Politiche di controllo del servizio (SCPs) - AWS Organizations

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Politiche di controllo del servizio (SCPs)

Le politiche di controllo del servizio (SCPs) sono un tipo di politica organizzativa che è possibile utilizzare per gestire le autorizzazioni all'interno dell'organizzazione. SCPsoffrono il controllo centralizzato sulle autorizzazioni massime disponibili per gli IAM utenti e IAM i ruoli dell'organizzazione. SCPsti aiutano a garantire che i tuoi account rispettino le linee guida per il controllo degli accessi della tua organizzazione. SCPssono disponibili solo in un'organizzazione che ha tutte le funzionalità abilitate. SCPsnon sono disponibili se l'organizzazione ha abilitato solo le funzionalità di fatturazione consolidata. Per istruzioni sull'attivazioneSCPs, consulta. Abilitazione di un tipo di policy

SCPsnon concedete autorizzazioni agli IAM utenti e ai IAM ruoli della vostra organizzazione. Nessuna autorizzazione viene concessa da un. SCP An SCP definisce una barriera di autorizzazioni, o imposta dei limiti, alle azioni che gli IAM utenti e IAM i ruoli dell'organizzazione possono eseguire. Per concedere le autorizzazioni, l'amministratore deve allegare politiche per il controllo dell'accesso, ad esempio politiche basate sull'identità associate a IAM utenti e IAM ruoli e politiche basate sulle risorse allegate alle risorse degli account. Le autorizzazioni effettive sono l'intersezione logica tra ciò che è consentito dalle politiche basate sull'identità e sulle risorse SCP e ciò che è consentito.

Importante

SCPsnon influiscono sugli utenti o sui ruoli nell'account di gestione. Influiscono solo sugli account membri nell'organizzazione.

Effetti dei test di SCPs

AWS ti consiglia vivamente di non dedicarti SCPs alla radice della tua organizzazione senza aver testato a fondo l'impatto che la politica ha sugli account. Piuttosto, crea una UO in cui puoi spostare uno alla volta i tuoi account o al massimo in piccole quantità, per accertarti di non escludere inavvertitamente degli utenti dai servizi chiave. Un modo per determinare se un servizio viene utilizzato da un account consiste nell'esaminare i dati dell'ultimo accesso al servizio in IAM. Un altro modo è usare AWS CloudTrail per registrare l'utilizzo del servizio a API livello.

Nota

Non è necessario rimuovere la ullAWSAccess politica F a meno che non la si modifichi o la si sostituisca con una politica separata con azioni consentite, altrimenti tutte AWS le azioni dagli account dei membri falliranno.

Dimensione massima di SCPs

Tutti i caratteri inclusi nel SCP conteggio vengono calcolati rispetto alla dimensione massima. Gli esempi di questa guida mostrano la SCPs formattazione con spazio bianco aggiuntivo per migliorarne la leggibilità. Tuttavia, per risparmiare spazio se la dimensione della policy è prossima alla dimensione massima, puoi eliminare qualsiasi spazio vuoto, come i caratteri spazio e le interruzioni di linea che si trovano al di fuori delle virgolette.

Suggerimento

Usa l'editor visivo per creare il tuo. SCP Rimuove automaticamente lo spazio vuoto aggiuntivo.

Collegamento SCPs a diversi livelli dell'organizzazione

Per una spiegazione dettagliata del SCPs funzionamento, vedereSCPvalutazione.

SCPeffetti sulle autorizzazioni

SCPssono simili a AWS Identity and Access Management (IAM) le politiche di autorizzazione e utilizzano quasi la stessa sintassi. Tuttavia, un utente SCP non concede mai le autorizzazioni. SCPsSi tratta invece JSON di politiche che specificano le autorizzazioni massime per IAM gli utenti e IAM i ruoli dell'organizzazione. Per ulteriori informazioni, vedere Policy Evaluation Logic nella Guida per l'IAMutente.

  • SCPsriguardano solo IAM gli utenti e i ruoli gestiti da account che fanno parte dell'organizzazione. SCPsnon influiscono direttamente sulle politiche basate sulle risorse. Non influenzano gli utenti e i ruoli degli account al di fuori dell'organizzazione. Ad esempio, considera un bucket Amazon S3 che è di proprietà dell'account A in un'organizzazione. La policy del bucket (una policy basata su risorse) concede l'accesso agli utenti dell'account B al di fuori dell'organizzazione. L'account A ha un allegato. SCP Ciò SCP non si applica agli utenti esterni dell'account B. SCP Si applica solo agli utenti gestiti dall'account A nell'organizzazione.

  • An SCP limita le autorizzazioni per IAM gli utenti e i ruoli negli account dei membri, incluso l'utente root dell'account membro. Ogni account dispone solo delle autorizzazioni consentite da ogni padre al di sopra di esso. Se un'autorizzazione è bloccata a qualsiasi livello superiore a quello dell'account, implicitamente (non essendo inclusa in un'informativa Allow politica) o esplicitamente (essendo inclusa in un'informativa Deny politica), un utente o un ruolo nell'account interessato non può utilizzare tale autorizzazione, anche se l'amministratore dell'account attribuisce all'utente la AdministratorAccess IAM politica con le autorizzazioni */*.

  • SCPsriguardano solo gli account dei membri dell'organizzazione. Non hanno alcun effetto sugli utenti o sui ruoli nell'account di gestione.

  • Agli utenti e ai ruoli devono comunque essere concesse le autorizzazioni con politiche di IAM autorizzazione appropriate. Un utente senza alcuna politica di IAM autorizzazione non ha accesso, anche se i criteri applicabili SCPs consentono tutti i servizi e tutte le azioni.

  • Se un utente o un ruolo dispone di una politica di IAM autorizzazione che concede l'accesso a un'azione consentita anche dal pertinenteSCPs, l'utente o il ruolo può eseguire tale azione.

  • Se un utente o un ruolo dispone di una politica di IAM autorizzazione che concede l'accesso a un'azione non consentita o esplicitamente negata dall'autorità applicabileSCPs, l'utente o il ruolo non può eseguire tale azione.

  • SCPsinfluiscono su tutti gli utenti e i ruoli negli account collegati, incluso l'utente root. Le uniche eccezioni sono quelle descritte in Attività ed entità non limitate da SCPs.

  • SCPsnon influiscono su alcun ruolo collegato al servizio. I ruoli collegati ai servizi ne abilitano altri Servizi AWS da integrare con AWS Organizations e non può essere limitato daSCPs.

  • Quando si disabilita il tipo di SCP policy in una cartella root, tutti SCPs vengono automaticamente scollegati da tutti AWS Organizations entità in quella radice. AWS Organizations le entità includono unità organizzative, organizzazioni e account. Se si riattiva SCPs in una radice, tale radice ritorna solo alla FullAWSAccess politica predefinita allegata automaticamente a tutte le entità nella radice. Tutti gli allegati di a SCPs AWS Organizations le entità precedentemente SCPs disattivate vengono perse e non sono recuperabili automaticamente, sebbene sia possibile ricollegarle manualmente.

  • Se SCP sono presenti sia un limite di autorizzazioni (una IAM funzionalità avanzata) che un limite di autorizzazioni, allora il limite, la politica basata sull'identità SCP devono consentire tutti l'azione.

Usare i dati di accesso per migliorare SCPs

Una volta effettuato l'accesso con le credenziali dell'account di gestione, è possibile visualizzare i dati dell'ultimo accesso al servizio per un AWS Organizations entità o politica nel AWS Organizationssezione della IAM console. Puoi anche usare il AWS Command Line Interface (AWS CLI) o AWS APIin IAM per recuperare i dati dell'ultimo accesso al servizio. Questi dati includono informazioni sui servizi consentiti agli IAM utenti e ai ruoli in un AWS Organizations ultimo tentativo di accesso all'account e quando. È possibile utilizzare queste informazioni per identificare le autorizzazioni non utilizzate in modo da poterle affinare per aderire meglio SCPs al principio del privilegio minimo.

Ad esempio, potresti avere un elenco di persone non autorizzate che vieta l'accesso a tre SCP Servizi AWS. Tutti i servizi che non sono elencati nella SCP Deny dichiarazione sono consentiti. L'ultimo accesso ai dati del servizio IAM indica quali Servizi AWS sono consentiti dal SCP ma non vengono mai utilizzati. Con queste informazioni, puoi aggiornarle SCP per negare l'accesso ai servizi che non ti servono.

Per ulteriori informazioni, consulta i seguenti argomenti nella Guida per l'IAMutente:

Attività ed entità non limitate da SCPs

Non è possibile utilizzare SCPs per limitare le seguenti attività:

  • Qualsiasi operazione eseguita dall'account di gestione

  • Qualsiasi operazione eseguita utilizzando le autorizzazioni collegate a un ruolo collegato ai servizi

  • Eseguire la registrazione per il piano di supporto Enterprise come utente root

  • Cambia il AWS livello di supporto come utente root

  • Fornisci funzionalità di firma affidabile per i contenuti CloudFront privati

  • Configurazione inversa DNS per un server di posta elettronica Amazon Lightsail e un'istanza EC2 Amazon come utente root

  • Attività su alcuni AWS-servizi correlati:

    • Alexa Top Sites

    • Alexa Web Information Service

    • Amazon Mechanical Turk

    • Marketing dei prodotti Amazon API