服務控制政策 (SCPs) - AWS Organizations
測試 的效果 SCPs的大小上限 SCPsSCPs 連接到組織中的不同層級SCP 對許可的影響使用存取資料來改善 SCPs不受 限制的任務和實體 SCPs

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

服務控制政策 (SCPs)

服務控制政策 (SCPs) 是一種組織政策,可用來管理組織中的許可。 為組織中IAM的使用者和IAM角色SCPs提供最大可用許可的集中控制。 SCPs 可協助您確保您的帳戶保持在組織的存取控制準則內。 SCPs僅適用於已啟用所有功能的組織中。如果您的組織只啟用合併帳單功能,SCPs則 無法使用。如需啟用 的指示SCPs,請參閱 啟用政策類型

SCPs 不會將許可授予組織中IAM的使用者和IAM角色。不會授予任何許可SCP。會針對組織中IAM使用者和IAM角色可執行的動作,SCP定義許可護欄或設定限制。若要授予許可,管理員必須連接政策來控制存取,例如連接到IAM使用者和IAM角色的身分型政策,以及連接到您帳戶中資源的資源型政策。如需詳細資訊,請參閱IAM《 使用者指南》中的身分型政策和資源型政策

有效許可是 SCP和 資源控制政策 (RCPs) 允許的內容與身分型和資源型政策允許的內容之間的邏輯交集。

SCPs 不會影響管理帳戶中的使用者或角色

SCPs 不會影響 管理帳戶中的使用者或角色。它們只會影響組織中的成員帳戶。這也表示 SCPs 適用於指定為委派管理員的成員帳戶。

主題

測試 的效果 SCPs

AWS 強烈建議您在未徹底測試政策對帳戶的影響之前,不要SCPs連接到組織的根目錄。而是建立一個 OU,讓您一次將一個帳戶 (或至少為少量帳戶) 移至其中,確保您不會不慎將使用者鎖在重要服務之外。判斷服務是否正由帳戶使用的其中一種方法是檢查 IAM 中上次存取資料的服務。另一種方法是使用 AWS CloudTrail 來記錄API關卡的服務用量

注意

除非您修改 F ullAWSAccess政策,或將其取代為具有允許動作的個別政策,否則您不應移除 F 政策,否則成員帳戶的所有 AWS 動作都會失敗。

的大小上限 SCPs

您SCP計數中的所有字元都會與其大小上限相符。本指南中的範例顯示SCPs已格式化並具有額外的空格,以改善其可讀性。不過,若您的政策大小接近大小上限,為了節省空間,您可以刪除引號外部的任何空格,例如空格字元和換行字元。

提示

使用視覺化編輯器來建置您的 SCP。它會自動移除額外空格。

SCPs 連接到組織中的不同層級

如需SCPs運作方式的詳細說明,請參閱SCP 評估

SCP 對許可的影響

SCPs 類似於 AWS Identity and Access Management 許可政策,並使用幾乎相同的語法。不過, SCP永遠不會授予許可。相反地, SCPs是存取控制,可指定組織中IAM使用者和IAM角色的可用許可上限。如需詳細資訊,請參閱IAM《 使用者指南》中的政策評估邏輯

  • SCPs 只會影響由屬於組織一部分的帳戶管理IAM的使用者和角色。 SCPs 不會直接影響資源型政策。也不會影響來自組織外部帳戶的使用者或角色。例如,假設組織中的帳戶 A 擁有一個 Amazon S3 儲存貯體。儲存貯體政策 (資源型政策) 會授予來自組織外部帳戶 B 的使用者存取。帳戶 A 已SCP連接 。這SCP不適用於帳戶 B 中的外部使用者。 SCP僅適用於由組織中帳戶 A 管理的使用者。

  • SCP 限制成員帳戶中IAM使用者和角色的許可,包括成員帳戶的根使用者。任何帳戶只會擁有其上「每個」父系允許的許可。如果許可在帳戶上方的任何層級遭到封鎖,無論是隱含的 (未包含在Allow政策陳述式中) 或明確地 (包含在Deny政策陳述式中),受影響帳戶中的使用者或角色都無法使用該許可,即使帳戶管理員將具有 */* 許可AdministratorAccessIAM的政策連接至使用者。

  • SCPs 只會影響組織中的成員帳戶。它們對管理帳戶中的使用者或角色沒有影響。這也表示 SCPs適用於指定為委派管理員的成員帳戶。如需詳細資訊,請參閱管理帳戶的最佳實務

  • 使用者和角色仍必須使用適當的 IAM 許可政策授予許可。沒有任何IAM許可政策的使用者無法存取,即使適用的 SCPs允許所有服務和所有動作。

  • 如果使用者或角色具有IAM許可政策,可授予存取適用 也允許的動作SCPs,則使用者或角色可以執行該動作。

  • 如果使用者或角色具有IAM許可政策,可授予存取相關 不允許或明確拒絕的動作SCPs,則使用者或角色無法執行該動作。

  • SCPs 會影響連接帳戶中的所有使用者和角色,包括根使用者。唯一的例外狀況,詳述於 不受 限制的任務和實體 SCPs

  • SCPs 不會影響任何服務連結角色。服務連結角色可讓其他 與 AWS 服務 整合 AWS Organizations ,且不受 限制SCPs。

  • 當您停用根中的SCP政策類型時,所有 SCPs都會自動從該根中的所有 AWS Organizations 實體分離。 AWS Organizations 實體包括組織單位、組織和帳戶。如果您在根SCPs中重新啟用 ,該根只會還原為自動連接到根中所有實體的預設FullAWSAccess政策。之前 SCPs AWS Organizations 的任何實體附件SCPs都已遭停用,而且無法自動復原,不過您可以手動重新連接。

  • 如果同時SCP存在許可界限 (進階IAM功能) 和 ,則邊界、 SCP和身分型政策都必須允許 動作。

使用存取資料來改善 SCPs

使用管理帳戶登入資料登入時,您可以在 IAM 主控台的 AWS Organizations區段中檢視 AWS Organizations 實體或政策的服務上次存取資料。您也可以使用 AWS Command Line Interface (AWS CLI) 或 AWS API IAM擷取服務上次存取的資料。此資料包含有關 AWS Organizations 帳戶中IAM使用者和角色上次嘗試存取哪些允許的服務,以及何時存取的資訊。您可以使用此資訊來識別未使用的許可,以便您可以改進您的 SCPs ,以更好地遵守最低權限原則。

例如,您可能有一個禁止存取三個 的拒絕清單SCP AWS 服務。允許未列於 SCPDeny陳述式中的所有服務。中的服務上次存取資料IAM會告訴您 AWS 服務 允許的 ,SCP但從未使用。使用該資訊,您可以更新 SCP 以拒絕存取您不需要的服務。

如需詳細資訊,請參閱《IAM 使用者指南》中的以下主題:

不受 限制的任務和實體 SCPs

您無法使用 SCPs 來限制下列任務:

  • 管理帳戶執行的任何動作

  • 任何使用連接到服務連結角色之許可所執行的動作

  • 以根帳戶使用者身分註冊企業支援計劃

  • 為 CloudFront 私有內容提供信任的簽署者功能

  • DNS 將 Amazon Lightsail 電子郵件伺服器和 Amazon EC2執行個體反向設定為根使用者

  • 某些 AWS相關服務的任務:

    • Alexa Top Sites

    • Alexa Web Information Service

    • Amazon Mechanical Turk

    • Amazon 產品行銷 API