Estratégias de uso de SCPs - AWS Organizations

Estratégias de uso de SCPs

Você pode configurar as políticas de controle de serviço (SCPs) da sua organização para funcionarem como um dos seguintes:

  • Uma lista de negações – as ações são permitidas por padrão, e você especifica quais serviços e ações são proibidos

  • Uma lista de permissões – as ações são proibidas por padrão, e você especifica quais serviços e ações são permitidos

dica

Você pode usar os dados de serviços acessados mais recentemente no IAM para atualizar suas SCPs para restringir o acesso a apenas os serviços da AWS necessários. Para obter mais informações, consulte Visualizar dados de serviço da organização acessados mais recentemente da organização no Guia do usuário do IAM.

Usar SCPs como uma lista de negações

A configuração padrão do AWS Organizations oferece suporte ao uso de SCPs como listas de negações. Com uma estratégia de lista de negações, os administradores de conta podem delegar todos os serviços e ações até que você crie e anexe uma SCP que nega um serviço ou um conjunto de ações específico. As instruções de negação exigem menos manutenção, pois você não precisa atualizá-las quando a AWS adiciona novos serviços. Normalmente, as instruções de negação usam menos espaço, fazendo com que seja mais fácil permanecer dentro do tamanho máximo para SCPs. Em uma declaração em que o elemento Effect tem um valor de Deny, você também pode restringir o acesso a recursos específicos ou definir condições para quando as SCPs estão em vigor.

Para oferecer suporte a isso, o AWS Organizations anexa uma SCP gerenciada pela AWS, chamada FullAWSAccess, a cada raiz e UO quando ela é criada. Esta política permite todos os serviços e ações. Ela estará sempre disponível para você anexar ou desanexar das entidades de sua organização, conforme necessário. Como a política é uma SCP gerenciada pela AWS, você não pode modificá-la nem excluí-la. A política é semelhante à seguinte.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "*", "Resource": "*" } ] }

Essa política permite que os administradores de conta deleguem permissões para qualquer serviço ou operação até que você crie e anexe uma SCP que negue algum acesso. É possível anexar uma SCP que proíba explicitamente as ações que você não deseja que usuários e funções em determinadas contas executem.

Essa política pode se parecer com o exemplo a seguir, que impede que os usuários nas contas afetadas executem quaisquer ações para o serviço Amazon DynamoDB. O administrador da organização pode desanexar a política FullAWSAccess e anexar essa no lugar. Essa SCP ainda permite todos os outros serviços e suas ações.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowsAllActions", "Effect": "Allow", "Action": "*", "Resource": "*" }, { "Sid": "DenyDynamoDB", "Effect": "Deny", "Action": "dynamodb:*", "Resource": "*" } ] }

Os usuários nas contas afetadas não podem executar ações de DynamoDB, pois o elemento Deny explícito na segunda instrução substitui o Allow explícito no primeiro. Você também pode configurar isso deixando a política FullAWSAccess em vigor e anexando uma segunda política que tem apenas a instrução Deny, conforme mostrado aqui:

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Deny", "Action": "dynamodb:*", "Resource": "*" } ] }

A combinação da política FullAWSAccess e da instrução Deny na política anterior do DynamoDB que é aplicada a uma raiz ou OU tem o mesmo efeito que a única política que contém as duas instruções. Todas as políticas que se aplicam em um nível especificado são combinadas. Cada instrução, não importa de qual política tenha se originado, é avaliada de acordo com as regras discutidas anteriormente (ou seja, uma Deny explícita substitui uma Allow explícita, que substitui a Deny implícita padrão).

Usar SCPs como uma lista de permissões

Para usar as SCPs como uma lista de permissões, você deve substituir a SCP AWS gerenciada pela FullAWSAccess por uma SCP que permita explicitamente somente os serviços e as ações que você deseja permitir. Ao remover a SCP FullAWSAccess padrão, todas as ações para todos os serviços são implicitamente negadas. Sua SCP personalizada substitui o Deny implícito por um Allow explícito somente para as ações que você deseja permitir. Para uma permissão ser habilitada para uma conta especificada, toda SCP da raiz até cada UO no caminho direto para a conta, e até mesmo anexada à própria conta, deverá conceder essa permissão.

Observações
  • Uma instrução Allow em um SCP permite que o elemento Resource tenha apenas uma entrada "*".

  • Uma instrução Allow em uma SCP não pode ter um elemento Condition.

Uma política de lista de permissões pode ser semelhante ao exemplo a seguir, que permite que os usuários da conta executem operações do Amazon Elastic Compute Cloud (Amazon EC2) e do Amazon CloudWatch, mas de nenhum outro serviço. Todas as SCPs nas UOs pai e na raiz também devem conceder essas permissões de forma explícita.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ec2:*", "cloudwatch:*" ], "Resource": "*" } ] }