服务控制策略 (SCPs) - AWS Organizations

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

服务控制策略 (SCPs)

服务控制策略 (SCPs) 是一种组织策略,可用于管理组织中的权限。 SCPs为组织中的IAM用户和IAM角色提供对最大可用权限的集中控制。 SCPs帮助您确保您的帐户符合组织的访问控制准则。 SCPs仅在启用了所有功能的组织中可用。 SCPs如果您的组织仅启用了整合账单功能,则不可用。有关启用 SCPs 的说明,请参阅启用策略类型

SCPs不要向组织中的IAM用户和IAM角色授予权限。不授予任何权限SCP。对组织中的IAM用户和IAM角色可以执行的操作SCP定义权限护栏或设置限制。要授予权限,管理员必须附加策略来控制访问权限,例如附加到IAM用户和IAM角色的基于身份的策略,以及附加到您账户中资源的基于资源的策略。有关更多信息,请参阅《用户指南》中的基于身份的策略和基于资源的策略。IAM

有效权限是SCP和资源控制策略 (RCPs) 所允许的权限与基于身份和基于资源的策略所允许的权限之间的逻辑交集。

SCPs不影响管理账户中的用户或角色

SCPs不要影响管理账户中的用户或角色。它们仅影响组织中的成员账户。这也意味着这SCPs适用于被指定为授权管理员的成员账户。

的测试效果 SCPs

AWS 强烈建议您在未彻底测试该政策对账户的影响之前,不要将其附加SCPs到组织的根目录上。您可以改为创建一个 OU,并将您的账户一次移入一个,或至少每次以少量移入,以确保您不会无意中阻止用户使用关键服务。确定账户是否使用服务的一种方法是检查服务上次访问的 IAM 数据。另一种方法是AWS CloudTrail 使用记录API级别的服务使用情况

注意

除非您修改 F ullAWSAccess 策略或将其替换为具有允许操作的单独策略,否则成员账户的所有操作都将失败,否则成员账户的所有 AWS 操作都将失败。

最大大小为 SCPs

你中的所有字符都按其最大大小进行SCP计数。本指南中的示例显示了带有额外空格以提高其可读性的SCPs格式化内容。但是,在您的策略大小接近最大大小时,可以删除任何空格(例如,引号之外的空格字符和换行符)来节省空间。

提示

使用可视化编辑器来构建你的SCP. 它会自动删除额外的空格。

隶SCPs属于组织中的不同级别

有关SCPs工作原理的详细说明,请参阅SCP 评估

SCP对权限的影响

SCPs与 AWS Identity and Access Management 权限策略类似,使用几乎相同的语法。但是,SCP从不授予权限。取而代之SCPs的是为组织中的IAM用户和IAM角色指定最大可用权限的访问控制。有关更多信息,请参阅《IAM用户指南》中的策略评估逻辑

  • SCPs仅影响由属于组织的账户管理的IAM用户和角色。 SCPs不要直接影响基于资源的策略。也不会影响组织外的账户的用户或角色。例如,请考虑一个 Amazon S3 存储桶,它由组织中的账户“A”所有。存储桶策略(一种基于资源的策略)会向来自组织外账户 B 的用户授予访问权限。账户 A 已SCP附加。这SCP不适用于账户 B 中的外部用户,仅SCP适用于组织中由账户 A 管理的用户。

  • SCP限制成员账户中IAM用户和角色的权限,包括成员账户的根用户。任何账户都只有上方的每个 父级允许的那些权限。如果某个权限在账户以上的任何级别被隐式(未包含在Allow策略声明中)或明确阻止(包含在Deny策略声明中),则受影响账户中的用户或角色将无法使用该权限,即使账户管理员向该用户附加了具有*/*权限的AdministratorAccessIAM策略。

  • SCPs仅影响组织中的成员帐户。它们对管理账户中的用户或角色没有任何影响。这也意味着这SCPs适用于被指定为授权管理员的成员账户。有关更多信息,请参阅 管理账户的最佳实践

  • 仍然必须通过适当的 IAM 权限策略将权限授予用户和角色。没有任何IAM权限策略的用户没有访问权限,即使适用的SCPs允许所有服务和所有操作。

  • 如果用户或角色的IAM权限策略授予对相应用户也允许的操作的访问权限SCPs,则该用户或角色可以执行该操作。

  • 如果用户或角色的IAM权限策略允许访问相应用户不允许或明确拒绝的操作SCPs,则该用户或角色将无法执行该操作。

  • SCPs影响关联账户中的所有用户和角色,包括 root 用户。唯一例外在 不受限制的任务和实体 SCPs中介绍。

  • SCPs影响任何服务相关角色。服务相关角色允许其他角色与 AWS 服务 之集成 AWS Organizations ,并且不能受其限制。SCPs

  • 当您在根目录中禁用SCP策略类型时,所有策略SCPs类型将自动与该根目录中的所有 AWS Organizations 实体分离。 AWS Organizations 实体包括组织单位、组织和账户。如果您在根目录SCPs中重新启用,则该根目录将恢复为仅自动附加到根目录中所有实体的默认FullAWSAccess策略。之前SCPs被禁用的 AWS Organizations 实体的所有附件都将丢失且无法自动恢复,但您可以手动重新连接它们。SCPs

  • 如果同时存在权限边界(高级IAM功能)和权限,则边界SCP、和基于身份的策略都必须允许该操作。SCP

使用访问数据进行改进 SCPs

使用管理账户凭据登录后,您可以在IAM控制台AWS Organizations部分查看 AWS Organizations 实体或策略的上次访问服务数据。您也可以使用 AWS Command Line Interface (AWS CLI) 或 AWS API in IAM 来检索上次访问服务的数据。这些数据包括 AWS Organizations 账户中的IAM用户和角色上次尝试访问哪些允许的服务以及何时访问的信息。您可以使用此信息来识别未使用的权限,以便可以完善您的权限,SCPs以更好地遵守最低权限原则。

例如,您可能有一个拒绝列表 SCP,禁止访问三个 AWS 服务。Deny声明中未列出的所有服务均被允许。SCP中的服务上次访问的数据会IAM告诉您 AWS 服务 哪些数据是允许的,SCP但从未使用过。有了这些信息,您可以更新SCP以拒绝访问不需要的服务。

有关更多信息,请参阅《IAM 用户指南》中的以下主题:

不受限制的任务和实体 SCPs

不能使用SCPs来限制以下任务:

  • 管理账户执行的任何操作

  • 使用附加到服务相关角色的权限执行的任何操作

  • 以根用户身份注册企业支持计划

  • 为 CloudFront 私有内容提供可信签名者功能

  • 以根用户身份DNS为 Amazon Lightsail 电子邮件服务器和亚马逊EC2实例进行反向配置

  • 一些 AWS相关服务的任务:

    • Alexa Top Sites

    • Alexa Web Information Service

    • Amazon Mechanical Turk

    • 亚马逊产品营销 API