Richtlinien zur Dienstkontrolle (SCPs) - AWS Organizations
Auswirkungen testen von SCPsMaximale Größe von SCPsAnbindung SCPs an verschiedene Ebenen in der OrganisationSCPAuswirkungen auf GenehmigungenNutzung von Zugangsdaten zur Verbesserung SCPsAufgaben und Entitäten, die nicht eingeschränkt sind durch SCPs

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Richtlinien zur Dienstkontrolle (SCPs)

Dienststeuerungsrichtlinien (SCPs) sind eine Art von Organisationsrichtlinie, mit der Sie Berechtigungen in Ihrer Organisation verwalten können. SCPsbieten eine zentrale Kontrolle über die maximal verfügbaren Berechtigungen für die IAM Benutzer und IAM Rollen in Ihrer Organisation. SCPshelfen Ihnen dabei, sicherzustellen, dass Ihre Konten die Richtlinien Ihrer Organisation zur Zugriffskontrolle einhalten. SCPssind nur in einer Organisation verfügbar, in der alle Funktionen aktiviert sind. SCPssind nicht verfügbar, wenn Ihre Organisation nur die Funktionen für die konsolidierte Fakturierung aktiviert hat. Anweisungen zur Aktivierung finden SCPs Sie unterAktivieren eines Richtlinientyps.

SCPsErteilen Sie den IAM Benutzern und IAM Rollen in Ihrer Organisation keine Berechtigungen. Es werden keine Berechtigungen von einem erteiltSCP. An SCP definiert eine Berechtigungsschranke oder legt Beschränkungen für die Aktionen fest, die IAM Benutzer und IAM Rollen in Ihrer Organisation ausführen können. Um Berechtigungen zu gewähren, muss der Administrator Richtlinien zur Zugriffskontrolle anhängen, z. B. identitätsbasierte Richtlinien, die IAM Benutzern und IAM Rollen zugewiesen sind, und ressourcenbasierte Richtlinien, die den Ressourcen in Ihren Konten zugeordnet sind. Weitere Informationen finden Sie im Benutzerhandbuch unter Identitätsbasierte Richtlinien und ressourcenbasierte Richtlinien. IAM

Die effektiven Berechtigungen stellen die logische Überschneidung zwischen dem, was in den Richtlinien zur Ressourcenkontrolle (RCPs) zulässig ist, SCP und dem, was die identitäts- und ressourcenbasierten Richtlinien zulassen, dar.

SCPswirken sich nicht auf Benutzer oder Rollen im Verwaltungskonto aus

SCPswirken sich nicht auf Benutzer oder Rollen im Verwaltungskonto aus. Sie wirken sich nur auf die Mitgliedskonten Ihrer Organisation aus. Dies bedeutet auch, dass dies für Mitgliedskonten SCPs gilt, die als delegierte Administratoren bezeichnet wurden.

Themen

Auswirkungen testen von SCPs

AWS empfiehlt dringend, keine Verbindungen SCPs zum Stammverzeichnis Ihrer Organisation herzustellen, ohne die Auswirkungen der Richtlinie auf Konten gründlich zu testen. Erstellen Sie stattdessen eine Organisationseinheit, in die Sie Ihre Konten einzeln oder in geringer Anzahl verschieben können. So stellen Sie sicher, dass kein Benutzer versehentlich von wichtigen Services ausgesperrt wird. Ob ein Service von einem Konto verwendet wird, können Sie herausfinden, indem Sie sich die Daten zum letzten Servicezugriff in IAM ansehen. Eine andere Möglichkeit besteht darin, AWS CloudTrail die Dienstnutzung auf der jeweiligen API Ebene zu protokollieren.

Anmerkung

Sie sollten die ullAWSAccessF-Richtlinie nur entfernen, wenn Sie sie ändern oder durch eine separate Richtlinie mit zulässigen Aktionen ersetzen. Andernfalls schlagen alle AWS Aktionen von Mitgliedskonten fehl.

Maximale Größe von SCPs

Alle Zeichen in Ihrem System werden gegen die maximale Größe SCP gezählt. Die Beispiele in dieser Anleitung zeigen die SCPs Formatierung mit zusätzlichem Leerraum, um die Lesbarkeit zu verbessern. Um Platz zu sparen, wenn sich die Größe Ihrer Richtlinie der Maximalgröße nähert, können Sie aber alle Leerraumzeichen, wie z. B. Leerzeichen und Zeilenumbrüche, außerhalb von Anführungszeichen löschen.

Tipp

Verwenden Sie den visuellen Editor, um Ihre zu erstellen. SCP Hier werden zusätzliche Leerzeichen automatisch entfernt.

Anbindung SCPs an verschiedene Ebenen in der Organisation

Eine ausführliche Erläuterung der SCPs Funktionsweise finden Sie unterSCP-Bewertung.

SCPAuswirkungen auf Genehmigungen

SCPsähneln AWS Identity and Access Management Berechtigungsrichtlinien und verwenden fast dieselbe Syntax. Ein und erteilt jedoch SCP niemals Berechtigungen. Stattdessen SCPs gibt es Zugriffskontrollen, die die maximal verfügbaren Berechtigungen für die IAM Benutzer und IAM Rollen in Ihrer Organisation festlegen. Weitere Informationen finden Sie unter Logik zur Bewertung von Richtlinien im IAMBenutzerhandbuch.

  • SCPsbetrifft nur IAM Benutzer und Rollen, die von Konten verwaltet werden, die Teil der Organisation sind. SCPswirken sich nicht direkt auf ressourcenbasierte Richtlinien aus. Sie haben auch keine Auswirkungen auf Benutzer oder Rollen von Konten außerhalb der Organisation. Nehmen wir als Beispiel einen Amazon-S3-Bucket, der Konto A in einer Organisation gehört. Die Bucket-Richtlinie (eine ressourcenbasierte Richtlinie) gewährt Zugriff auf Benutzer von Konto B außerhalb der Organisation. Konto A ist angehängt. SCP Dies gilt SCP nicht für externe Benutzer in Konto B. SCP Dies gilt nur für Benutzer, die von Konto A in der Organisation verwaltet werden.

  • An SCP schränkt die Berechtigungen für IAM Benutzer und Rollen in Mitgliedskonten ein, einschließlich des Root-Benutzers des Mitgliedskontos. Jedes Konto weist nur die Berechtigungen auf, die ihm durch jedes einzelne übergeordnete Element gewährt wird. Wenn eine Berechtigung auf einer Ebene über dem Konto blockiert wird, entweder implizit (weil sie nicht in einer Allow Richtlinienerklärung enthalten ist) oder explizit (weil sie in einer Deny Richtlinienerklärung enthalten ist), kann ein Benutzer oder eine Rolle in dem betroffenen Konto diese Berechtigung nicht verwenden, selbst wenn der Kontoadministrator die AdministratorAccess IAM Richtlinie mit */*-Berechtigungen für den Benutzer verknüpft.

  • SCPswirken sich nur auf Mitgliedskonten in der Organisation aus. Sie haben keine Auswirkungen auf Benutzer oder Rollen im Verwaltungskonto. Dies bedeutet auch, dass dies für Mitgliedskonten SCPs gilt, die als delegierte Administratoren benannt wurden. Weitere Informationen finden Sie unter Bewährte Methoden für das Verwaltungskonto.

  • Benutzer und Rollen müssen trotzdem mit Berechtigungen mit entsprechenden IAM-Berechtigungsrichtlinien ausgestattet werden. Ein Benutzer ohne jegliche IAM Berechtigungsrichtlinien hat keinen Zugriff, auch wenn die geltenden Richtlinien alle Dienste und alle Aktionen SCPs zulassen.

  • Wenn ein Benutzer oder eine Rolle über eine IAM Berechtigungsrichtlinie verfügt, die Zugriff auf eine Aktion gewährt, die auch von der entsprechenden Person zugelassen istSCPs, kann der Benutzer oder die Rolle diese Aktion ausführen.

  • Wenn ein Benutzer oder eine Rolle über eine IAM Berechtigungsrichtlinie verfügt, die Zugriff auf eine Aktion gewährt, die von der entsprechenden Person entweder nicht zugelassen oder ausdrücklich verweigert wurdeSCPs, kann der Benutzer oder die Rolle diese Aktion nicht ausführen.

  • SCPswirkt sich auf alle Benutzer und Rollen in angehängten Konten aus, einschließlich des Root-Benutzers. Die einzigen Ausnahmen sind die unter Aufgaben und Entitäten, die nicht eingeschränkt sind durch SCPs beschriebenen.

  • SCPswirken sich nicht auf dienstbezogene Rollen aus. Serviceverknüpfte Rollen ermöglichen AWS-Services die Integration mit anderen AWS Organizations und können nicht eingeschränkt werden. SCPs

  • Wenn Sie den SCP Richtlinientyp in einem Stamm deaktivieren, SCPs werden alle automatisch von allen AWS Organizations Entitäten in diesem Stamm getrennt. AWS Organizations Entitäten umfassen Organisationseinheiten, Organisationen und Konten. Wenn Sie die Aktivierung SCPs in einem Stammverzeichnis erneut aktivieren, wird für dieses Stammverzeichnis nur die FullAWSAccess Standardrichtlinie verwendet, die automatisch allen Entitäten im Stammverzeichnis zugewiesen wird. Alle Anlagen von AWS Organizations EntitätenSCPs, die zuvor deaktiviert SCPs wurden, gehen verloren und können nicht automatisch wiederhergestellt werden. Sie können sie jedoch manuell erneut anhängen.

  • Wenn sowohl eine Berechtigungsgrenze (eine erweiterte IAM Funktion) als auch eine vorhanden SCP sind, müssen die Grenze, die und die SCP identitätsbasierte Richtlinie alle die Aktion zulassen.

Nutzung von Zugangsdaten zur Verbesserung SCPs

Wenn Sie mit den Anmeldeinformationen für das Verwaltungskonto angemeldet sind, können Sie im AWS OrganizationsBereich der IAM Konsole die Daten für den Dienst, auf den zuletzt zugegriffen wurde, für eine AWS Organizations Entität oder Richtlinie einsehen. Sie können auch das AWS Command Line Interface (AWS CLI) oder AWS API in verwenden, IAM um die Daten des Dienstes abzurufen, auf den zuletzt zugegriffen wurde. Diese Daten enthalten Informationen darüber, auf welche zugelassenen Dienste die IAM Benutzer und Rollen in einem AWS Organizations Konto zuletzt zugegriffen haben und wann. Sie können diese Informationen verwenden, um ungenutzte Berechtigungen zu identifizieren, sodass Sie Ihre Berechtigungen so verfeinern könnenSCPs, dass sie besser dem Prinzip der geringsten Rechte entsprechen.

Möglicherweise haben Sie eine Sperrliste, SCP die den Zugriff auf drei AWS-Services verbietet. Alle Dienste, die nicht in der SCP Deny Erklärung aufgeführt sind, sind zulässig. Die Daten, auf die der Dienst zuletzt zugegriffen hat, AWS-Services gibt an, welche vom Dienst zugelassenSCP, aber nie verwendet werden. IAM Mit diesen Informationen können Sie den aktualisieren, SCP um den Zugriff auf Dienste zu verweigern, die Sie nicht benötigen.

Weitere Informationen finden Sie in folgenden Themen im IAM-Benutzerhandbuch:

Aufgaben und Entitäten, die nicht eingeschränkt sind durch SCPs

Sie können die folgenden Aufgaben nicht SCPs zur Einschränkung verwenden:

  • Jede Aktion, die vom Verwaltungskonto ausgeführt wird

  • Jede Aktion, die unter Verwendung von Berechtigungen ausgeführt wird, die mit einer servicegebundenen Rolle verknüpft sind

  • Registrieren für den Enterprise Support-Plan als Root-Benutzer

  • Stellen Sie Funktionen für vertrauenswürdige Unterzeichner für CloudFront private Inhalte bereit

  • Reverse DNS für einen Amazon Lightsail-E-Mail-Server und eine EC2 Amazon-Instance als Root-Benutzer konfigurieren

  • Aufgaben im Zusammenhang mit einigen verwandten Diensten AWS:

    • Alexa Top Sites

    • Alexa Web Information Service

    • Amazon Mechanical Turk

    • Amazon-Produktmarketing API