Políticas de controle de serviços (SCPs)

As políticas de controle de serviço (SCPs) são um tipo de política organizacional que você pode usar para gerenciar permissões em sua organização. SCPsofereça controle central sobre o máximo de permissões disponíveis para os IAM usuários e IAM funções em sua organização. SCPsajudam você a garantir que suas contas permaneçam dentro das diretrizes de controle de acesso da sua organização. SCPsestão disponíveis somente em uma organização que tenha todos os recursos habilitados. SCPsnão estão disponíveis se sua organização tiver ativado somente os recursos de cobrança consolidada. Para obter instruções sobre como habilitarSCPs, consulteHabilitação de um tipo de política.

SCPsnão conceda permissões aos IAM usuários e IAM funções em sua organização. Nenhuma permissão é concedida por umSCP. An SCP define uma barreira de permissão, ou define limites, nas ações que os IAM usuários e IAM funções em sua organização podem realizar. Para conceder permissões, o administrador deve anexar políticas para controlar o acesso, como políticas baseadas em identidade vinculadas a IAM usuários e IAM funções e políticas baseadas em recursos anexadas aos recursos em suas contas. As permissões efetivas são a interseção lógica entre o que é permitido pela SCP e o que é permitido pelas políticas baseadas em identidade e recursos.

Importante

SCPsnão afetam usuários ou funções na conta de gerenciamento. Elas afetam apenas as contas-membro de sua organização.

Tópicos

• Testando os efeitos do SCPs
• Tamanho máximo de SCPs
• Vinculando-se SCPs a diferentes níveis da organização
• SCPefeitos nas permissões
• Usando dados de acesso para melhorar SCPs
• Tarefas e entidades não restritas por SCPs
• SCPavaliação
• SCPsintaxe
• Exemplos de política de controle de serviço
• Solução de problemas de políticas de controle de serviço (SCPs) com AWS Organizations

Testando os efeitos do SCPs

AWS recomenda fortemente que você não se vincule SCPs à raiz da sua organização sem testar minuciosamente o impacto que a política tem nas contas. Em vez disso, crie uma UO para a qual você possa mover suas contas, uma por vez, ou pelo menos em pequenas quantidades, para garantir que não seja possível bloquear acidentalmente usuários nos serviços principais. Uma forma de determinar se um serviço é usado por uma conta é examinar os dados acessados pela última vez IAM. Outra forma é usar AWS CloudTrail para registrar o uso do serviço no API nível.

nota

Você não deve remover a ullAWSAccess política F, a menos que a modifique ou substitua por uma política separada com ações permitidas, caso contrário, todas AWS as ações das contas dos membros falharão.

Tamanho máximo de SCPs

Todos os caracteres em sua SCP contagem em relação ao tamanho máximo. Os exemplos deste guia mostram o SCPs formato com espaço em branco extra para melhorar sua legibilidade. No entanto, para economizar espaço quando o tamanho da política se aproximar do tamanho máximo, é possível excluir todos os espaços em branco, como caracteres de espaço e quebras de linhas, que estiverem fora das aspas.

dica

Use o editor visual para criar seuSCP. Ele remove automaticamente os espaços em branco.

Vinculando-se SCPs a diferentes níveis da organização

Para obter uma explicação detalhada de como SCPs funciona, consulteSCPavaliação.

SCPefeitos nas permissões

SCPssão semelhantes a AWS Identity and Access Management (IAM) políticas de permissão e usam quase a mesma sintaxe. No entanto, um SCP homem nunca concede permissões. Em vez disso, SCPs são JSON políticas que especificam as permissões máximas para IAM os usuários e IAM funções em sua organização. Para obter mais informações, consulte Lógica de avaliação de políticas no Guia IAM do usuário.

• SCPsafetam somente IAM usuários e funções gerenciados por contas que fazem parte da organização. SCPsnão afetam diretamente as políticas baseadas em recursos. Elas também não afetam usuários ou funções de contas de fora da organização. Por exemplo, considere um bucket do Amazon S3; que é de propriedade da conta A em uma organização. A política de bucket (uma política baseada em recursos) concede acesso a usuários da conta B fora da organização. A conta A tem um SCP anexo. Isso SCP não se aplica aos usuários externos na conta B. SCP Isso se aplica somente aos usuários que são gerenciados pela conta A na organização.

• E SCP restringe as permissões para IAM usuários e funções nas contas dos membros, incluindo o usuário raiz da conta do membro. Qualquer conta tem somente as permissões permitidas por cada pai acima dela. Se uma permissão for bloqueada em qualquer nível acima da conta, implicitamente (por não ser incluída em uma declaração de Allow política) ou explicitamente (por ser incluída em uma declaração de Deny política), um usuário ou função na conta afetada não poderá usar essa permissão, mesmo que o administrador da conta anexe a AdministratorAccess IAM política com permissões */* ao usuário.

• SCPsafetam somente as contas dos membros na organização. Eles não têm efeito sobre os usuários ou funções na conta de gerenciamento.

• Os usuários e funções ainda devem receber permissões com as políticas de IAM permissão apropriadas. Um usuário sem nenhuma política de IAM permissão não tem acesso, mesmo que as aplicáveis SCPs permitam todos os serviços e todas as ações.

• Se um usuário ou função tiver uma política de IAM permissão que conceda acesso a uma ação que também seja permitida pelo aplicávelSCPs, o usuário ou função poderá realizar essa ação.

• Se um usuário ou função tiver uma política de IAM permissão que conceda acesso a uma ação que não seja permitida ou explicitamente negada pelo aplicávelSCPs, o usuário ou a função não poderá realizar essa ação.

• SCPsafetam todos os usuários e funções nas contas anexadas, incluindo o usuário root. As únicas exceções são aquelas descritas em Tarefas e entidades não restritas por SCPs.

• SCPsnão afetam nenhuma função vinculada ao serviço. As funções vinculadas ao serviço permitem que outros Serviços da AWS para integrar com AWS Organizations e não pode ser restringido porSCPs.

• Quando você desabilita o tipo de SCP política em uma raiz, todas SCPs são automaticamente separadas de todas AWS Organizations entidades nessa raiz. AWS Organizations as entidades incluem unidades organizacionais, organizações e contas. Se você reativar SCPs em uma raiz, essa raiz será revertida somente para a FullAWSAccess política padrão anexada automaticamente a todas as entidades na raiz. Quaisquer anexos de SCPs AWS Organizations entidades anteriores SCPs à desativação são perdidas e não podem ser recuperadas automaticamente, embora você possa reconectá-las manualmente.

• Se um limite de permissões (um IAM recurso avançado) e um SCP estiverem presentes, o limite, a e a SCP política baseada em identidade devem permitir a ação.

Usando dados de acesso para melhorar SCPs

Quando conectado com as credenciais da conta de gerenciamento, você pode visualizar os últimos dados acessados do serviço de um AWS Organizations entidade ou política no AWS Organizationsseção do IAM console. Você também pode usar o AWS Command Line Interface (AWS CLI) ou AWS APIIAMpara recuperar os últimos dados acessados do serviço. Esses dados incluem informações sobre quais serviços permitidos os IAM usuários e funções em um AWS Organizations última tentativa de acesso à conta e quando. Você pode usar essas informações para identificar permissões não utilizadas, a fim de refiná-las SCPs para melhor aderir ao princípio do menor privilégio.

Por exemplo, você pode ter uma lista de negação SCP que proíbe o acesso a três Serviços da AWS. Todos os serviços que não estão listados na SCP Deny declaração são permitidos. Os dados acessados pela última vez no serviço IAM informam quais Serviços da AWS são permitidos peloSCP, mas nunca são usados. Com essas informações, você pode atualizar o SCP para negar acesso a serviços desnecessários.

Para obter mais informações, consulte os seguintes tópicos no Guia IAM do usuário:

• Visualizar dados de serviços da organização acessados pela última vez para organizações

• Usar dados para refinar permissões de uma unidade organizacional

Tarefas e entidades não restritas por SCPs

Você não pode usar SCPs para restringir as seguintes tarefas:

• Qualquer ação executada pela conta de gerenciamento

• Qualquer ação executada usando permissões que são anexadas a uma função vinculada ao serviço

• Registrar-se no plano Enterprise Support como o usuário raiz

• Mude o AWS nível de suporte como usuário root

• Forneça funcionalidade de assinante confiável para conteúdo CloudFront privado

• Configure o reverso DNS para um servidor de e-mail Amazon Lightsail e uma instância da EC2 Amazon como usuário raiz

• Tarefas em alguns AWS serviços relacionados:

  • Alexa Top Sites

  • Alexa Web Information Service

  • Amazon Mechanical Turk

  • Marketing de produtos da Amazon API