Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
SCPevaluasi
catatan
Informasi di bagian ini tidak berlaku untuk jenis kebijakan manajemen, termasuk kebijakan cadangan, kebijakan tag, kebijakan chatbot, atau kebijakan opt-out layanan AI. Untuk informasi selengkapnya, lihat Memahami warisan kebijakan manajemen.
Karena Anda dapat melampirkan beberapa kebijakan kontrol layanan (SCPs) pada tingkat yang berbeda AWS Organizations, memahami bagaimana SCPs dievaluasi dapat membantu Anda menulis SCPs yang menghasilkan hasil yang tepat.
Topik
Bagaimana SCPs bekerja dengan Allow
Agar izin diizinkan untuk akun tertentu, harus ada Allowpernyataan eksplisit di setiap tingkat dari root melalui setiap OU di jalur langsung ke akun (termasuk akun target itu sendiri). Inilah sebabnya mengapa ketika Anda mengaktifkanSCPs, AWS Organizations melampirkan SCP kebijakan AWS terkelola bernama F ullAWSAccess
Sebagai contoh, mari kita telusuri skenario yang ditunjukkan pada gambar 1 dan 2. Agar izin atau layanan diizinkan di Akun B, a SCP yang memungkinkan izin atau layanan harus dilampirkan ke Root, OU Produksi, dan Akun B itu sendiri.
SCPevaluasi mengikuti deny-by-default model, yang berarti bahwa setiap izin yang tidak diizinkan secara eksplisit di ditolak. SCPs Jika pernyataan izin tidak ada SCPs di salah satu tingkat seperti Root, Produksi OU atau Akun B, akses ditolak.
Catatan
-
AllowPernyataan dalam SCP mengizinkanResourceelemen untuk hanya memiliki"*"entri. -
AllowPernyataan dalam sebuah tidak SCP dapat memilikiConditionelemen sama sekali.
Gambar 1: Contoh struktur organisasi dengan Allow pernyataan terlampir di Root, Production OU dan Account B
Gambar 2: Contoh struktur organisasi dengan Allow pernyataan yang hilang di Produksi OU dan dampaknya pada Akun B
Bagaimana SCPs bekerja dengan Deny
Agar izin ditolak untuk akun tertentu, setiap SCP dari root melalui setiap OU di jalur langsung ke akun (termasuk akun target itu sendiri) dapat menolak izin itu.
Sebagai contoh, katakanlah ada yang SCP melekat pada OU Produksi yang memiliki Deny pernyataan eksplisit yang ditentukan untuk layanan tertentu. Ada juga yang SCP melekat pada Root dan Akun B yang secara eksplisit memungkinkan akses ke layanan yang sama, seperti yang ditunjukkan pada Gambar 3. Akibatnya, baik Akun A dan Akun B akan ditolak akses ke layanan karena kebijakan penolakan yang dilampirkan ke tingkat mana pun dalam organisasi dievaluasi untuk semua akun anggota OUs dan di bawahnya.
Gambar 3: Contoh struktur organisasi dengan Deny pernyataan terlampir di Produksi OU dan dampaknya pada Akun B
Strategi untuk menggunakan SCPs
Saat menulis, SCPs Anda dapat menggunakan kombinasi Allow dan Deny pernyataan untuk memungkinkan tindakan dan layanan yang dimaksudkan dalam organisasi Anda. Denypernyataan adalah cara yang ampuh untuk menerapkan pembatasan yang seharusnya benar untuk bagian yang lebih luas dari organisasi Anda atau OUs karena ketika mereka diterapkan di root atau tingkat OU mereka mempengaruhi semua akun di bawahnya.
Misalnya, Anda dapat menerapkan kebijakan menggunakan Deny pernyataan ke Mencegah akun anggota keluar dari organisasi tingkat root, yang akan efektif untuk semua akun di organisasi. Pernyataan tolak juga mendukung elemen kondisi yang dapat membantu untuk membuat pengecualian.
Tip
Anda dapat menggunakan layanan data yang diakses terakhir IAMuntuk memperbarui Anda SCPs untuk membatasi akses hanya ke Layanan AWS yang Anda butuhkan. Untuk informasi selengkapnya, lihat Melihat Organizations Service Last Access Data for Organizations di Panduan IAM Pengguna.
AWS Organizations melampirkan F SCPAllow pernyataan untuk hanya mengizinkan layanan tertentu.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ec2:*", "cloudwatch:*", "organizations:*" ], "Resource": "*" } ] }
Kebijakan yang menggabungkan dua pernyataan mungkin terlihat seperti contoh berikut, yang mencegah akun anggota meninggalkan organisasi dan memungkinkan penggunaan AWS layanan yang diinginkan. Administrator organisasi dapat melepaskan ullAWSAccess kebijakan F dan melampirkan yang ini sebagai gantinya.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ec2:*", "cloudwatch:*", "organizations:*" ], "Resource": "*" }, { "Effect": "Deny", "Action":"organizations:LeaveOrganization", "Resource": "*" } ] }
Sekarang, pertimbangkan struktur organisasi sampel berikut untuk memahami bagaimana Anda dapat menerapkan beberapa SCPs pada tingkat yang berbeda dalam suatu organisasi.
Tabel berikut menunjukkan kebijakan efektif di Sandbox OU.
| Skenario | SCPdi Root | SCPdi Sandbox OU | SCPdi Akun A | Kebijakan yang dihasilkan di Akun A | Kebijakan yang dihasilkan di Akun B dan Akun C |
|---|---|---|---|---|---|
| 1 | AWS Akses penuh | AWS Akses penuh+tolak akses S3 | AWS Akses penuh+tolak EC2 akses | Tidak ada S3, tidak ada akses EC2 | Tidak ada akses S3 |
| 2 | AWS Akses penuh | Izinkan EC2 akses | Izinkan EC2 akses | Izinkan EC2 akses | Izinkan EC2 akses |
| 3 | Tolak akses S3 | Izinkan akses S3 | AWS Akses penuh | Tidak ada akses layanan | Tidak ada akses layanan |
Tabel berikut menunjukkan kebijakan efektif dalam Beban Kerja OU.
| Skenario | SCPdi Root | SCPdi Beban Kerja OU | SCPdi Test OU | Kebijakan yang dihasilkan di Akun D | Kebijakan yang dihasilkan di Produksi OU, Akun E dan Akun F |
|---|---|---|---|---|---|
| 1 | AWS Akses penuh | AWS Akses penuh | AWS Akses penuh+tolak EC2 akses | Tidak ada EC2 akses | AWS Akses penuh |
| 2 | AWS Akses penuh | AWS Akses penuh | Izinkan EC2 akses | Izinkan EC2 akses | AWS Akses penuh |
| 3 | Tolak akses S3 | AWS Akses penuh | Izinkan akses S3 | Tidak ada akses layanan | Tidak ada akses layanan |
