SCPsintaxis - AWS Organizations
Resumen de elementosElemento VersionElemento StatementElemento de ID de instrucción (Sid)Elemento EffectElementos Action y NotActionElemento ResourceElemento ConditionElementos no compatibles

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

SCPsintaxis

Las políticas de control de servicios (SCPs) utilizan una sintaxis similar a la que utilizan las políticas de permisos AWS Identity and Access Management (IAM) y las políticas basadas en recursos (como las políticas de bucket de Amazon S3). Para obtener más información sobre IAM las políticas y su sintaxis, consulte la descripción general de IAM las políticas en la Guía del IAMusuario.

An SCP es un archivo de texto sin formato que está estructurado de acuerdo con las reglas de JSON. Utiliza los elementos que se describen en este tema.

nota

Todos los caracteres de tu lista se SCP calculan en función de su tamaño máximo. Los ejemplos de esta guía muestran los objetos SCPs formateados con espacios en blanco adicionales para mejorar su legibilidad. Sin embargo, para ahorrar espacio si el tamaño de la política se aproxima al tamaño máximo, puede eliminar todos los espacios en blanco, como espacios y saltos de línea, que estén fuera de las comillas.

Para obtener información general acerca de SCPs, consulte Políticas de control de servicios (SCPs).

Resumen de elementos

En la siguiente tabla se resumen los elementos de política que puede utilizar. SCPs Algunos elementos de política solo están disponibles para denegar acciones. SCPs En la columna Efectos admitidos se muestra el tipo de efecto que se puede utilizar con cada elemento de políticaSCPs.

Elemento Finalidad Efectos admitidos
Versión Especifica las reglas de sintaxis del lenguaje que se utilizarán para procesar la política.

Allow, Deny
Instrucción Sirve como contenedor de elementos de política. Puede incluir varias declaracionesSCPs. Allow, Deny
Statement ID (Sid) (ID de instrucción) (Opcional) Proporciona un nombre fácil de recordar para la instrucción. Allow, Deny
Effect Define si la SCP declaración permite o deniega el acceso a IAM los usuarios y roles de una cuenta. Allow, Deny

Action

Especifica el AWS servicio y las acciones que SCP permite o deniega.

Allow, Deny

NotAction

Especifica el AWS servicio y las acciones que están exentos delSCP. Se utiliza en lugar del elemento Action.

Deny
Resource Especifica los AWS recursos a los que SCP se aplica. Deny
Condición Especifica las condiciones que determinan cuándo se aplica la instrucción. Deny

En las siguientes secciones se proporciona más información y ejemplos de cómo se utilizan los elementos de políticaSCPs.

Elemento Version

Cada uno SCP debe incluir un Version elemento con el valor"2012-10-17". Es el mismo valor de versión que la versión más reciente de las políticas de IAM permisos.

    "Version": "2012-10-17",

Para obtener más información, consulte Elementos IAM JSON de política: versión en la Guía del IAM usuario.

Elemento Statement

Una SCP consta de uno o más Statement elementos. Solo puede haber una Statement palabra clave en una política, pero el valor puede ser una JSON matriz de sentencias (rodeadas de [] caracteres).

El siguiente ejemplo muestra una única instrucción que consta de los elementos Effect, Action y Resource.

    "Statement": {
        "Effect": "Allow",
        "Action": "*",
        "Resource": "*"
    }

El siguiente ejemplo incluye dos instrucciones como una lista de matriz dentro de un elemento Statement. La primera afirmación permite todas las acciones, mientras que la segunda niega cualquier EC2 acción. El resultado es que un administrador de la cuenta puede delegar cualquier permiso excepto los de Amazon Elastic Compute Cloud (AmazonEC2).

    "Statement": [
        {
            "Effect": "Allow",
            "Action": "*",
            "Resource": "*"
        },
        {
            "Effect": "Deny",
            "Action": "ec2:*",
            "Resource": "*"
        }
    ]

Para obtener más información, consulte Elementos IAM JSON de la política: declaración en la guía del IAM usuario.

Elemento de ID de instrucción (Sid)

El elemento Sid es un identificador opcional que se proporciona para la instrucción de la política. Puede asignar un valor de Sid a cada instrucción de una matriz de instrucciones. El siguiente ejemplo SCP muestra un ejemplo de Sid declaración. 

{
    "Statement": {
        "Sid": "AllowsAllActions",
        "Effect": "Allow",
        "Action": "*",
        "Resource": "*"
    }
}

Para obtener más información, consulte Elementos IAM JSON de política: ID en la Guía del IAM usuario.

Elemento Effect

Cada instrucción debe contener un elemento Effect. El valor puede ser Allow o Deny. Afecta a las acciones enumeradas en la misma instrucción.

Para obtener más información, consulte Elementos IAM JSON de política: efecto en la Guía del IAM usuario.

"Effect": "Allow"

En el siguiente ejemplo, se muestra una instrucción SCP con un Effect elemento con un valor de Allow que permite a los usuarios de la cuenta realizar acciones para el servicio Amazon S3. Este ejemplo es útil en una organización que usa la estrategia de permitidos (donde las políticas FullAWSAccess predeterminadas estén desasociadas y, por tanto, los permisos se deniegan implícitamente de forma predeterminada). El resultado es que la instrucción permite los permisos de Amazon S3 en cualquier cuenta asociada:

{
    "Statement": {
        "Effect": "Allow",
        "Action": "s3:*",
        "Resource": "*"
    }
}

Aunque esta declaración usa la misma palabra clave de Allow valor como política de IAM permisos, en SCP realidad no otorga permiso al usuario para hacer nada. En su lugar, SCPs actúan como filtros que especifican los permisos máximos para los IAM usuarios y las IAM funciones de una organización. En el ejemplo anterior, incluso si un usuario de la cuenta tuviera la política AdministratorAccess gestionada adjunta, esto SCP limita a todos los usuarios de las cuentas afectadas a realizar únicamente acciones de Amazon S3.

"Effect": "Deny"

En una declaración en la que el Effect elemento tenga un valor deDeny, también puedes restringir el acceso a recursos específicos o definir las condiciones para cuando SCPs estén en vigor.

A continuación, se muestra un ejemplo de cómo utilizar una clave de condición en una instrucción de denegación.

{
    "Version": "2012-10-17",
    "Statement": {
        "Effect": "Deny",
        "Action": "ec2:RunInstances",
        "Resource": "arn:aws:ec2:*:*:instance/*",
        "Condition": {
            "StringNotEquals": {
                "ec2:InstanceType": "t2.micro"
            }
        }
    }
}

Esta declaración SCP establece una barrera de protección para evitar que las cuentas afectadas (cuando están adjuntas a la SCP propia cuenta o a la raíz de la organización o unidad organizativa que contiene la cuenta) lancen EC2 instancias de Amazon si la EC2 instancia de Amazon no está configurada para ello. t2.micro Incluso si hay una IAM política que permita esta acción asociada a la cuenta, la barrera de protección creada por ella lo impide. SCP

Elementos Action y NotAction

Cada instrucción debe contener uno de los elementos siguientes:

  • En las instrucciones de permiso o denegación, un elemento Action.

  • En las instrucciones de denegación solo (cuando el valor del elemento Effect sea Deny), un elemento Action o NotAction.

El valor del NotAction elemento Action o es una lista (una JSON matriz) de cadenas que identifican Servicios de AWS las acciones permitidas o denegadas por la sentencia.

Cada cadena consta de la abreviatura del servicio (como "s3", "ec2", "iam" u "organizaciones"), en letras minúsculas, seguida de un carácter de punto y coma y una acción de ese servicio. Las acciones y las acciones no distinguen mayúsculas de minúsculas. Por lo general, todas deben especificarse con cada palabra con la inicial en mayúsculas y el resto en minúsculas. Por ejemplo: "s3:ListAllMyBuckets".

También puede utilizar caracteres comodín como un asterisco (*) o un signo de interrogación (?) en un: SCP

  • Utilice un asterisco (*) como carácter comodín como representación de varias acciones que comparten parte de un nombre. El valor "s3:*" significa todas las acciones del servicio Amazon S3. El valor solo "ec2:Describe*" coincide con las EC2 acciones que comienzan por «Describir».

  • Utilice el carácter comodín del signo de interrogación de cierre (?) como representación de un carácter único.

nota

En anSCP, los caracteres comodín (*) y (?) en un NotAction elemento Action o solo se pueden usar solos o al final de la cadena. No puede aparecer al principio o en el medio de la cadena. Por lo tanto, "servicename:action*" es válido, pero "servicename:*action" ambos no "servicename:some*action" son válidos enSCPs.

Para obtener una lista de todos los servicios y las acciones que admiten, tanto AWS Organizations SCPs en las políticas de IAM permisos, las acciones, los recursos y las claves de condición de Servicios de AWS la referencia de autorización de servicios.

Para obtener más información, consulte Elementos IAM JSON de política: acción y elementos IAM JSON de política: NotAction en la Guía del IAM usuario.

Ejemplo de elemento Action

En el siguiente ejemplo, se muestra una SCP con una instrucción que permite a los administradores de cuentas delegar los permisos de descripción, inicio, detención y finalización para EC2 las instancias de la cuenta. Este es un ejemplo de una lista de permitidos, y es útil cuando las políticas Allow * predeterminadas no se adjuntan para que, de forma predeterminada, los permisos sean denegados implícitamente. Si la política Allow * predeterminada sigue estando asociada al nodo raíz, unidad organizativa o cuenta a la que la siguiente política está asociada, entonces la política no tiene ningún efecto.

{
    "Version": "2012-10-17",
    "Statement": {
        "Effect": "Allow",
        "Action": [
          "ec2:DescribeInstances", "ec2:DescribeImages", "ec2:DescribeKeyPairs",
          "ec2:DescribeSecurityGroups", "ec2:DescribeAvailabilityZones", "ec2:RunInstances",
          "ec2:TerminateInstances", "ec2:StopInstances", "ec2:StartInstances"
        ],
        "Resource": "*"
    }
}

El siguiente ejemplo muestra cómo puede denegar el acceso a servicios que no desea usar en cuentas asociadas. Se supone que los valores predeterminados "Allow *" SCPs siguen estando asociados a todas OUs y a la raíz. Este ejemplo de política impide que los administradores de cuentas adjuntas deleguen permisos para los IAM RDS servicios de Amazon EC2 y Amazon. Cualquier acción desde otros servicios se puede delegar siempre y cuando no exista otra política asociada que la deniegue.

{
    "Version": "2012-10-17",
    "Statement": {
        "Effect": "Deny",
        "Action": [ "iam:*", "ec2:*", "rds:*" ],
        "Resource": "*"
    }
}

Ejemplo de elemento NotAction

El siguiente ejemplo muestra cómo puedes usar un NotAction elemento para excluirlo Servicios de AWS del efecto de la política.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "LimitActionsInRegion",
      "Effect": "Deny",
      "NotAction": "iam:*",
      "Resource": "*",
      "Condition": {
        "StringNotEquals": {
          "aws:RequestedRegion": "us-west-1"
         }
       }
     }
   ]
}

Con esta declaración, las cuentas afectadas se limitan a realizar las acciones especificadas Región de AWS, excepto cuando IAM las utilizan.

Elemento Resource

En las declaraciones en las que el Effect elemento tiene un valor deAllow, solo puede especificar «*» en el Resource elemento de unaSCP. No puede especificar los nombres de recursos de Amazon (ARNs) de recursos individuales.

También puede utilizar caracteres comodín tales como el asterisco (*) o el signo de interrogación de cierre (?) en el elemento de recurso:

  • Utilice un asterisco (*) como carácter comodín como representación de varias acciones que comparten parte de un nombre.

  • Utilice el carácter comodín del signo de interrogación de cierre (?) como representación de un carácter único.

En las declaraciones en las que el Effect elemento tiene un valor deDeny, puede especificar un individuoARNs, como se muestra en el siguiente ejemplo.

{    
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "DenyAccessToAdminRole",
      "Effect": "Deny",
      "Action": [
        "iam:AttachRolePolicy",
        "iam:DeleteRole",
        "iam:DeleteRolePermissionsBoundary",
        "iam:DeleteRolePolicy",
        "iam:DetachRolePolicy",
        "iam:PutRolePermissionsBoundary",
        "iam:PutRolePolicy",
        "iam:UpdateAssumeRolePolicy",
        "iam:UpdateRole",
        "iam:UpdateRoleDescription"
      ],
      "Resource": [
        "arn:aws:iam::*:role/role-to-deny"
      ]
    }
  ]
}

Esto SCP impide que IAM los usuarios y las funciones de las cuentas afectadas realicen cambios en una IAM función administrativa común creada en todas las cuentas de la organización.

Para obtener más información, consulte Elementos IAM JSON de política: recurso en la Guía del IAM usuario.

Elemento Condition

Puede especificar un Condition elemento en las declaraciones de rechazo en unSCP. 

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "DenyAllOutsideEU",
            "Effect": "Deny",
            "NotAction": [
                "cloudfront:*",
                "iam:*",
                "route53:*",
                "support:*"
            ],
            "Resource": "*",
            "Condition": {
                "StringNotEquals": {
                    "aws:RequestedRegion": [
                        "eu-central-1",
                        "eu-west-1"
                    ]
                }
            }
        }
    ]
}

Esto SCP deniega el acceso a cualquier operación fuera de eu-west-1 las regiones eu-central-1 y, excepto a las acciones que se realicen en los servicios enumerados.

Para obtener más información, consulte Elementos IAM JSON de política: condición en la Guía del IAM usuario.

Elementos no compatibles

Los siguientes elementos no se admiten enSCPs:

  • Principal

  • NotPrincipal

  • NotResource