Selecione suas preferências de cookies

Usamos cookies essenciais e ferramentas semelhantes que são necessárias para fornecer nosso site e serviços. Usamos cookies de desempenho para coletar estatísticas anônimas, para que possamos entender como os clientes usam nosso site e fazer as devidas melhorias. Cookies essenciais não podem ser desativados, mas você pode clicar em “Personalizar” ou “Recusar” para recusar cookies de desempenho.

Se você concordar, a AWS e terceiros aprovados também usarão cookies para fornecer recursos úteis do site, lembrar suas preferências e exibir conteúdo relevante, incluindo publicidade relevante. Para aceitar ou recusar todos os cookies não essenciais, clique em “Aceitar” ou “Recusar”. Para fazer escolhas mais detalhadas, clique em “Personalizar”.

Preferências
Entre em contato conosco
Feedback
AWS Documentation
Crie uma conta da AWS

Políticas de controle de serviços (SCPs)

PDF
RSS
Modo de foco
Políticas de controle de serviços (SCPs) - AWS Organizations
Testando os efeitos do SCPsTamanho máximo de SCPsVinculando-se SCPs a diferentes níveis da organizaçãoEfeitos de SCP sobre permissõesUsando dados de acesso para melhorar SCPsTarefas e entidades não restritas por SCPs

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

As políticas de controle de serviço (SCPs) são um tipo de política organizacional que você pode usar para gerenciar permissões em sua organização. SCPs ofereça controle central sobre o máximo de permissões disponíveis para os usuários do IAM e as funções do IAM em sua organização. SCPs ajudam você a garantir que suas contas permaneçam dentro das diretrizes de controle de acesso da sua organização. SCPsestão disponíveis somente em uma organização que tenha todos os recursos habilitados. SCPs não estão disponíveis se sua organização tiver ativado somente os recursos de cobrança consolidada. Para obter instruções sobre como habilitar SCPs, consulteHabilitação de um tipo de política.

SCPs não conceda permissões aos usuários do IAM e às funções do IAM em sua organização. Nenhuma permissão é concedida por uma SCP. Uma SCP define uma barreira de proteção de permissões — ou define limites — nas ações que os usuários e perfis do IAM em sua organização podem realizar. Para conceder permissões, o administrador deve vincular políticas para controlar o acesso, como políticas baseadas em identidade que são anexadas a usuários e perfis do IAM, e políticas baseadas em recursos que estão vinculadas aos recursos em suas contas. Para obter mais informações, consulte Políticas baseadas em identidade e em recurso no Guia do usuário do IAM.

As permissões efetivas são a interseção lógica entre o que é permitido pelo SCP e pelas políticas de controle de recursos (RCPs) e o que é permitido pelas políticas baseadas em identidade e recursos.

SCPs não afetam usuários ou funções na conta de gerenciamento

SCPs não afetam usuários ou funções na conta de gerenciamento. Elas afetam apenas as contas-membro de sua organização. Isso também significa que SCPs se aplicam às contas de membros designadas como administradores delegados.

Tópicos

Testando os efeitos do SCPs

AWS recomenda fortemente que você não se vincule SCPs à raiz da sua organização sem testar minuciosamente o impacto que a política tem nas contas. Em vez disso, crie uma UO para a qual você possa mover suas contas, uma por vez, ou pelo menos em pequenas quantidades, para garantir que não seja possível bloquear acidentalmente usuários nos serviços principais. Uma forma de determinar se um serviço é usado por uma conta é examinar os últimos dados acessados pelo serviço no IAM. Outra forma é usar AWS CloudTrail para registrar o uso do serviço no nível da API.

nota

Você não deve remover a AWSAccess política completa, a menos que a modifique ou substitua por uma política separada com ações permitidas, caso contrário, todas as AWS ações das contas dos membros falharão.

Tamanho máximo de SCPs

Todos os caracteres em sua conta de SCP contam em relação ao seu tamanho máximo. Os exemplos deste guia mostram o SCPs formato com espaço em branco extra para melhorar sua legibilidade. No entanto, para economizar espaço quando o tamanho da política se aproximar do tamanho máximo, é possível excluir todos os espaços em branco, como caracteres de espaço e quebras de linhas, que estiverem fora das aspas.

dica

Use o editor visual para criar sua SCP. Ele remove automaticamente os espaços em branco.

Vinculando-se SCPs a diferentes níveis da organização

Para obter uma explicação detalhada de como SCPs funciona, consulteAvaliação do SCP.

Efeitos de SCP sobre permissões

SCPs são semelhantes às políticas de AWS Identity and Access Management permissão e usam quase a mesma sintaxe. No entanto, uma SCP nunca concede permissões. Em vez disso, SCPs são controles de acesso que especificam o máximo de permissões disponíveis para os usuários do IAM e as funções do IAM na sua organização. Para obter mais informações, consulte Lógica da avaliação de políticas no Guia do usuário do IAM.

  • SCPs afetam somente usuários e funções do IAM que são gerenciados por contas que fazem parte da organização. SCPs não afetam diretamente as políticas baseadas em recursos. Elas também não afetam usuários ou funções de contas de fora da organização. Por exemplo, considere um bucket do Amazon S3; que é de propriedade da conta A em uma organização. A política de bucket (uma política baseada em recursos) concede acesso a usuários da conta B fora da organização. A conta A tem uma SCP anexada. Essa SCP não se aplica aos usuários externos na conta B. A SCP se aplica somente aos usuários gerenciados pela conta A na organização.

  • Uma SCP restringe as permissões para usuários e funções do IAM em contas-membro, incluindo o usuário-raiz da conta-membro. Qualquer conta tem somente as permissões permitidas por cada pai acima dela. Se uma permissão for bloqueada em qualquer nível acima da conta, implicitamente (sem ser incluída em uma declaração de política Allow) ou explicitamente (estar incluída em uma declaração de política Deny), o usuário ou a função na conta afetada não poderá usar essa permissão, mesmo que o administrador da conta anexe a política do IAM AdministratorAccess com permissões */* ao usuário.

  • SCPs afetam somente as contas dos membros na organização. Eles não têm efeito sobre os usuários ou funções na conta de gerenciamento. Isso também significa que SCPs se aplicam às contas de membros designadas como administradores delegados. Para obter mais informações, consulte Práticas recomendadas para a conta de gerenciamento.

  • Os usuários e funções ainda devem receber permissões com as políticas de permissão do IAM apropriadas. Um usuário sem nenhuma política de permissão do IAM não tem acesso, mesmo que o aplicável SCPs permita todos os serviços e todas as ações.

  • Se um usuário ou função tiver uma política de permissão do IAM que concede acesso a uma ação que também é permitida pelo aplicável SCPs, o usuário ou função poderá realizar essa ação.

  • Se um usuário ou função tiver uma política de permissão do IAM que concede acesso a uma ação que não é permitida ou explicitamente negada pelo aplicável SCPs, o usuário ou a função não poderá realizar essa ação.

  • SCPs afetam todos os usuários e funções nas contas anexadas, incluindo o usuário root. As únicas exceções são aquelas descritas em Tarefas e entidades não restritas por SCPs.

  • SCPs não afetam nenhuma função vinculada ao serviço. As funções vinculadas ao serviço permitem que outras pessoas Serviços da AWS se integrem AWS Organizations e não possam ser restringidas por elas. SCPs

  • Quando você desabilita o tipo de política SCP em uma raiz, todas SCPs são automaticamente separadas de todas as AWS Organizations entidades nessa raiz. AWS Organizations as entidades incluem unidades organizacionais, organizações e contas. Se você reativar SCPs em uma raiz, essa raiz será revertida somente para a FullAWSAccess política padrão anexada automaticamente a todas as entidades na raiz. Todos os anexos de AWS Organizations entidades anteriores SCPs à desativação são perdidos e não podem ser SCPs recuperados automaticamente, embora você possa reanexá-los manualmente.

  • Se um limite de permissões (um recurso avançado do IAM) e uma SCP estiverem presentes, o limite, a SCP e a política baseada em identidade deverão permitir a ação.

Usando dados de acesso para melhorar SCPs

Ao fazer login com as credenciais da conta de gerenciamento, você pode visualizar os dados do último acesso ao serviço para uma AWS Organizations entidade ou política na AWS Organizationsseção do console do IAM. Você também pode usar o AWS Command Line Interface (AWS CLI) ou a AWS API no IAM para recuperar os últimos dados acessados do serviço. Esses dados incluem informações sobre quais serviços permitidos os usuários e funções do IAM em uma AWS Organizations conta tentaram acessar pela última vez e quando. Você pode usar essas informações para identificar permissões não utilizadas, a fim de refiná-las SCPs para melhor aderir ao princípio do privilégio mínimo.

Por exemplo, você pode ter uma SCP de lista de negações que impede o acesso a três Serviços da AWS. Todos os serviços que não são listados na declaração Deny da SCP são permitidos. Os últimos dados acessados do serviço no IAM informam quais Serviços da AWS são permitidos pelo SCP, mas nunca são usados. Com essas informações, você pode atualizar a SCP para negar o acesso a serviços desnecessários.

Para obter mais informações, consulte os seguintes tópicos no Guia do usuário do IAM:

Tarefas e entidades não restritas por SCPs

Você não pode usar SCPs para restringir as seguintes tarefas:

  • Qualquer ação executada pela conta de gerenciamento

  • Qualquer ação executada usando permissões que são anexadas a uma função vinculada ao serviço

  • Registrar-se no plano Enterprise Support como o usuário raiz

  • Forneça funcionalidade de assinante confiável para conteúdo CloudFront privado

  • Configure o DNS reverso para um servidor de e-mail Amazon Lightsail e uma instância EC2 da Amazon como usuário raiz

  • Tarefas em alguns serviços AWS relacionados:

    • Alexa Top Sites

    • Alexa Web Information Service

    • Amazon Mechanical Turk

    • API de marketing de produtos da Amazon

Nesta página

PrivacidadeTermos do sitePreferências de cookies
© 2025, Amazon Web Services, Inc. ou suas afiliadas. Todos os direitos reservados.