Políticas de controle de recursos (RCPs) - AWS Organizations
Lista Serviços da AWS desse suporte RCPsTestando os efeitos do RCPsTamanho máximo de RCPsVinculando-se RCPs a diferentes níveis da organizaçãoRCPefeitos nas permissõesRecursos e entidades não restritos por RCPs

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Políticas de controle de recursos (RCPs)

As políticas de controle de recursos (RCPs) são um tipo de política organizacional que você pode usar para gerenciar permissões em sua organização. RCPsofereça controle central sobre o máximo de permissões disponíveis para recursos em sua organização. RCPsajudam você a garantir que os recursos em suas contas permaneçam dentro das diretrizes de controle de acesso da sua organização. RCPsestão disponíveis somente em uma organização que tenha todos os recursos habilitados. RCPsnão estão disponíveis se sua organização tiver ativado somente os recursos de cobrança consolidada. Para obter instruções sobre a habilitação do RCPs, consulte Habilitação de um tipo de política.

RCPssozinhos, não são suficientes para conceder permissões aos recursos em sua organização. Nenhuma permissão é concedida por umRCP. An RCP define uma barreira de permissões, ou define limites, sobre as ações que as identidades podem realizar com os recursos em suas organizações. O administrador ainda deve anexar políticas baseadas em identidade a IAM usuários ou funções, ou políticas baseadas em recursos a recursos em suas contas para realmente conceder permissões. Para obter mais informações, consulte Políticas baseadas em identidade e políticas baseadas em recursos no Guia do usuário. IAM

As permissões efetivas são a interseção lógica entre o que é permitido pelas RCPs políticas de controle de serviços (SCPs) e o que é permitido pelas políticas baseadas em identidade e recursos.

RCPsnão afetam os recursos na conta de gerenciamento

RCPsnão afetam os recursos na conta de gerenciamento. Eles afetam apenas os recursos nas contas dos membros da sua organização. Isso também significa que RCPs se aplicam às contas de membros designadas como administradores delegados.

Tópicos

Lista Serviços da AWS desse suporte RCPs

RCPsaplicam-se aos seguintes recursos Serviços da AWS:

Testando os efeitos do RCPs

AWS recomenda fortemente que você não se vincule RCPs à raiz da sua organização sem testar minuciosamente o impacto que a política tem sobre os recursos em suas contas. Você pode começar RCPs anexando contas de teste individuais, movendo-as para um OUs nível inferior na hierarquia e, em seguida, subindo na estrutura organizacional conforme necessário. Uma forma de determinar o impacto é analisar os AWS CloudTrail registros em busca de erros de acesso negado.

Tamanho máximo de RCPs

Todos os caracteres em sua RCP contagem em relação ao tamanho máximo. Os exemplos deste guia mostram o RCPs formato com espaço em branco extra para melhorar sua legibilidade. No entanto, para economizar espaço quando o tamanho da política se aproximar do tamanho máximo, é possível excluir todos os espaços em branco, como caracteres de espaço e quebras de linhas, que estiverem fora das aspas.

dica

Use o editor visual para criar seuRCP. Ele remove automaticamente os espaços em branco.

Vinculando-se RCPs a diferentes níveis da organização

Você pode se vincular RCPs diretamente a contas individuais ou à raiz da organização. OUs Para obter uma explicação detalhada de como RCPs funciona, consulteRCPavaliação.

RCPefeitos nas permissões

RCPssão um tipo de política AWS Identity and Access Management (IAM). Eles estão mais intimamente relacionados às políticas baseadas em recursos. No entanto, um RCP homem nunca concede permissões. Em vez disso, RCPs são controles de acesso que especificam o máximo de permissões disponíveis para recursos em sua organização. Para obter mais informações, consulte Lógica da avaliação de políticas no Guia do usuário do IAM.

  • RCPsaplicam-se aos recursos de um subconjunto de. Serviços da AWS Para obter mais informações, consulte Lista Serviços da AWS desse suporte RCPs.

  • RCPsafetam somente os recursos gerenciados por contas que fazem parte da organização que anexou RCPs o. Eles não afetam os recursos de contas externas à organização. Por exemplo, considere um bucket do Amazon S3 que é de propriedade da Conta A em uma organização. A política de bucket (uma política baseada em recursos) concede acesso a usuários da Conta B fora da organização. A conta A tem um RCP anexo. Isso RCP se aplica ao bucket do S3 na Conta A, mesmo quando acessado por usuários da Conta B. No entanto, isso RCP não se aplica aos recursos na Conta B quando acessados por usuários na Conta A.

  • E RCP restringe as permissões para recursos nas contas dos membros. Qualquer recurso em uma conta tem somente as permissões permitidas por todos os pais acima dela. Se uma permissão for bloqueada em qualquer nível acima da conta, um recurso na conta afetada não terá essa permissão, mesmo que o proprietário do recurso anexe uma política baseada em recursos que permita acesso total a qualquer usuário.

  • RCPsaplicam-se aos recursos autorizados como parte de uma solicitação de operação. Esses recursos podem ser encontrados na coluna “Tipo de recurso” da tabela Ação na Referência de Autorização de Serviço. Se nenhum recurso for especificado na coluna “Tipo de recurso”, a RCPs conta principal chamadora será aplicada. Por exemplo, s3:GetObject autoriza o recurso do objeto. Sempre que uma GetObject solicitação for feita, um aplicável RCP será aplicado para determinar se o principal solicitante pode invocar a GetObject operação. Um aplicável RCP é RCP aquele que foi vinculado a uma conta, a uma unidade organizacional (OU) ou à raiz da organização proprietária do recurso que está sendo acessado.

  • RCPsafetam somente os recursos nas contas dos membros da organização. Eles não afetam os recursos na conta de gerenciamento. Isso também significa que RCPs se aplicam às contas de membros designadas como administradores delegados. Para obter mais informações, consulte Práticas recomendadas para a conta de gerenciamento.

  • Quando um diretor faz uma solicitação para acessar um recurso em uma conta que tem um anexo RCP (um recurso com um aplicávelRCP), ele RCP é incluído na lógica de avaliação da política para determinar se o principal tem acesso permitido ou negado.

  • RCPsafetam as permissões efetivas dos diretores que tentam acessar recursos em uma conta de membro com uma conta aplicávelRCP, independentemente de os diretores pertencerem ou não às mesmas organizações. Isso inclui usuários root. A exceção é quando os principais são funções vinculadas ao serviço porque RCPs não se aplicam às chamadas feitas por funções vinculadas ao serviço. As funções vinculadas ao serviço permitem Serviços da AWS realizar as ações necessárias em seu nome e não podem ser restringidas por. RCPs

  • Usuários e funções ainda devem receber permissões com políticas de IAM permissão apropriadas, incluindo políticas baseadas em identidade e recursos. Um usuário ou função sem nenhuma política de IAM permissão não tem acesso, mesmo que um aplicável RCP permita todos os serviços, todas as ações e todos os recursos.

Recursos e entidades não restritos por RCPs

Você não pode usar RCPs para restringir o seguinte:

  • Qualquer ação sobre recursos na conta de gerenciamento.

  • RCPsnão afetam as permissões efetivas de nenhuma função vinculada ao serviço. As funções vinculadas ao serviço são um tipo exclusivo de IAM função vinculada diretamente a um AWS serviço e incluem todas as permissões que o serviço exige para chamar outros AWS serviços em seu nome. As permissões das funções vinculadas ao serviço não podem ser restringidas por. RCPs RCPstambém não afetam a capacidade AWS dos serviços de assumir uma função vinculada ao serviço; ou seja, a política de confiança da função vinculada ao serviço também não é afetada pela. RCPs

  • RCPsnão se inscreva Chaves gerenciadas pela AWS para AWS Key Management Service. Chaves gerenciadas pela AWS são criados, gerenciados e usados em seu nome por um AWS service (Serviço da AWS). Você não pode alterar ou gerenciar suas permissões.

  • RCPsnão impacte as seguintes permissões:

    Serviço API Recursos não autorizados pelo RCPs
    AWS Key Management Service

    kms:RetireGrant

    		 RCPsnão afetem a kms:RetireGrant permissão. Para obter mais informações sobre como a permissão kms:RetireGrant é determinada, consulte Aposentadoria e revogação de concessões no Guia do AWS KMS desenvolvedor.