essa ação.

  • Se um usuário ou função tiver uma política de permissão do IAM que conceda acesso a uma ação que não é permitida ou é explicitamente negada pelas SCPs aplicáveis, o usuário ou a função não poderá executar essa ação.

  • As SCPs afetam todos os usuários e funções em contas anexadas, incluindo o usuário raiz. As únicas exceções são aquelas descritas em Tarefas e entidades não restringidas por SCPs.

  • As SCPs não afetam qualquer função vinculada ao serviço. As funções vinculadas ao serviço permitem que outros serviços da AWS sejam integrados ao AWS Organizations e não podem ser restringidos pelas SCPs.

  • Quando você desativa o tipo de política da SCP em uma raiz, todas as SCPs são automaticamente desanexadas de todas as entidades do AWS Organizations nessa raiz. As entidades do AWS Organizations incluem unidades organizacionais, organizações e contas. Se você ativar novamente as SCPs em uma raiz, essa raiz só será revertida para a política padrão FullAWSAccess automaticamente anexada a todas as entidades na raiz. Todos os anexos de SCPs a entidades do AWS Organizations anteriores à desabilitação de SCPs são perdidos e não são recuperáveis automaticamente, embora você possa reanexá-los manualmente.

  • Se um limite de permissões (um recurso avançado do IAM) e uma SCP estiverem presentes, o limite, a SCP e a política baseada em identidade deverão permitir a ação.

Uso de dados de acesso para melhorar as SCPs

Quando conectado com as credenciais da conta de gerenciamento, você pode visualizar os dados de serviços acessados mais recentemente para uma entidade ou política do AWS Organizations na seção AWS Organizations do console do IAM. Você também pode usar a AWS Command Line Interface (AWS CLI) ou a API da AWS no IAM para recuperar dados de serviços acessados mais recentemente. Esses dados incluem informações sobre os serviços permitidos que os usuários e funções do IAM em uma conta do AWS Organizations tentaram acessar mais recentemente e quando. Você pode usar essas informações para identificar permissões não usadas, de forma que possa refinar suas SCPs para melhor aderir ao princípio de privilégio mínimo.

Por exemplo, você pode ter uma SCP de lista de negações que impede o acesso a três serviços da AWS. Todos os serviços que não são listados na declaração Deny da SCP são permitidos. Os dados de serviços acessados mais recentemente no IAM mostram os serviços da AWS que são permitidos pela SCP, mas nunca são usados. Com essas informações, você pode atualizar a SCP para negar o acesso a serviços desnecessários.

Para obter mais informações, consulte os seguintes tópicos no Guia do usuário do IAM:

Tarefas e entidades não restringidas por SCPs

Você não pode usar SCPs para restringir as seguintes tarefas:

  • Qualquer ação executada pela conta de gerenciamento

  • Qualquer ação executada usando permissões que são anexadas a uma função vinculada ao serviço

  • Registrar-se no plano Enterprise Support como o usuário raiz

  • Alterar o nível de suporte da AWS como o usuário raiz

  • Forneça funcionalidade de assinante confiável para conteúdo CloudFront privado

  • Configurar DNS reverso para um servidor de e-mail do Amazon Lightsail e uma instância do Amazon EC2 como o usuário-raiz

  • Executar tarefas em alguns serviços relacionados à AWS:

    • Alexa Top Sites

    • Alexa Web Information Service

    • Amazon Mechanical Turk

    • API de marketing de produtos da Amazon