Più di un oggetto della policy Più di un elemento Statement Il documento della policy supera le dimensioni massime

Risoluzione dei problemi relativi alle politiche di controllo del servizio (SCPs) con AWS Organizations

Utilizzate queste informazioni per diagnosticare e correggere gli errori più comuni riscontrati nelle politiche di controllo del servizio (SCPs).

Politiche di controllo del servizio (SCPs) in AWS Organizations sono simili alle IAM policy e condividono una sintassi comune. Questa sintassi inizia con le regole di JavaScript Object Notation (). JSON JSONdescrive un oggetto con le coppie di nomi e valori che lo compongono. La grammatica IAM politica si basa su ciò definendo quali nomi e valori hanno significato e sono compresi da Servizi AWS che utilizzano politiche per concedere le autorizzazioni.

AWS Organizations utilizza un sottoinsieme della IAM sintassi e della grammatica. Per informazioni dettagliate, consultare SCPsintassi.

Errori di policy comuni

Più di un oggetto della policy
Più di un elemento Statement
Il documento della policy supera le dimensioni massime

Più di un oggetto della policy

Un SCP deve essere composto da uno e un solo oggetto. JSON È possibile denotare un oggetto racchiudendolo tra parentesi graffe { }. Sebbene sia possibile annidare altri oggetti all'interno di un JSON oggetto incorporando {} parentesi graffe aggiuntive all'interno della coppia esterna, una policy può contenere solo una coppia più esterna di {} parentesi graffe. L'esempio seguente non è corretto perché contiene due oggetti al livello superiore (richiamati in red):


{
  "Version": "2012-10-17",
  "Statement": 
  {
     "Effect":"Allow",
     "Action":"ec2:Describe*",
     "Resource":"*"
  }
}
{ 
  "Statement": {
     "Effect": "Deny",
     "Action": "s3:*",
     "Resource": "*"
  }
}

Tuttavia, è possibile soddisfare l'intenzione dell'esempio precedente utilizzando una corretta grammatica della policy. Anziché includere due oggetti di policy completi, ciascuno con il proprio elemento Statement, è possibile combinare i due blocchi in un singolo elemento Statement. L'elemento Statement dispone di una matrice di due oggetti come valore, come mostrato nell'esempio seguente:


{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": "ec2:Describe*",
      "Resource":" *"
    },
    {
      "Effect": "Deny",
      "Action": "s3:*",
      "Resource": "*"
    }
  ]
}

In questo esempio non è possibile comprimere ulteriormente l'istruzione Statement con un altro elemento, perché i due elementi hanno effetti diversi. Generalmente, è possibile combinare le istruzioni solo quando gli elementi Effect e Resource di ogni istruzione sono identici.

Più di un elemento Statement

Questo errore potrebbe apparentemente sembrare una variazione dell'errore nella sezione precedente. Tuttavia, sintatticamente si tratta di un altro tipo di errore. L'esempio seguente include un solo oggetto della policy, come indicato dalla singola coppia di parentesi graffe { } al livello più alto. Tuttavia, quell'oggetto contiene due elementi Statement al suo interno.

Un SCP deve contenere solo un Statement elemento, composto dal nome (Statement) che appare a sinistra dei due punti, seguito dal relativo valore a destra. Il valore di un elemento Statement deve essere un oggetto, contrassegnato da parentesi graffe {}, che contiene un elemento Effect, un elemento Action e un elemento Resource. L'esempio seguente è sbagliato perché contiene due elementi Statement nell'oggetto della policy:


{
  "Version": "2012-10-17",
  "Statement": {
    "Effect": "Allow",
    "Action": "ec2:Describe*",
    "Resource": "*"
  },
  "Statement": {
    "Effect": "Deny",
    "Action": "s3:*",
    "Resource": "*"
  }
}

Poiché un oggetto del valore può essere una matrice di oggetti a valore multiplo, è possibile risolvere questo problema combinando i due elementi Statement in un unico elemento con una matrice di oggetto, come riportato nell'esempio seguente:


{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": "ec2:Describe*",
      "Resource":"*"
    },
    {
      "Effect": "Deny",
      "Action": "s3:*",
      "Resource": "*"
    }
 ]
}

Il valore dell'elemento Statement è una matrice di oggetti. La matrice nell'esempio è costituita da due oggetti, ognuno dei quali è un valore corretto di un elemento Statement. Ogni oggetto nella matrice è separato da virgole.

Il documento della policy supera le dimensioni massime

La dimensione massima di un SCP documento è di 5.120 caratteri. Questa dimensione massima include tutti i caratteri, incluso lo spazio vuoto. Per ridurre le dimensioni del fileSCP, puoi rimuovere tutti i caratteri di spazio bianco (come spazi e interruzioni di riga) che non sono tra virgolette.

Nota

Se si salva la politica utilizzando il AWS Management Console, lo spazio bianco aggiuntivo tra JSON gli elementi e al di fuori delle virgolette viene rimosso e non conteggiato. Se si salva la politica utilizzando un'SDKoperazione o il AWS CLI, quindi la policy viene salvata esattamente come è stata fornita e non si verifica alcuna rimozione automatica dei caratteri.

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Amazon VPC

Policy di gestione