SCPsintassi - AWS Organizations
Riepilogo degli elementiElemento VersionElemento StatementElemento Statement ID (Sid)Elemento EffectElementi Action e NotActionElemento ResourceElemento ConditionElementi non supportati

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

SCPsintassi

Le policy di controllo dei servizi (SCPs) utilizzano una sintassi simile a quella utilizzata da AWS Identity and Access Management (IAM) policy di autorizzazione e policy basate sulle risorse (come le bucket policy di Amazon S3). Per ulteriori informazioni sulle IAM politiche e sulla loro sintassi, consulta Panoramica delle politiche nella Guida per l'utente. IAM IAM

An SCP è un file di testo semplice strutturato secondo le regole di. JSON Utilizza gli elementi descritti in questo argomento.

Nota

Tutti i caratteri inclusi nel SCP conteggio vengono calcolati ai fini della dimensione massima. Gli esempi di questa guida mostrano la SCPs formattazione con spazio bianco aggiuntivo per migliorarne la leggibilità. Tuttavia, per risparmiare spazio se la dimensione della policy è prossima alla dimensione massima, puoi eliminare qualsiasi spazio vuoto, come i caratteri spazio e le interruzioni di linea che si trovano al di fuori delle virgolette.

Per informazioni generali su SCPs, consulta Politiche di controllo del servizio (SCPs).

Riepilogo degli elementi

La tabella seguente riassume gli elementi della politica in cui è possibile utilizzare. SCPs Alcuni elementi della policy sono disponibili solo nella versione SCPs che nega le azioni. La colonna Effetti supportati elenca il tipo di effetto che è possibile utilizzare con ogni elemento della policy inSCPs.

Elemento Scopo Effetti supportati
Versione Specifica le regole di sintassi del linguaggio da utilizzare per elaborare la policy.

Allow, Deny
Statement Serve da container per gli elementi di policy. È possibile inserire più istruzioni inSCPs. Allow, Deny
Statement ID (Sid) (Facoltativo) Fornisce un nome semplice per l'istruzione. Allow, Deny
Effetto Definisce se l'SCPistruzione consente o nega l'accesso agli IAM utenti e ai ruoli in un account. Allow, Deny

Azione

Specifica AWS il servizio e le azioni che SCP consente o nega.

Allow, Deny

NotAction

Specifica AWS il servizio e le azioni che sono esenti da. SCP Utilizzato invece dell'elemento Action.

Deny
Risorsa Speciifica le AWS risorse a cui si applica. SCP Deny
Condition Specifica le condizioni che stabiliscono quando l'istruzione è attiva. Deny

Le sezioni seguenti forniscono ulteriori informazioni ed esempi su come vengono utilizzati gli elementi delle politiche. SCPs

Elemento Version

Ciascuno SCP deve includere un Version elemento con il valore"2012-10-17". Si tratta dello stesso valore di versione della versione più recente delle politiche di IAM autorizzazione.

    "Version": "2012-10-17",

Per ulteriori informazioni, consulta Elementi IAM JSON della politica: versione nella guida IAM per l'utente.

Elemento Statement

An SCP è costituito da uno o più Statement elementi. È possibile includere una sola Statement parola chiave in una policy, ma il valore può essere una JSON matrice di istruzioni (circondata da [] caratteri).

Nell'esempio seguente viene illustrata una singola istruzione composta di elementi Effect, Action e Resource.

    "Statement": {
        "Effect": "Allow",
        "Action": "*",
        "Resource": "*"
    }

L'esempio seguente include due istruzioni come un elenco matrice all'interno di un elemento Statement. La prima istruzione consente tutte le azioni, mentre la seconda nega qualsiasi EC2 azione. Il risultato è che un amministratore dell'account può delegare qualsiasi autorizzazione ad eccezione di quelle di Amazon Elastic Compute Cloud (AmazonEC2).

    "Statement": [
        {
            "Effect": "Allow",
            "Action": "*",
            "Resource": "*"
        },
        {
            "Effect": "Deny",
            "Action": "ec2:*",
            "Resource": "*"
        }
    ]

Per ulteriori informazioni, consulta IAMJSONPolicy Elements: Statement in the IAMUser Guide.

Elemento Statement ID (Sid)

Sid è un identificatore opzionale fornito per l'istruzione della policy. Puoi assegnare un valore Sid a ogni istruzione in una matrice di istruzioni. L'esempio seguente SCP mostra un'Sidistruzione di esempio. 

{
    "Statement": {
        "Sid": "AllowsAllActions",
        "Effect": "Allow",
        "Action": "*",
        "Resource": "*"
    }
}

Per ulteriori informazioni, vedere IAMJSONPolicy Elements: Id nella Guida IAM per l'utente.

Elemento Effect

Ogni istruzione deve contenere un elemento Effect. Il valore può essere Allow o Deny. Influenza tutte le operazioni elencate nella stessa istruzione.

Per ulteriori informazioni, vedere IAMJSONPolicy Elements: Effect in the IAMUser Guide.

"Effect": "Allow"

L'esempio seguente mostra un'istruzione SCP with a che contiene un Effect elemento con un valore Allow che consente agli utenti dell'account di eseguire azioni per il servizio Amazon S3. Questo esempio è utile se un'organizzazione utilizza la strategia dell'elenco consentiti (ove le policy FullAWSAccess predefinite sono tutte scollegate, in modo che le autorizzazioni vengano negate in modo implicito per impostazione predefinita). Il risultato è che l'istruzione concede le autorizzazioni Amazon S3 per qualsiasi account collegato:

{
    "Statement": {
        "Effect": "Allow",
        "Action": "s3:*",
        "Resource": "*"
    }
}

Anche se questa istruzione utilizza la stessa parola chiave di Allow valore come politica di IAM autorizzazione, in realtà SCP non concede all'utente il permesso di fare nulla. Funzionano invece SCPs come filtri che specificano le autorizzazioni massime per gli IAM utenti e IAM i ruoli in un'organizzazione. Nell'esempio precedente, anche se un utente dell'account aveva la policy AdministratorAccess gestita allegata, ciò SCP limita tutti gli utenti degli account interessati alle sole azioni di Amazon S3.

"Effect": "Deny"

In un'istruzione in cui l'Effectelemento ha un valore diDeny, puoi anche limitare l'accesso a risorse specifiche o definire le condizioni relative alla data di entrata in SCPs vigore.

Quanto segue mostra un esempio di come utilizzare una condizione di chiave in un'istruzione di rifiuto.

{
    "Version": "2012-10-17",
    "Statement": {
        "Effect": "Deny",
        "Action": "ec2:RunInstances",
        "Resource": "arn:aws:ec2:*:*:instance/*",
        "Condition": {
            "StringNotEquals": {
                "ec2:InstanceType": "t2.micro"
            }
        }
    }
}

Questa dichiarazione SCP stabilisce una barriera per impedire agli account interessati (collegati all'SCPaccount stesso o alla radice dell'organizzazione o all'unità organizzativa che contiene l'account) di avviare EC2 istanze Amazon se l'EC2istanza Amazon non è impostata su. t2.micro Anche se all'account è associata una IAM policy che consente questa azione, il guardrail creato dall'account la impedisce. SCP

Elementi Action e NotAction

Ogni istruzione deve contenere uno dei seguenti:

  • Nelle istruzioni di concessione o rifiuto, un elemento Action.

  • Solo nelle istruzioni di rifiuto (in cui il valore dell'elemento Effect è Deny), un elemento Action o NotAction.

Il valore dell'NotActionelemento Action or è un elenco (un JSON array) di stringhe che identificano Servizi AWS le azioni consentite o negate dall'istruzione.

Ogni stringa è composta dall'abbreviazione per il servizio (come "s3", "ec2", "iam" o "organizzazioni"), in lettere minuscole, seguita da due punti e quindi da un'operazione da quel servizio. Le azioni e le notazioni non fanno distinzione tra maiuscole e minuscole. Di solito, queste vengono digitate con ogni parola che inizia con una lettera maiuscola e il resto in minuscolo. Ad esempio: "s3:ListAllMyBuckets".

Puoi anche usare caratteri jolly come l'asterisco (*) o il punto interrogativo (?) in un: SCP

  • Utilizzare un asterisco (*) come carattere jolly per abbinare più operazioni che condividono parte di un nome. Il valore "s3:*" indica tutte le operazioni del servizio Amazon S3. Il valore "ec2:Describe*" corrisponde solo alle EC2 azioni che iniziano con «Descrivi».

  • Utilizzare il punto interrogativo (?) come carattere jolly per abbinare un singolo carattere.

Nota

In unSCP, i caratteri jolly (*) e (?) in un NotAction elemento Action or può essere usato solo da solo o alla fine della stringa. Non può trovarsi all'inizio o al centro della stringa. Pertanto, "servicename:action*" è valido, ma "servicename:*action" non "servicename:some*action" sono entrambi validi inSCPs.

Per un elenco di tutti i servizi e delle azioni che supportano in entrambi, AWS Organizations SCPs nonché le politiche di IAM autorizzazione, le azioni, le risorse e le chiavi di condizione per Servizi AWS il riferimento di autorizzazione del servizio.

Per ulteriori informazioni, vedere Elementi IAM JSON della politica: elementi di azione e IAMJSONpolitica: NotAction nella Guida per l'IAMutente.

Esempio di elemento Action

L'esempio seguente mostra un'istruzione SCP with che consente agli amministratori dell'account di delegare, descrivere, avviare, interrompere e terminare le autorizzazioni per EC2 le istanze presenti nell'account. Questo è un esempio di elenco di consentiti ed è utile quando le policy Allow * di default non sono collegate in modo che, per impostazione predefinita, le autorizzazioni vengono negate in modo implicito. Se la policy Allow * di default è ancora collegata al root, all'UO o all'account a cui è collegata la seguente policy, la policy non ha effetto:

{
    "Version": "2012-10-17",
    "Statement": {
        "Effect": "Allow",
        "Action": [
          "ec2:DescribeInstances", "ec2:DescribeImages", "ec2:DescribeKeyPairs",
          "ec2:DescribeSecurityGroups", "ec2:DescribeAvailabilityZones", "ec2:RunInstances",
          "ec2:TerminateInstances", "ec2:StopInstances", "ec2:StartInstances"
        ],
        "Resource": "*"
    }
}

L'esempio seguente mostra come è possibile negare l'accesso ai servizi che non desideri utilizzare negli account collegati. Si presuppone che le impostazioni predefinite "Allow *" SCPs siano ancora associate a all e alla root. OUs Questa politica di esempio impedisce agli amministratori degli account collegati di delegare qualsiasi autorizzazione per i servizi IAM Amazon EC2 e Amazon. RDS Qualsiasi operazione da altri servizi può essere delegata a condizione che non vi sia un'altra policy collegata che li neghi.

{
    "Version": "2012-10-17",
    "Statement": {
        "Effect": "Deny",
        "Action": [ "iam:*", "ec2:*", "rds:*" ],
        "Resource": "*"
    }
}

Esempio di elemento NotAction

L'esempio seguente mostra come utilizzare un NotAction elemento per escluderlo Servizi AWS dall'effetto della politica.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "LimitActionsInRegion",
      "Effect": "Deny",
      "NotAction": "iam:*",
      "Resource": "*",
      "Condition": {
        "StringNotEquals": {
          "aws:RequestedRegion": "us-west-1"
         }
       }
     }
   ]
}

Con questa dichiarazione, gli account interessati si limitano a intraprendere azioni nei limiti specificati Regione AWS, tranne quando utilizzano IAM azioni.

Elemento Resource

Nelle istruzioni in cui l'Effectelemento ha un valore diAllow, è possibile specificare solo «*» nell'Resourceelemento di unSCP. Non puoi specificare una singola risorsa Amazon Resource Names (ARNs).

È inoltre possibile utilizzare caratteri jolly come asterisco (*) o punto interrogativo (?) nell'elemento risorsa:

  • Utilizzare un asterisco (*) come carattere jolly per abbinare più operazioni che condividono parte di un nome.

  • Utilizzare il punto interrogativo (?) come carattere jolly per abbinare un singolo carattere.

Nelle istruzioni in cui l'Effectelemento ha un valore diDeny, puoi specificare individualARNs, come mostrato nell'esempio seguente.

{    
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "DenyAccessToAdminRole",
      "Effect": "Deny",
      "Action": [
        "iam:AttachRolePolicy",
        "iam:DeleteRole",
        "iam:DeleteRolePermissionsBoundary",
        "iam:DeleteRolePolicy",
        "iam:DetachRolePolicy",
        "iam:PutRolePermissionsBoundary",
        "iam:PutRolePolicy",
        "iam:UpdateAssumeRolePolicy",
        "iam:UpdateRole",
        "iam:UpdateRoleDescription"
      ],
      "Resource": [
        "arn:aws:iam::*:role/role-to-deny"
      ]
    }
  ]
}

Ciò SCP impedisce IAM agli utenti e ai ruoli degli account interessati di apportare modifiche a un IAM ruolo amministrativo comune creato in tutti gli account dell'organizzazione.

Per ulteriori informazioni, consulta IAMJSONPolicy Elements: Resource in the IAMUser Guide.

Elemento Condition

È possibile specificare un Condition elemento nelle dichiarazioni di negazione in unSCP. 

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "DenyAllOutsideEU",
            "Effect": "Deny",
            "NotAction": [
                "cloudfront:*",
                "iam:*",
                "route53:*",
                "support:*"
            ],
            "Resource": "*",
            "Condition": {
                "StringNotEquals": {
                    "aws:RequestedRegion": [
                        "eu-central-1",
                        "eu-west-1"
                    ]
                }
            }
        }
    ]
}

Ciò SCP nega l'accesso a qualsiasi operazione al di fuori delle eu-west-1 regioni eu-central-1 e, ad eccezione delle azioni nei servizi elencati.

Per ulteriori informazioni, consulta Elementi IAM JSON della politica: condizione nella Guida per l'IAMutente.

Elementi non supportati

I seguenti elementi non sono supportati inSCPs:

  • Principal

  • NotPrincipal

  • NotResource