SCP-Bewertung - AWS Organizations
So funktionieren SCPs mit AllowSo arbeiten SCPs mit DenyStrategie zur Verwendung von SCPs

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

SCP-Bewertung

Anmerkung

Die Informationen in diesem Abschnitt gelten nicht für Verwaltungsrichtlinientypen, einschließlich Deaktivierungsrichtlinien für KI-Services, Backup-Richtlinien oder Tag-Richtlinien. Weitere Informationen finden Sie unter Vererbung von Verwaltungsrichtlinien verstehen.

Da Sie in mehrere Service Control Policies (SCPs) auf unterschiedlichen Ebenen in AWS Organizations anfügen können, kann Ihnen das Verständnis, wie SCPs bewertet werden, helfen, SCPs zu erstellen, die zu den richtigen Ergebnissen führen.

So funktionieren SCPs mit Allow

Damit eine Berechtigung für ein bestimmtes Konto erteilt werden kann, muss auf jeder Ebene, vom Stamm bis hin zu jeder OU, im direkten Pfad zum Konto (einschließlich des Zielkontos selbst) eine ausdrückliche Allow Erklärung vorhanden sein. Aus diesem Grund wird bei der Aktivierung von SCPs eine AWS verwaltete SCP-Richtlinie mit dem Namen Full AWS Organizations angehängtAWSAccess, die alle Dienste und Aktionen zulässt. Wenn diese Richtlinie entfernt und auf keiner Organisationsebene ersetzt wird, werden alle OUs und Konten unter dieser Ebene daran gehindert, Maßnahmen zu ergreifen.

Sehen wir uns zum Beispiel das in den Abbildungen 1 und 2 gezeigte Szenario an. Damit eine Berechtigung oder ein Dienst für Konto B zugelassen werden kann, muss ein SCP, der die Erlaubnis oder den Dienst gewährt, an Root, die Produktionsorganisation und an Konto B selbst angehängt werden.

Die SCP-Bewertung folgt einem deny-by-default Modell, was bedeutet, dass alle Berechtigungen, die in den SCPs nicht ausdrücklich erlaubt sind, verweigert werden. Wenn in den SCPs auf keiner der Ebenen wie Root, Production OU oder Account B eine Zulassungsanweisung vorhanden ist, wird der Zugriff verweigert.

Hinweise

  • Eine Allow-Anweisung in einem SCP erlaubt es dem Resource-Element, nur einen "*"-Eintrag zu haben.

  • Eine Allow-Anweisung in einer SCP kann überhaupt kein Condition-Element enthalten.

Abbildung 1: Beispiel für eine Organisationsstruktur mit einer Allow Erklärung, die an Root, Production OU und Account B angehängt ist

Abbildung 2: Beispiel für eine Organisationsstruktur mit fehlender Allow Erklärung bei Production OU und deren Auswirkung auf Account B

So arbeiten SCPs mit Deny

Damit eine Berechtigung für ein bestimmtes Konto verweigert werden kann, kann jeder SCP vom Stamm bis zu jeder OU im direkten Pfad zum Konto (einschließlich des Zielkontos selbst) diese Berechtigung verweigern.

Nehmen wir zum Beispiel an, der Produktionsorganisation ist ein SCP zugeordnet, für den eine ausdrückliche Deny Anweisung für einen bestimmten Dienst angegeben ist. Zufällig ist auch ein weiterer SCP an Root und Account B angehängt, der explizit den Zugriff auf denselben Dienst ermöglicht, wie in Abbildung 3 dargestellt. Infolgedessen wird sowohl Konto A als auch Konto B der Zugriff auf den Dienst verweigert, da eine Ablehnungsrichtlinie, die einer beliebigen Ebene in der Organisation zugewiesen ist, für alle untergeordneten Organisationseinheiten und Mitgliedskonten geprüft wird.

Abbildung 3: Beispiel für eine Organisationsstruktur mit einer Deny-Anweisung, die der Produktionsorganisation beigefügt ist, und deren Auswirkungen auf Konto B

Strategie zur Verwendung von SCPs

Beim Schreiben von SCPs können Sie eine Kombination aus Allow und Deny-Anweisungen verwenden, um beabsichtigte Aktionen und Dienste in Ihrer Organisation zu ermöglichen. DenyKontoauszüge sind ein wirksames Mittel zur Implementierung von Einschränkungen, die für einen größeren Teil Ihres Unternehmens oder Ihrer Organisationseinheiten gelten sollten, denn wenn sie auf Stamm- oder Organisationseinheitsebene angewendet werden, wirken sie sich auf alle Konten aus, denen sie unterstehen.

Sie können beispielsweise eine Richtlinie mithilfe von Deny Anweisungen Verhindern, dass Mitgliedskonten die Organisation verlassen auf der Stammebene implementieren, die für alle Konten in der Organisation wirksam ist. Ablehnungsaussagen unterstützen auch das Bedingungselement, das bei der Erstellung von Ausnahmen hilfreich sein kann.

Tipp

Sie können die Daten zum letzten Zugriff auf den Dienst in IAM verwenden, um Ihre SCPs so zu aktualisieren, dass der Zugriff nur auf die AWS Dienste beschränkt wird, die Sie benötigen. Weitere Informationen finden Sie unter Anzeigen der Daten des letzten Zugriffs auf den Organizations-Service für Organizations im IAM-Benutzerhandbuch.

AWS Organizations fügt jedem Root, jeder Organisationseinheit und jedem Konto bei der AWSAccess Erstellung ein AWS verwaltetes SCP mit dem Namen Full hinzu. Diese Richtlinie lässt alle Services und Aktionen zu. Sie können Full AWSAccess durch eine Richtlinie ersetzen, die nur eine Reihe von Diensten zulässt, sodass neue AWS Dienste nur zulässig sind, wenn sie durch die Aktualisierung von SCPs ausdrücklich zugelassen werden. Wenn Ihre Organisation beispielsweise nur die Nutzung einer Teilmenge von Diensten in Ihrer Umgebung zulassen möchte, können Sie eine Allow-Anweisung verwenden, um nur bestimmte Dienste zuzulassen.

{
"Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ec2:*",
                "cloudwatch:*",
                "organizations:*"
            ],
            "Resource": "*"
        }
    ]
}

Eine Richtlinie, die die beiden Aussagen kombiniert, könnte wie das folgende Beispiel aussehen. Sie verhindert, dass Mitgliedskonten die Organisation verlassen, und ermöglicht die Nutzung der gewünschten AWS -Dienste. Der Organisationsadministrator kann die vollständige AWSAccess Richtlinie trennen und stattdessen diese Richtlinie anhängen.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ec2:*",
                "cloudwatch:*",
                "organizations:*"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Deny", 
            "Action":"organizations:LeaveOrganization",
            "Resource": "*" 
        }
    ]
}

Betrachten Sie nun das folgende Beispiel für eine Organisationsstruktur, um zu verstehen, wie Sie mehrere SCPs auf verschiedenen Ebenen in einer Organisation einsetzen können.

Die folgende Tabelle zeigt die effektiven Richtlinien in der Organisationseinheit Sandbox.

Szenario SCP bei Root SCP bei Sandbox OU SCP bei Konto A Daraus resultierende Richtlinie für Konto A Daraus resultierende Richtlinie für Konto B und Konto C
1 Vollständiger Zugriff AWS Voller AWS Zugriff + S3-Zugriff verweigern AWS Vollzugriff + EC2-Zugriff verweigern Kein S3, kein EC2-Zugriff Kein S3-Zugriff
2 Voller Zugriff AWS EC2-Zugriff zulassen EC2-Zugriff zulassen Voller AWS Zugriff Voller AWS Zugriff
3 S3-Zugriff verweigern S3-Zugriff zulassen Voller AWS Zugriff Kein S3-Zugriff Kein S3-Zugriff

Die folgende Tabelle zeigt die effektiven Richtlinien in der Organisationseinheit Workloads.

Szenario SCP bei Root SCP bei Workloads OU SCP bei der Test OU Daraus resultierende Richtlinie bei Konto D Daraus resultierende Richtlinien bei Production OU, Account E und Account F
1 Voller AWS Zugriff Voller AWS Zugriff Voller AWS Zugriff + EC2-Zugriff verweigern Kein EC2-Zugriff Voller Zugriff AWS
2 Voller AWS Zugriff Voller AWS Zugriff EC2-Zugriff zulassen Voller AWS Zugriff Voller AWS Zugriff
3 S3-Zugriff verweigern Voller AWS Zugriff S3-Zugriff zulassen Kein S3-Zugriff Kein S3-Zugriff