AWS Organizations
Guia do usuário

Políticas de controle de serviço

As políticas de controle de serviço (SCPs) são um tipo de política que você pode usar para gerenciar sua organização. As SCPs oferecem controle central sobre o máximo disponível central permissões para todas as contas em sua organização, permitindo que você verifique suas contas permanecem dentro de sua organização diretrizes de controle de acesso. As SCPs estão disponíveis apenas em uma organização com todos os recursos habilitados. As SCPs não estarão disponíveis se sua organização tiver habilitado somente os recursos de faturamento consolidado. Para obter instruções sobre como habilitar SCPs, consulte Habilitação e desabilitação de um tipo de política em uma raiz.

As SCPs são necessárias, mas não suficientes para conceder acesso nas contas de sua organização. A anexação de uma SCP à raiz da organização ou a uma unidade organizacional (UO) define uma proteção para ações as contas dentro da organização raiz ou UO podem realizar. Você ainda precisa anexar Políticas do IAM a usuários e funções nas contas de sua organização para realmente conceder permissões a eles. Se uma SCP estiver presente, as políticas baseadas em identidade e baseadas em recurso concederão permissões para entidades somente se essas políticas e a SCP permitirem a ação. Se um limite de permissões (um recurso avançado do IAM) e uma SCP estiverem presentes, o limite, a SCP e a política baseada em identidade deverão permitir a ação. Para obter mais informações, consulte Lógica de avaliação de políticas no Guia do usuário do IAM.

Teste de efeitos de SCPs

A AWS recomenda enfaticamente que você não anexe SCPs à raiz de sua organização sem testar totalmente o impacto que a política terá nas contas. Em vez disso, crie uma UO para a qual você possa mover suas contas, uma por vez, ou pelo menos em pequenas quantidades, para garantir que não seja possível bloquear acidentalmente usuários nos serviços principais. Uma forma de determinar se um serviço é usado por uma conta é examinar os últimos dados acessados pelo serviço no IAM. Outra forma é usar o AWS CloudTrail para registrar em log o uso do serviço no nível da API.

Limite de tamanho da SCP

Todos os caracteres em sua SCP contam como seu limite de tamanho. Os exemplos deste guia mostram as SCPs formatadas com espaço em branco adicional para melhorar a legibilidade. No entanto, para economizar espaço quando o tamanho da política se aproximar do limite, você pode excluir todos os espaços em branco, como caracteres de espaço e quebras de linhas, que estiverem fora das aspas.

dica

Use o editor visual para criar sua SCP. Ele remove automaticamente os espaços em branco.

Efeitos sobre permissões

As SCPs são semelhantes às políticas de permissão do IAM e usam praticamente a mesma sintaxe. No entanto, uma SCP nunca concede permissões. Em vez disso, as SCPs são políticas JSON que especificam o número máximo de permissões para uma organização ou unidade organizacional (UO). Observe o seguinte:

  • Uma SCP limita as permissões para entidades em contas-membro, incluindo cada usuário raiz da conta da AWS Qualquer conta tem somente as permissões permitidas por cada pai acima dela. Se uma permissão for bloqueada em qualquer nível acima da conta, implicitamente (sem ser incluída em uma declaração de política Allow) ou explicitamente (estar incluída em uma declaração de política Deny), o usuário ou a função na conta afetada não poderá usar essa permissão, mesmo que o administrador da conta anexe a política do IAM AdministratorAccess com permissões */* ao usuário.

  • Os usuários e funções ainda devem receber permissões com as políticas de permissão do IAM adequadas. Um usuário sem nenhuma política de permissão do IAM não tem nenhum acesso, mesmo que as SCPs aplicáveis permitam todos os serviços e todas as ações.

  • Se um usuário ou função do tiver uma política de permissão do IAM que conceda acesso a uma ação que também é permitida pelas SCPs aplicáveis, o usuário ou a função poderá realizar essa ação.

  • Se um usuário ou função tiver uma política de permissão do IAM que conceda acesso a uma ação que não é permitida ou é explicitamente negada pelas SCPs aplicáveis, o usuário ou a função não poderá executar essa ação.

  • As SCPs afetam todos os usuários e funções em contas anexadas, incluindo o usuário raiz. As únicas exceções são aquelas descritas na seguinte lista de tarefas que não são afetadas e não podem ser restritas usando SCPs.

  • As SCPs não afetam qualquer função vinculada ao serviço. As funções vinculadas ao serviço permitem que outros serviços da AWS sejam integrados ao AWS Organizations e não podem ser restringidos pelas SCPs.

  • As SCPs afetam somente entidades principais que são gerenciadas por contas que fazem parte da organização. Elas não afetam usuários ou funções de contas de fora da organização. Por exemplo, considere um bucket do Amazon S3 que é de propriedade da conta A em uma organização. A política de bucket concede acesso a usuários de contas fora da organização. A conta A tem uma SCP anexada. Essa SCP não se aplica aos usuários externos. Ela se aplica somente aos usuários gerenciados pela conta A na organização.

  • Quando você desativa o tipo de política SCP em uma raiz, todas as SCPs são automaticamente desconectadas de todas as entidades na raiz. Se você ativar novamente as SCPs em uma raiz, essa raiz só será revertida para a política padrão FullAWSAccess automaticamente anexada a todas as entidades na raiz. Todos os anexos de SCPs a entidades anteriores à desabilitação de SCPs são perdidos e não são recuperáveis automaticamente, embora você possa reanexá-los manualmente.

Uso de dados de acesso para melhorar SCPs

Quando conectado com as credenciais da conta mestra, você pode visualizar os dados de serviços acessados mais recentemente para uma entidade ou política do AWS Organizations na seção AWS Organizations do console do IAM. Você também pode usar a AWS CLI ou a API da AWS no IAM para recuperar dados de serviços acessados mais recentemente. Esses dados incluem informações sobre quais serviços permitidos as entidades principais em uma conta do AWS Organizations tentaram acessar mais recentemente e quando. Você pode usar essas informações para identificar permissões desnecessárias, de forma que possa refinar suas SPCs para melhor aderir ao princípio de privilégio mínimo.

Por exemplo, você pode ter uma SCP de lista de negações que impede o acesso a três serviços da AWS. Todos os serviços que não são listados na declaração Deny da SCP são permitidos. Os dados de serviços acessados mais recentemente no IAM mostram os serviços da AWS que são permitidos pela SCP, mas nunca são usados. Com essas informações, você pode atualizar a SCP para negar o acesso a serviços desnecessários.

Para obter mais informações, consulte as páginas a seguir no Guia do usuário do IAM:

Tarefas e entidades não restringidas por SCPs

As seguintes tarefas e entidades não são restringidas por SCPs:

  • Ações executadas pela conta mestra.

  • Qualquer ação executada usando permissões que são anexadas a uma função vinculada ao serviço.

  • Gerenciamento de credenciais de raiz. Não importa quais SCPs estão anexadas, o usuário raiz em uma conta sempre pode fazer o seguinte:

    • Alteração da senha do usuário raiz

    • Criação, atualização ou exclusão de chaves de acesso raiz

    • Ativação ou desativação de uma autenticação multifator no usuário raiz

    • Criação, atualização ou exclusão de chaves x.509 para o usuário raiz

  • Registro no plano de Suporte empresarial como o usuário raiz

  • Alteração do nível de suporte da AWS como o usuário raiz

  • Gerenciar chaves do Amazon CloudFront

  • Funcionalidade de assinante confiável para conteúdo privado do CloudFront

  • Modificar o DNS de provisão/reversão de e-mail de conta da AWS

  • Executar tarefas em alguns serviços relacionados à AWS:

    • Alexa Top Sites

    • Alexa Web Information Service

    • Amazon Mechanical Turk

    • API de marketing de produtos da Amazon