Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

SCPBewertung

Da Sie mehrere Richtlinien zur Servicesteuerung (SCPs) auf unterschiedlichen Ebenen anhängen können AWS Organizations, können Sie besser verstehen, wie sie bewertet SCPs werdenSCPs, um die richtigen Ergebnisse zu erstellen.

Wie SCPs arbeiten Sie mit Allow

Damit eine Berechtigung für ein bestimmtes Konto erteilt werden kann, muss auf jeder Ebene, vom Stamm bis hin zu jeder OU, im direkten Pfad zum Konto (einschließlich des Zielkontos selbst) eine ausdrückliche Allow Erklärung vorhanden sein. Aus diesem Grund wird bei der Aktivierung SCPs eine AWS verwaltete SCP Richtlinie mit dem Namen F AWS Organizations angehängtullAWSAccess, die alle Dienste und Aktionen zulässt. Wenn diese Richtlinie auf keiner Organisationsebene entfernt und nicht ersetzt wird, werden alle Konten OUs und Konten unter dieser Ebene daran gehindert, Maßnahmen zu ergreifen.

Sehen wir uns zum Beispiel das in den Abbildungen 1 und 2 gezeigte Szenario an. Damit eine Berechtigung oder ein Dienst für Konto B zugelassen werden kann, muss eine PersonSCP, die die Berechtigung oder den Dienst gewährt, mit Root, der Produktionsorganisationseinheit und mit Konto B selbst verknüpft werden.

SCPDie Evaluierung folgt einem deny-by-default Modell, d. h. alle Berechtigungen, die in der nicht ausdrücklich erlaubt SCPs sind, werden verweigert. Wenn SCPs auf keiner der Ebenen, wie Root, Production OU oder Account B, eine Zulassungsanweisung vorhanden ist, wird der Zugriff verweigert.

Abbildung 1: Beispiel für eine Organisationsstruktur mit einer Allow Erklärung, die an Root, Production OU und Account B angehängt ist

Abbildung 2: Beispiel für eine Organisationsstruktur mit fehlender Allow Erklärung bei Production OU und deren Auswirkung auf Account B

Wie SCPs arbeite ich mit Deny

Wenn eine Berechtigung für ein bestimmtes Konto verweigert werden soll, kann jedes Konto SCP vom Stammkonto bis hin zu jeder Organisationseinheit im direkten Pfad zum Konto (einschließlich des Zielkontos selbst) diese Berechtigung verweigern.

Nehmen wir zum Beispiel an, der Organisationseinheit Produktion ist eine SCP angehängte Organisationseinheit zugeordnet, für die eine ausdrückliche Deny Anweisung für einen bestimmten Dienst angegeben ist. Zufällig ist auch eine weitere SCP Verbindung zu Root und Konto B vorhanden, die ausdrücklich den Zugriff auf denselben Dienst ermöglicht, wie in Abbildung 3 dargestellt. Infolgedessen wird sowohl Konto A als auch Konto B der Zugriff auf den Dienst verweigert, da eine Ablehnungsrichtlinie, die einer beliebigen Ebene in der Organisation zugewiesen ist, für alle Konten OUs und Mitgliedskonten, die sich darunter befinden, geprüft wird.

Abbildung 3: Beispiel für eine Organisationsstruktur mit einer Deny-Anweisung, die der Produktionsorganisation beigefügt ist, und deren Auswirkungen auf Konto B

Strategie für die Verwendung SCPs

Beim Schreiben können SCPs Sie eine Kombination aus Allow und Deny -Anweisungen verwenden, um beabsichtigte Aktionen und Dienste in Ihrer Organisation zu ermöglichen. DenyKontoauszüge sind ein wirksames Mittel zur Implementierung von Einschränkungen, die für einen größeren Teil Ihrer Organisation gelten sollten, oder OUs weil sie, wenn sie auf Stamm- oder Organisationseinheitsebene angewendet werden, sich auf alle Konten auswirken, denen das Unternehmen untersteht.

Sie können beispielsweise eine Richtlinie mithilfe von Deny Kontoauszügen Verhindern, dass Mitgliedskonten die Organisation verlassen auf der Stammebene implementieren, die für alle Konten in der Organisation gilt. Ablehnungsaussagen unterstützen auch das Bedingungselement, das bei der Erstellung von Ausnahmen hilfreich sein kann.

AWS Organizations fügt jedem Stamm, jeder Organisationseinheit und jedem Konto bei der Erstellung ein AWS verwaltetes Objekt mit dem SCP Namen F ullAWSAccess hinzu. Diese Richtlinie lässt alle Services und Aktionen zu. Sie können F ullAWSAccess durch eine Richtlinie ersetzen, die nur eine Reihe von Diensten erlaubt, sodass neue Dienste nur zulässig AWS-Services sind, wenn sie durch eine Aktualisierung SCPs ausdrücklich zugelassen werden. Wenn Ihre Organisation beispielsweise nur die Nutzung einer Teilmenge von Diensten in Ihrer Umgebung zulassen möchte, können Sie eine Allow-Anweisung verwenden, um nur bestimmte Dienste zuzulassen.

{
"Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ec2:*",
                "cloudwatch:*",
                "organizations:*"
            ],
            "Resource": "*"
        }
    ]
}

Eine Richtlinie, die die beiden Aussagen kombiniert, könnte wie das folgende Beispiel aussehen. Sie verhindert, dass Mitgliedskonten die Organisation verlassen, und ermöglicht die Nutzung der gewünschten AWS -Dienste. Der Organisationsadministrator kann die ullAWSAccessF-Richtlinie trennen und stattdessen diese Richtlinie anhängen.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ec2:*",
                "cloudwatch:*",
                "organizations:*"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Deny", 
            "Action":"organizations:LeaveOrganization",
            "Resource": "*" 
        }
    ]
}

Betrachten Sie nun das folgende Beispiel für eine Organisationsstruktur, um zu verstehen, wie Sie mehrere SCPs auf verschiedenen Ebenen in einer Organisation anwenden können.

Die folgende Tabelle zeigt die effektiven Richtlinien in der Organisationseinheit Sandbox.

Die folgende Tabelle zeigt die effektiven Richtlinien in der Organisationseinheit Workloads.