As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
SCPsintaxe
As políticas de controle de serviço (SCPs) usam uma sintaxe semelhante à usada por AWS Identity and Access Management (IAM) políticas de permissão e políticas baseadas em recursos (como as políticas de bucket do Amazon S3). Para obter mais informações sobre IAM políticas e sua sintaxe, consulte Visão geral das IAM políticas no Guia do IAM usuário.
An SCP é um arquivo de texto simples estruturado de acordo com as regras de. JSON
nota
Todos os caracteres em sua SCP contagem em relação ao tamanho máximo. Os exemplos deste guia mostram o SCPs formato com espaço em branco extra para melhorar sua legibilidade. No entanto, para economizar espaço quando o tamanho da política se aproximar do tamanho máximo, é possível excluir todos os espaços em branco, como caracteres de espaço e quebras de linhas, que estiverem fora das aspas.
Para obter informações gerais sobre o SCPs, consulte Políticas de controle de serviços (SCPs).
Resumo de elementos
A tabela a seguir resume os elementos de política que você pode usar emSCPs. Alguns elementos da política estão disponíveis somente nas ações SCPs de negação. A coluna Efeitos suportados lista o tipo de efeito que você pode usar com cada elemento de política emSCPs.
| Elemento | Finalidade | Efeitos com suporte |
|---|---|---|
| Version (Versão) | Especifica as regras da sintaxe da linguagem a serem usadas para processar a política. |
|
| Instrução | Serve como o contêiner para elementos de políticas. Você pode incluir várias declarações emSCPs. | Allow, Deny |
| ID da instrução (Sid) | (Opcional) Fornece um nome amigável para a instrução. | Allow, Deny |
| Efeito | Define se a SCP declaração permite ou nega acesso aos IAM usuários e funções em uma conta. | Allow, Deny |
|
Especifica o AWS serviço e as ações que ele SCP permite ou nega. |
|
|
|
Especifica AWS serviços e ações que estão isentos do. SCP Usado em vez do elemento |
|
|
| Recurso | Especifica os AWS recursos aos quais SCP se aplica. | Deny |
| Condição | Especifica as condições em que a instrução está em vigor. | Deny |
As seções a seguir fornecem mais informações e exemplos de como os elementos da política são usados emSCPs.
Elemento Version
Cada um SCP deve incluir um Version elemento com o valor"2012-10-17". Esse é o mesmo valor de versão da versão mais recente das políticas de IAM permissão.
"Version": "2012-10-17",
Para obter mais informações, consulte Elementos da IAM JSON política: versão no Guia IAM do usuário.
Elemento Statement
E SCP consiste em um ou mais Statement elementos. Você pode ter somente uma Statement palavra-chave em uma política, mas o valor pode ser uma JSON matriz de declarações (cercada por [] caracteres).
O exemplo a seguir mostra uma única instrução que consiste em elementos Effect, Action e Resource únicos.
"Statement": { "Effect": "Allow", "Action": "*", "Resource": "*" }
O exemplo a seguir inclui duas instruções como uma lista de matrizes dentro de um elemento Statement. A primeira declaração permite todas as ações, enquanto a segunda nega qualquer EC2 ação. O resultado é que um administrador na conta pode delegar qualquer permissão, exceto aquelas da Amazon Elastic Compute Cloud (AmazonEC2).
"Statement": [ { "Effect": "Allow", "Action": "*", "Resource": "*" }, { "Effect": "Deny", "Action": "ec2:*", "Resource": "*" } ]
Para obter mais informações, consulte Elementos da IAM JSON política: declaração no Guia IAM do usuário.
Elemento ID da instrução (Sid)
O Sid é um identificador opcional que você fornece para a instrução da política. Você pode atribuir um valor Sid a cada instrução em uma matriz de instruções. O exemplo a seguir SCP mostra um exemplo de Sid declaração.
{ "Statement": { "Sid": "AllowsAllActions", "Effect": "Allow", "Action": "*", "Resource": "*" } }
Para obter mais informações, consulte Elementos da IAM JSON política: ID no Guia IAM do usuário.
Elemento Effect
Cada instrução deve conter um elemento Effect. O valor pode ser Allow ou Deny. Isso afeta todas as ações listadas na mesma instrução.
Para obter mais informações, consulte Elementos de IAM JSON política: efeito no Guia IAM do usuário.
"Effect": "Allow"
O exemplo a seguir mostra um SCP com uma declaração que contém um Effect elemento com um valor de Allow que permite que os usuários da conta realizem ações para o serviço Amazon S3. Esse exemplo é útil em uma organização que usa a estratégia de lista de permissões (em que todas as políticas de FullAWSAccess padrão são desvinculadas para que as permissões sejam implicitamente negadas por padrão). O resultado é que a instrução permite as permissões do Amazon S3 para todas as contas anexadas:
{ "Statement": { "Effect": "Allow", "Action": "s3:*", "Resource": "*" } }
Embora essa declaração use a mesma palavra-chave de Allow valor de uma política de IAM permissão, na verdade, SCP ela não concede permissão ao usuário para fazer nada. Em vez disso, SCPs atue como filtros que especificam as permissões máximas para IAM os usuários e IAM funções em uma organização. No exemplo anterior, mesmo que um usuário na conta tenha a política AdministratorAccess gerenciada anexada, isso SCP limita todos os usuários nas contas afetadas somente às ações do Amazon S3.
"Effect": "Deny"
Em uma declaração em que o Effect elemento tem um valor deDeny, você também pode restringir o acesso a recursos específicos ou definir condições para quando SCPs estão em vigor.
A seguinte tabela mostra um exemplo de como usar uma chave de condição em uma instrução de negação.
{ "Version": "2012-10-17", "Statement": { "Effect": "Deny", "Action": "ec2:RunInstances", "Resource": "arn:aws:ec2:*:*:instance/*", "Condition": { "StringNotEquals": { "ec2:InstanceType": "t2.micro" } } } }
Essa declaração SCP define uma barreira de proteção para evitar que as contas afetadas (quando estão vinculadas à própria conta ou à raiz da organização ou UO que contém a conta) iniciem EC2 instâncias da Amazon se a EC2 instância da Amazon não estiver configurada como. SCP t2.micro Mesmo que uma IAM política que permita essa ação seja anexada à conta, a proteção criada pela SCP impede.
Elementos Action e NotAction
Cada instrução deve conter um dos seguintes:
-
Em instruções de permissão ou de negação, um elemento
Action. -
Em instruções de negação apenas (em que o valor do elemento
EffectéDeny), um elementoActionouNotAction.
O valor do NotAction elemento Action or é uma lista (uma JSON matriz) de cadeias de caracteres que identificam Serviços da AWS e ações que são permitidas ou negadas pela instrução.
Cada string consiste na abreviação do serviço (como "s3", "ec2", "iam" ou "organizations"), tudo em letras minúsculas, seguida por um ponto e vírgula e uma ação desse serviço. As ações e as anotações não diferenciam maiúsculas de minúsculas. Em geral, todas elas são digitadas com cada palavra começando com uma letra maiúscula e o restante em minúsculas. Por exemplo: "s3:ListAllMyBuckets".
Você também pode usar caracteres curinga, como asterisco (*) ou ponto de interrogação (?) em umSCP:
-
Você também pode usar um asterisco como um curinga para corresponder a várias ações que compartilham parte de um nome. O valor
"s3:*"significa todas as ações no serviço Amazon S3. O valor"ec2:Describe*"corresponde somente às EC2 ações que começam com “Descrever”. -
Use o curinga ponto de interrogação (?) para corresponder a um único caractere.
nota
Em umSCP, os caracteres curinga (*) e (?) em um NotAction elemento Action ou só pode ser usado sozinho ou no final da string. Ele não pode aparecer no início nem no meio da string. Portanto, "servicename:action*" é válido, mas "servicename:*action" ambos "servicename:some*action" são inválidos emSCPs.
Para obter uma lista de todos os serviços e ações que eles oferecem suporte em ambas AWS Organizations SCPs as políticas de IAM permissão, Ações, Recursos e Chaves de Condição Serviços da AWS na Referência de Autorização de Serviço.
Para obter mais informações, consulte Elementos de IAMJSONpolítica: elementos IAM JSON de ação e política: NotAction no Guia IAM do usuário.
Exemplo do elemento Action
O exemplo a seguir mostra uma SCP declaração que permite aos administradores da conta delegar permissões de descrição, início, interrupção e encerramento para EC2 instâncias na conta. Este é um exemplo de uma lista de permissões e é útil quando as políticas Allow * padrão não são anexadas, para que, por padrão, as permissões sejam implicitamente negadas. Se a política Allow
* padrão ainda estiver anexada à raiz, à UO ou à conta à qual a política a seguir está anexada, a política não terá efeito.
{ "Version": "2012-10-17", "Statement": { "Effect": "Allow", "Action": [ "ec2:DescribeInstances", "ec2:DescribeImages", "ec2:DescribeKeyPairs", "ec2:DescribeSecurityGroups", "ec2:DescribeAvailabilityZones", "ec2:RunInstances", "ec2:TerminateInstances", "ec2:StopInstances", "ec2:StartInstances" ], "Resource": "*" } }
O exemplo a seguir mostra como é possível negar o acesso a serviços que você não deseja que sejam usados em contas anexadas. Ele pressupõe que o padrão ainda "Allow *" SCPs esteja anexado a tudo OUs e à raiz. Este exemplo de política impede que os administradores de contas em contas anexadas deleguem quaisquer permissões para os serviços da IAM Amazon EC2 e da AmazonRDS. Qualquer ação de outros serviços pode ser delegada, desde que não haja outra política anexada que a negue.
{ "Version": "2012-10-17", "Statement": { "Effect": "Deny", "Action": [ "iam:*", "ec2:*", "rds:*" ], "Resource": "*" } }
Exemplo do elemento NotAction
O exemplo a seguir mostra como você pode usar um NotAction elemento para excluir Serviços da AWS do efeito da política.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "LimitActionsInRegion", "Effect": "Deny", "NotAction": "iam:*", "Resource": "*", "Condition": { "StringNotEquals": { "aws:RequestedRegion": "us-west-1" } } } ] }
Com essa declaração, as contas afetadas estão limitadas a realizar ações no especificado Região da AWS, exceto ao usar IAM ações.
Elemento Resource
Nas declarações em que o Effect elemento tem um valor deAllow, você pode especificar somente “*” no Resource elemento de umSCP. Você não pode especificar um recurso individual Amazon Resource Names (ARNs).
Você também pode usar caracteres curinga, como asterisco (*) ou ponto de interrogação (?) no elemento de recurso:
-
Você também pode usar um asterisco como um curinga para corresponder a várias ações que compartilham parte de um nome.
-
Use o curinga ponto de interrogação (?) para corresponder a um único caractere.
Nas declarações em que o Effect elemento tem um valor deDeny, você pode especificar individualARNs, conforme mostrado no exemplo a seguir.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "DenyAccessToAdminRole", "Effect": "Deny", "Action": [ "iam:AttachRolePolicy", "iam:DeleteRole", "iam:DeleteRolePermissionsBoundary", "iam:DeleteRolePolicy", "iam:DetachRolePolicy", "iam:PutRolePermissionsBoundary", "iam:PutRolePolicy", "iam:UpdateAssumeRolePolicy", "iam:UpdateRole", "iam:UpdateRoleDescription" ], "Resource": [ "arn:aws:iam::*:role/role-to-deny" ] } ] }
Isso SCP impede que IAM usuários e funções nas contas afetadas façam alterações em uma IAM função administrativa comum criada em todas as contas da sua organização.
Para obter mais informações, consulte Elementos de IAM JSON política: recurso no Guia IAM do usuário.
Elemento Condition
Você pode especificar um Condition elemento nas declarações de negação em umSCP.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "DenyAllOutsideEU", "Effect": "Deny", "NotAction": ["cloudfront:*", "iam:*", "route53:*", "support:*"], "Resource": "*", "Condition": { "StringNotEquals": { "aws:RequestedRegion": ["eu-central-1", "eu-west-1"] } } } ] }
Isso SCP nega o acesso a quaisquer operações fora das eu-west-1 regiões eu-central-1 e, exceto ações nos serviços listados.
Para obter mais informações, consulte Elementos da IAM JSON política: condição no Guia IAM do usuário.
Elementos sem suporte
Os seguintes elementos não são compatíveis comSCPs:
-
Principal -
NotPrincipal -
NotResource
