Richtlinien zur Ressourcenkontrolle (RCPs) - AWS Organizations
Liste AWS-Services dieser Unterstützung RCPsTesten der Wirkungen von RCPsMaximale Größe von RCPsAnbindung RCPs an verschiedene Ebenen in der OrganisationRCPAuswirkungen auf GenehmigungenRessourcen und Entitäten, die nicht eingeschränkt sind durch RCPs

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Richtlinien zur Ressourcenkontrolle (RCPs)

Ressourcenkontrollrichtlinien (RCPs) sind eine Art von Organisationsrichtlinie, mit der Sie Berechtigungen in Ihrer Organisation verwalten können. RCPsbieten eine zentrale Kontrolle über die maximal verfügbaren Berechtigungen für Ressourcen in Ihrer Organisation. RCPshelfen Ihnen dabei, sicherzustellen, dass die Ressourcen in Ihren Konten den Richtlinien für die Zugriffskontrolle Ihrer Organisation entsprechen. RCPssind nur in einer Organisation verfügbar, in der alle Funktionen aktiviert sind. RCPssind nicht verfügbar, wenn Ihre Organisation nur die Funktionen für die konsolidierte Fakturierung aktiviert hat. Anweisungen zur Aktivierung finden RCPs Sie unterAktivieren eines Richtlinientyps.

RCPsallein reichen nicht aus, um den Ressourcen in Ihrer Organisation Berechtigungen zu erteilen. Es werden keine Berechtigungen von einem erteiltRCP. An RCP definiert eine Leitplanke für Berechtigungen oder legt Beschränkungen für die Aktionen fest, die Identitäten mit Ressourcen in Ihren Organisationen ausführen können. Der Administrator muss weiterhin identitätsbasierte Richtlinien an IAM Benutzer oder Rollen oder ressourcenbasierte Richtlinien an Ressourcen in Ihren Konten anhängen, um tatsächlich Berechtigungen zu gewähren. Weitere Informationen finden Sie unter Identitätsbasierte Richtlinien und ressourcenbasierte Richtlinien im Benutzerhandbuch. IAM

Die effektiven Berechtigungen stellen die logische Überschneidung zwischen dem, was durch die Richtlinien zur Dienststeuerung (SCPs) zulässig ist, RCPs und dem, was durch die identitäts- und ressourcenbasierten Richtlinien zulässig ist, dar.

RCPswirken sich nicht auf die Ressourcen im Verwaltungskonto aus

RCPswirken sich nicht auf die Ressourcen im Verwaltungskonto aus. Sie wirken sich nur auf Ressourcen in den Mitgliedskonten innerhalb Ihrer Organisation aus. Dies bedeutet auch, dass sie für Mitgliedskonten RCPs gelten, die als delegierte Administratoren benannt wurden.

Themen

Liste AWS-Services dieser Unterstützung RCPs

RCPsgelten für Ressourcen aus den folgenden Bereichen AWS-Services:

Testen der Wirkungen von RCPs

AWS empfiehlt dringend, keine Verbindung RCPs zum Stammverzeichnis Ihrer Organisation herzustellen, ohne die Auswirkungen der Richtlinie auf die Ressourcen in Ihren Konten gründlich zu testen. Sie können damit beginnen, sie RCPs einzelnen Testkonten zuzuordnen, sie in der Hierarchie OUs nach oben zu verschieben und sich dann nach Bedarf in der Organisationsstruktur nach oben vorzuarbeiten. Eine Möglichkeit, die Auswirkungen zu ermitteln, besteht darin, die AWS CloudTrail Protokolle auf Fehler „Zugriff verweigert“ zu überprüfen.

Maximale Größe von RCPs

Alle Zeichen in Ihrem System werden gegen die maximale Größe RCP gezählt. Die Beispiele in dieser Anleitung zeigen die RCPs Formatierung mit zusätzlichem Leerraum, um die Lesbarkeit zu verbessern. Um Platz zu sparen, wenn sich die Größe Ihrer Richtlinie der Maximalgröße nähert, können Sie aber alle Leerraumzeichen, wie z. B. Leerzeichen und Zeilenumbrüche, außerhalb von Anführungszeichen löschen.

Tipp

Verwenden Sie den visuellen Editor, um Ihre zu erstellen. RCP Hier werden zusätzliche Leerzeichen automatisch entfernt.

Anbindung RCPs an verschiedene Ebenen in der Organisation

Sie können es RCPs direkt an einzelne Konten oder an das Stammverzeichnis der Organisation anhängen. OUs Eine ausführliche Erläuterung der RCPs Funktionsweise finden Sie unterRCPBewertung.

RCPAuswirkungen auf Genehmigungen

RCPssind eine Art von Richtlinie AWS Identity and Access Management (IAM). Sie stehen in engem Zusammenhang mit ressourcenbasierten Politiken. Ein Mann erteilt jedoch RCP niemals Genehmigungen. Stattdessen RCPs gibt es Zugriffskontrollen, die die maximal verfügbaren Berechtigungen für Ressourcen in Ihrer Organisation festlegen. Weitere Informationen finden Sie unter Auswertungslogik für Richtlinien im IAM-Benutzerhandbuch.

  • RCPsgelten für Ressourcen für eine Teilmenge von. AWS-Services Weitere Informationen finden Sie unter Liste AWS-Services dieser Unterstützung RCPs.

  • RCPsbetreffen nur Ressourcen, die von Konten verwaltet werden, die Teil der Organisation sind, die das RCPs angehängt hat. Sie wirken sich nicht auf Ressourcen von Konten außerhalb der Organisation aus. Stellen Sie sich zum Beispiel einen Amazon S3 S3-Bucket vor, der Konto A in einer Organisation gehört. Die Bucket-Richtlinie (eine ressourcenbasierte Richtlinie) gewährt Benutzern von Konto B außerhalb der Organisation Zugriff. Konto A ist angehängt. RCP Dies RCP gilt für den S3-Bucket in Konto A, auch wenn Benutzer von Konto B aus darauf zugreifen. Dies gilt jedoch RCP nicht für Ressourcen in Konto B, wenn Benutzer in Konto A darauf zugreifen.

  • An RCP schränkt die Berechtigungen für Ressourcen in Mitgliedskonten ein. Jede Ressource in einem Konto verfügt nur über die Berechtigungen, die von allen übergeordneten Eltern zugelassen wurden. Wenn eine Berechtigung auf einer Ebene über dem Konto gesperrt ist, verfügt eine Ressource im betroffenen Konto nicht über diese Berechtigung, selbst wenn der Ressourcenbesitzer eine ressourcenbasierte Richtlinie anhängt, die jedem Benutzer vollen Zugriff gewährt.

  • RCPsgelten für die Ressourcen, die im Rahmen einer Vorgangsanfrage autorisiert wurden. Diese Ressourcen finden Sie in der Spalte „Ressourcentyp“ der Aktionstabelle in der Serviceautorisierungsreferenz. Wenn in der Spalte „Ressourcentyp“ keine Ressource angegeben ist, werden die Ressourcen RCPs des aufrufenden Hauptkontos verwendet. s3:GetObjectAutorisiert beispielsweise die Objektressource. Immer wenn eine GetObject Anfrage gestellt wird, RCP wird ein entsprechender Antrag gestellt, um zu bestimmen, ob der anfordernde Principal den GetObject Vorgang aufrufen kann. Anwendbar RCP ist eineRCP, die einem Konto, einer Organisationseinheit (OU) oder dem Stamm der Organisation zugeordnet wurde, der die Ressource gehört, auf die zugegriffen wird.

  • RCPsbetrifft nur Ressourcen in Mitgliedskonten der Organisation. Sie haben keine Auswirkungen auf Ressourcen im Verwaltungskonto. Dies bedeutet auch, dass sie für Mitgliedskonten RCPs gelten, die als delegierte Administratoren benannt wurden. Weitere Informationen finden Sie unter Bewährte Methoden für das Verwaltungskonto.

  • Wenn ein Hauptbenutzer eine Anfrage für den Zugriff auf eine Ressource innerhalb eines Kontos stellt, an das eine Ressource angehängt ist RCP (eine Ressource mit einem zutreffendenRCP), RCP wird diese in die Bewertungslogik der Richtlinie einbezogen, um zu bestimmen, ob dem Prinzipal der Zugriff gewährt oder verweigert wird.

  • RCPswirkt sich auf die effektiven Berechtigungen von Prinzipalen aus, die versuchen, auf Ressourcen in einem Mitgliedskonto mit einem entsprechenden Konto zuzugreifenRCP, unabhängig davon, ob die Prinzipale derselben Organisation angehören oder nicht. Dies schließt Root-Benutzer ein. Eine Ausnahme ist, wenn es sich bei Principals um dienstgebundene Rollen handelt, da RCPs dies nicht für Aufrufe gilt, die von dienstbezogenen Rollen getätigt werden. Mit dem Dienst verknüpfte Rollen AWS-Services ermöglichen es, die erforderlichen Aktionen in Ihrem Namen durchzuführen, und können nicht eingeschränkt werden durch. RCPs

  • Benutzern und Rollen müssen weiterhin Berechtigungen mit entsprechenden IAM Berechtigungsrichtlinien, einschließlich identitäts- und ressourcenbasierter Richtlinien, erteilt werden. Ein Benutzer oder eine Rolle ohne IAM Berechtigungsrichtlinien hat keinen Zugriff, auch wenn eine entsprechende Richtlinie alle Dienste, alle Aktionen und alle Ressourcen RCP zulässt.

Ressourcen und Entitäten, die nicht eingeschränkt sind durch RCPs

Folgendes können Sie nicht verwendenRCPs, um einzuschränken:

  • Jede Aktion mit Ressourcen im Verwaltungskonto.

  • RCPswirken sich nicht auf die effektiven Berechtigungen einer dienstbezogenen Rolle aus. Dienstbezogene Rollen sind ein einzigartiger IAM Rollentyp, der direkt mit einem AWS Dienst verknüpft ist und alle Berechtigungen umfasst, die der Dienst benötigt, um andere AWS Dienste in Ihrem Namen aufzurufen. Die Berechtigungen von dienstbezogenen Rollen können nicht durch eingeschränkt werden. RCPs RCPswirken sich auch nicht auf die Fähigkeit AWS der Dienste aus, eine dienstbezogene Rolle zu übernehmen. Das heißt, die Vertrauensrichtlinie der dienstbezogenen Rolle wird ebenfalls nicht beeinflusst von. RCPs

  • RCPsbewerben sich nicht für.Von AWS verwaltete SchlüsselAWS Key Management Service Von AWS verwaltete Schlüssel werden in Ihrem Namen von einem erstellt, verwaltet und verwendet AWS-Service. Sie können ihre Berechtigungen nicht ändern oder verwalten.

  • RCPshaben keinen Einfluss auf die folgenden Berechtigungen:

    Service API Ressourcen, die nicht autorisiert sind von RCPs
    AWS Key Management Service

    kms:RetireGrant

    		 RCPshaben keinen Einfluss auf die kms:RetireGrant Genehmigung. Weitere Informationen darüber, wie die Erlaubnis dazu bestimmt kms:RetireGrant wird, finden Sie im AWS KMS Entwicklerhandbuch unter Zurückziehen und Widerrufen von Zuschüssen.