Políticas de controle de serviço - AWS Organizations

Políticas de controle de serviço

As políticas de controle de serviço (SCPs) são um tipo de política que você pode usar para gerenciar sua organização. As SCPs oferecem controle central sobre o máximo disponível central permissões para todas as contas em sua organização, permitindo que você verifique suas contas permanecem dentro de sua organização diretrizes de controle de acesso. As SCPs estão disponíveis apenas em uma organização com todos os recursos habilitados. As SCPs não estarão disponíveis se sua organização tiver habilitado somente os recursos de faturamento consolidado. Para obter instruções sobre como habilitar SCPs, consulte Habilitar e desabilitar as SCPs.

As SCPs por si só não são suficientes para permitir o acesso nas contas da organização. Anexar uma SCP a uma entidade do AWS Organizations (raiz, UO ou conta) define uma proteção para quais ações os principais podem executar. Você ainda precisa anexar políticas baseadas em identidades ou em recursos a principais ou recursos nas contas da organização para realmente conceder permissões a eles. Quando um principal pertence a uma conta que é membro de uma organização, as SCPs contribuem para as permissões efetivasdo principal.

Teste de efeitos das SCPs

A AWS recomenda enfaticamente que você não anexe SCPs à raiz de sua organização sem testar totalmente o impacto que a política terá nas contas. Em vez disso, crie uma UO para a qual você possa mover suas contas, uma por vez, ou pelo menos em pequenas quantidades, para garantir que não seja possível bloquear acidentalmente usuários nos serviços principais. Uma forma de determinar se um serviço é usado por uma conta é examinar os últimos dados acessados pelo serviço no IAM. Outra forma é usar o AWS CloudTrail para registrar em log o uso do serviço no nível da API.

Tamanho máximo das SCPs

Todos os caracteres em sua conta de SCP contam em relação ao seu tamanho máximo. Os exemplos deste guia mostram as SCPs formatadas com espaço em branco adicional para melhorar a legibilidade. No entanto, para economizar espaço quando o tamanho da política se aproximar do tamanho máximo, é possível excluir todos os espaços em branco, como caracteres de espaço e quebras de linhas, que estiverem fora das aspas.

dica

Use o editor visual para criar sua SCP. Ele remove automaticamente os espaços em branco.

Efeitos sobre permissões

As SCPs são semelhantes às políticas de permissão do IAM e usam praticamente a mesma sintaxe. No entanto, uma SCP nunca concede permissões. Em vez disso, as SCPs são políticas JSON que especificam o número máximo de permissões para uma organização ou unidade organizacional (UO). Para obter mais informações, consulte Lógica de avaliação de políticas no Guia do usuário do IAM.

  • As SCPs afetam somente entidades principais que são gerenciadas por contas que fazem parte da organização. As SCPs não afetam diretamente as políticas baseadas em recursos. Elas também não afetam usuários ou funções de contas de fora da organização. Por exemplo, considere um bucket do Amazon S3 que é de propriedade da conta A em uma organização. A política de bucket (uma política baseada em recursos) concede acesso a usuários de contas de fora da organização. A conta A tem uma SCP anexada. Essa SCP não se aplica aos usuários externos. Ela se aplica somente aos usuários gerenciados pela conta A na organização.

  • Uma SCP restringe as permissões para principais em contas-membro, incluindo cada usuário raiz da conta da AWS Qualquer conta tem somente as permissões permitidas por cada pai acima dela. Se uma permissão for bloqueada em qualquer nível acima da conta, implicitamente (sem ser incluída em uma declaração de política Allow) ou explicitamente (estar incluída em uma declaração de política Deny), o usuário ou a função na conta afetada não poderá usar essa permissão, mesmo que o administrador da conta anexe a política do IAM AdministratorAccess com permissões */* ao usuário.

  • Os usuários e funções ainda devem receber permissões com as políticas de permissão do IAM adequadas. Um usuário sem nenhuma política de permissão do IAM não tem nenhum acesso, mesmo que as SCPs aplicáveis permitam todos os serviços e todas as ações.

  • Se um usuário ou função do tiver uma política de permissão do IAM que conceda acesso a uma ação que também é permitida pelas SCPs aplicáveis, o usuário ou a função poderá realizar essa ação.

  • Se um usuário ou função tiver uma política de permissão do IAM que conceda acesso a uma ação que não é permitida ou é explicitamente negada pelas SCPs aplicáveis, o usuário ou a função não poderá executar essa ação.

  • As SCPs afetam todos os usuários e funções em contas anexadas, incluindo o usuário raiz. As únicas exceções são aquelas descritas em Tarefas e entidades não restringidas por SCPs.

  • As SCPs não afetam qualquer função vinculada ao serviço. As funções vinculadas ao serviço permitem que outros serviços da AWS sejam integrados ao AWS Organizations e não podem ser restringidos pelas SCPs.

  • Quando você desativa o tipo de política da SCP em uma raiz, todas as SCPs são automaticamente desanexadas de todas as entidades do AWS Organizations nessa raiz. As entidades do AWS Organizations incluem unidades organizacionais, organizações e contas. Se você ativar novamente as SCPs em uma raiz, essa raiz só será revertida para a política padrão FullAWSAccess automaticamente anexada a todas as entidades na raiz. Todos os anexos de SCPs a entidades do AWS Organizations anteriores à desabilitação de SCPs são perdidos e não são recuperáveis automaticamente, embora você possa reanexá-los manualmente.

  • Se um limite de permissões (um recurso avançado do IAM) e uma SCP estiverem presentes, o limite, a SCP e a política baseada em identidade deverão permitir a ação.

Uso de dados de acesso para melhorar as SCPs

Quando conectado com as credenciais da conta mestra, você pode visualizar os dados de serviços acessados mais recentemente para uma entidade ou política do AWS Organizations na seção AWS Organizations do console do IAM. Você também pode usar a AWS CLI ou a API da AWS no IAM para recuperar dados de serviços acessados mais recentemente. Esses dados incluem informações sobre quais serviços permitidos as entidades principais em uma conta do AWS Organizations tentaram acessar mais recentemente e quando. Você pode usar essas informações para identificar permissões desnecessárias, de forma que possa refinar suas SPCs para melhor aderir ao princípio de privilégio mínimo.

Por exemplo, você pode ter uma SCP de lista de negações que impede o acesso a três serviços da AWS. Todos os serviços que não são listados na declaração Deny da SCP são permitidos. Os dados de serviços acessados mais recentemente no IAM mostram os serviços da AWS que são permitidos pela SCP, mas nunca são usados. Com essas informações, você pode atualizar a SCP para negar o acesso a serviços desnecessários.

Para obter mais informações, consulte as páginas a seguir no Guia do usuário do IAM:

Tarefas e entidades não restringidas por SCPs

As seguintes tarefas e entidades do AWS Organizations não são restringidas por SCPs:

  • Ações executadas pela conta mestra.

  • Qualquer ação executada usando permissões que são anexadas a uma função vinculada ao serviço.

  • Gerenciamento de credenciais de raiz. Não importa quais SCPs estão anexadas, o usuário raiz em uma conta sempre pode fazer o seguinte:

    • Alteração da senha do usuário raiz

    • Criação, atualização ou exclusão de chaves de acesso raiz

      nota

      Para todas as contas criadas após 15 de setembro de 2017, você pode usar as SCPs para impedir que o usuário raiz nas contas-membro gerencie as chaves de acesso de usuário raiz. No entanto, para algumas contas criadas antes de 15/9/2017, as SCPs não impedem que o usuário raiz da conta-membro crie, atualize ou exclua as chaves de acesso do usuário raiz. Por isso, recomendamos que você não confie em SCPs para tentar restringir essa operação, a menos que tenha certeza de que a conta foi criada após essa data.

    • Ativação ou desativação de uma autenticação multifator no usuário raiz

    • Criação, atualização ou exclusão de chaves x.509 para o usuário raiz

  • Registro no plano de Suporte empresarial como o usuário raiz

  • Alteração do nível de suporte da AWS como o usuário raiz

  • Gerenciar chaves do Amazon CloudFront

  • Funcionalidade de assinante confiável para conteúdo privado do CloudFront

  • Modificar o DNS de provisão/reversão de e-mail de conta da AWS

  • Executar tarefas em alguns serviços relacionados à AWS:

    • Alexa Top Sites

    • Alexa Web Information Service

    • Amazon Mechanical Turk

    • API de marketing de produtos da Amazon