Lista de Servicios de AWS ese apoyo RCPs Probando los efectos de RCPs Tamaño máximo de RCPs Adscribirse RCPs a diferentes niveles de la organización Efectos del RCP en los permisos Los recursos y las entidades no están restringidos por RCPs

Políticas de control de recursos (RCPs)

Las políticas de control de recursos (RCPs) son un tipo de política organizacional que puede usar para administrar los permisos en su organización. RCPs ofrecen un control central sobre el número máximo de permisos disponibles para los recursos de su organización. RCPs le ayudan a garantizar que los recursos de sus cuentas se ajusten a las directrices de control de acceso de su organización. RCPs están disponibles solo en una organización que tenga todas las funciones habilitadas. RCPs no están disponibles si su organización ha activado únicamente las funciones de facturación unificada. Para obtener instrucciones sobre cómo RCPs activarlas, consulteHabilitar un tipo de política.

RCPs por sí solos no son suficientes para conceder permisos a los recursos de su organización. Un RCP no concede ningún permiso. Un RCP define una barrera de permisos, o establece límites, sobre las acciones que las identidades pueden realizar con los recursos de sus organizaciones. El administrador debe seguir adjuntando políticas basadas en la identidad a los usuarios o roles de IAM, o políticas basadas en recursos a los recursos de sus cuentas para poder conceder realmente los permisos. Para obtener más información, consulte Políticas basadas en identidad y políticas basadas en recursos en la Guía del usuario de IAM.

Los permisos efectivos son la intersección lógica entre lo que permiten las políticas de control de servicios (SCPs) RCPs y lo que permiten las políticas basadas en la identidad y en los recursos.

RCPs no afectan a los recursos de la cuenta de administración

RCPs no afectan a los recursos de la cuenta de administración. Solo afectan a los recursos de las cuentas de los miembros de su organización. Esto también significa que RCPs se aplican a las cuentas de los miembros designadas como administradores delegados.

Temas

Lista de Servicios de AWS ese apoyo RCPs
Probando los efectos de RCPs
Tamaño máximo de RCPs
Adscribirse RCPs a diferentes niveles de la organización
Efectos del RCP en los permisos
Los recursos y las entidades no están restringidos por RCPs
Evaluación de RCP
Sintaxis de RCP
Ejemplos de políticas de control de recursos

Lista de Servicios de AWS ese apoyo RCPs

RCPs se aplican a las acciones para lo siguiente Servicios de AWS:

Probando los efectos de RCPs

AWS le recomienda encarecidamente que no se limite RCPs a la raíz de su organización sin probar exhaustivamente el impacto que la política tiene en los recursos de sus cuentas. Puedes empezar por adjuntarlas RCPs a cuentas de prueba individuales, ascenderlas a niveles OUs más bajos de la jerarquía y, después, ir ascendiendo en la estructura de la organización según sea necesario. Una forma de determinar el impacto es revisar los AWS CloudTrail registros para ver si hay errores de acceso denegado.

Tamaño máximo de RCPs

Todos los caracteres de tu RCP se tienen en cuenta para su tamaño máximo. Los ejemplos de esta guía muestran los archivos RCPs formateados con espacios en blanco adicionales para mejorar su legibilidad. Sin embargo, para ahorrar espacio si el tamaño de la política se aproxima al tamaño máximo, puede eliminar todos los espacios en blanco, como espacios y saltos de línea, que estén fuera de las comillas.

sugerencia

Usa el editor visual para crear tu RCP. Este elimina automáticamente el espacio en blanco adicional.

Adscribirse RCPs a diferentes niveles de la organización

Puedes asociarte RCPs directamente a cuentas individuales o a la raíz de la organización. OUs Para obtener una explicación detallada de cómo RCPs funciona, consulteEvaluación de RCP.

Efectos del RCP en los permisos

RCPs son un tipo de política AWS Identity and Access Management (IAM). Están más estrechamente relacionadas con las políticas basadas en los recursos. Sin embargo, un RCP nunca concede permisos. En su lugar, RCPs son controles de acceso los que especifican los permisos máximos disponibles para los recursos de su organización. Para obtener más información, consulte Lógica de evaluación de políticas en la Guía del usuario de IAM.

RCPs se aplican a los recursos de un subconjunto de Servicios de AWS. Para obtener más información, consulte Lista de Servicios de AWS ese apoyo RCPs.
RCPs afectan únicamente a los recursos gestionados por cuentas que forman parte de la organización a la que se ha adscrito. RCPs No afectan a los recursos de cuentas ajenas a la organización. Por ejemplo, pensemos en un bucket de Amazon S3 propiedad de la cuenta A de una organización. La política de bucket (una política basada en los recursos) concede acceso a los usuarios de la cuenta B ajenos a la organización. La cuenta A tiene un RCP adjunto. Ese RCP se aplica al depósito S3 de la cuenta A incluso cuando los usuarios acceden a él desde la cuenta B. Sin embargo, ese RCP no se aplica a los recursos de la cuenta B cuando acceden a ellos los usuarios de la cuenta A.
Un RCP restringe los permisos de los recursos en las cuentas de los miembros. Todos los recursos de una cuenta solo tienen los permisos permitidos por todos los padres que estén por encima de ella. Si un permiso está bloqueado en cualquier nivel por encima de la cuenta, un recurso de la cuenta afectada no tiene ese permiso, incluso si el propietario del recurso incorpora una política basada en los recursos que permite el acceso total a cualquier usuario.
RCPs se aplican a los recursos que están autorizados como parte de una solicitud de operación. Estos recursos se encuentran en la columna «Tipo de recurso» de la tabla de acciones de la Referencia de autorización del servicio. Si se especifica un recurso en la columna «Tipo de recurso», se aplicará el RCPs de la cuenta principal llamante. Por ejemplo, s3:GetObject autoriza el recurso objeto. Siempre que se GetObject realice una solicitud, se solicitará un RCP correspondiente para determinar si el principal solicitante puede invocar la operación. GetObject Un RCP aplicable es un RCP que se ha adjuntado a una cuenta, a una unidad organizativa (OU) o a la raíz de la organización propietaria del recurso al que se accede.
RCPs afectan únicamente a los recursos de las cuentas de los miembros de la organización. No afectan a los recursos de la cuenta de administración. Esto también significa que RCPs se aplican a las cuentas de los miembros designadas como administradores delegados. Para obtener más información, consulte Prácticas recomendadas para la cuenta de administración.
Cuando un director solicita acceder a un recurso de una cuenta que tiene un RCP adjunto (un recurso con un RCP aplicable), el RCP se incluye en la lógica de evaluación de políticas para determinar si se permite o deniega el acceso al principal.
RCPs afectan a los permisos efectivos de los directores que intentan acceder a los recursos de una cuenta de miembro con un RCP aplicable, independientemente de si los directores pertenecen a las mismas organizaciones o no. Esto incluye a los usuarios root. La excepción se produce cuando los directores son funciones vinculadas al servicio, ya RCPs que no se aplican a las llamadas realizadas por funciones vinculadas al servicio. Los roles vinculados al servicio te permiten Servicios de AWS realizar las acciones necesarias en tu nombre y no pueden restringirlos. RCPs
A los usuarios y roles se les deben seguir concediendo permisos con las políticas de permisos de IAM adecuadas, incluidas las políticas basadas en la identidad y en los recursos. Un usuario o rol sin ninguna política de permisos de IAM no tiene acceso, incluso si un RCP aplicable permite todos los servicios, todas las acciones y todos los recursos.

Los recursos y las entidades no están restringidos por RCPs

No se puede utilizar RCPs para restringir lo siguiente:

Cualquier acción sobre los recursos de la cuenta de administración.
RCPs no afectan a los permisos efectivos de ningún rol vinculado a un servicio. Los roles vinculados a un servicio son un tipo único de rol de IAM que se vincula directamente a un AWS servicio e incluyen todos los permisos que el servicio requiere para llamar a otros AWS servicios en su nombre. No se pueden restringir los permisos de los roles vinculados al servicio. RCPs RCPs tampoco afectan a la capacidad de los AWS servicios para asumir un rol vinculado al servicio; es decir, la política de confianza del rol vinculado al servicio tampoco se ve afectada por la política de confianza del rol vinculado al servicio. RCPs
RCPs no se solicitan para.Claves administradas por AWSAWS Key Management Service Claves administradas por AWS son creados, administrados y utilizados en su nombre por un Servicio de AWS. No puede cambiar ni administrar sus permisos.

RCPs no afectan a los siguientes permisos:

Servicio	API	Recursos no autorizados por RCPs
AWS Key Management Service	`kms:RetireGrant`	RCPs no afectan al `kms:RetireGrant` permiso. Para obtener más información sobre cómo `kms:RetireGrant` se determina el permiso, consulta la sección sobre cómo retirar y revocar las subvenciones en la Guía para AWS KMS desarrolladores.

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Solución de problemas

Evaluación de RCP