SCP 評估 - AWS Organizations
如何使用 SCPs Allow如何使用 SCPs 拒絕使用 的策略 SCPs

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

SCP 評估

注意

本節中的資訊不適用於管理政策類型,包括備份政策、標籤政策、聊天機器人政策或 AI 服務選擇退出政策。如需詳細資訊,請參閱理解管理政策繼承

由於您可以在 中連接不同層級的多個服務控制政策 (SCPs) AWS Organizations,因此了解SCPs評估方式可協助您撰寫SCPs出正確的結果。

如何使用 SCPs Allow

對於為特定帳戶允許的許可,每個層級都必須有明確的 Allow 陳述式,範圍從根目錄到帳戶直接路徑中的每個 OU (包括目標帳戶本身)。因此,當您啟用 時SCPs, 會 AWS Organizations 連接名為 FullAWSAccess 的 AWS 受管SCP政策,以允許所有服務和動作。如果此政策在組織的任何層級遭到移除且未取代,則該層級下的所有 OUs和 帳戶都會遭到封鎖,無法採取任何動作。

例如,讓我們逐步瀏覽圖 1 和圖 2 中顯示的場景。對於帳戶 B 上允許的許可或服務,SCP應將允許許可或服務的 連接到根、生產 OU 和帳戶 B 本身。

SCP 評估遵循 deny-by-default模型,這表示 中未明確允許的任何許可SCPs都會遭到拒絕。如果允許陳述式不存在SCPs根、生產 OU 或帳戶 B 等任何層級的 中,則會拒絕存取。

備註

  • 中的Allow陳述式SCP允許 Resource元素只有"*"項目。

  • 中的Allow陳述式完全SCP無法具有 Condition 元素。

Organizational structure diagram showing Root, OU, and Member accounts with SCP permissions.

圖 1:在根、生產 OU 和帳戶 B 中連接 Allow 陳述式的範例組織結構

Organizational structure with Root, OUs, and member accounts showing SCP allow and deny actions.

圖 2:生產 OU 中缺少 Allow 陳述式的範例組織結構及其對帳戶 B 的影響

如何使用 SCPs 拒絕

若要針對特定帳戶拒絕許可,從根到帳戶 (包括目標帳戶本身) 直接路徑中每個 OU 的任何 SCP 都可以拒絕該許可。

例如,假設生產 OU SCP 連接了 ,該 具有為指定服務指定的明確Deny陳述式。也可能有另一個SCP連接到 Root 和帳戶 B,明確允許存取相同的服務,如圖 3 所示。因此,帳戶 A 和帳戶 B 都會遭到拒絕存取服務,因為連接到組織中任何層級的拒絕政策會針對其下的所有 OUs和成員帳戶進行評估。

Organizational structure showing Root, OUs, and member accounts with SCP permissions.

圖 3:在生產 OU 中連接 Deny 陳述式的範例組織結構及其對帳戶 B 的影響

使用 的策略 SCPs

撰寫時SCPs,您可以使用 AllowDeny陳述式的組合,在您的組織中允許預期的動作和服務。 Deny陳述式是實作限制的強大方式,這些限制應該適用於您組織的更廣泛部分,或OUs因為當它們套用在根或 OU 層級時,它們會影響其下的所有帳戶。

例如,您可以使用 Deny陳述式 防止成員帳戶離開組織。在根層級實作政策,這會對組織中的所有帳戶生效。拒絕陳述式也支援可協助建立例外狀況的條件元素。

提示

您可以使用 中的服務上次存取資料IAM來更新 SCPs,以限制僅存取您需要的 AWS 服務 。如需詳細資訊,請參閱 使用者指南中的檢視 Organizations Service Last Accessed Data for OrganizationsIAM

AWS Organizations 建立受 AWS 管SCP名稱 FullAWSAccess 時,會將它連接到每個根、OU 和帳戶。此政策會允許所有服務和動作。您可以使用僅允許一組服務的政策取代 FullAWSAccess,因此 AWS 服務 除非更新 明確允許,否則不允許新的 SCPs。例如,如果您的組織只想要允許在環境中使用服務子集,可以使用 Allow 陳述式來僅允許特定的服務。

{
"Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ec2:*",
                "cloudwatch:*",
                "organizations:*"
            ],
            "Resource": "*"
        }
    ]
}

結合這兩種陳述式的政策可能如以下範例所示,其中會阻止成員帳戶離開組織並允許使用所需的 AWS 服務。組織管理員可以分離 FullAWSAccess 政策,並改為附加此政策。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ec2:*",
                "cloudwatch:*",
                "organizations:*"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Deny", 
            "Action":"organizations:LeaveOrganization",
            "Resource": "*" 
        }
    ]
}

現在,請考慮下列組織結構範例,了解如何在組織中SCPs的不同層級套用多個 。

Organizational structure diagram showing Root, OUs, and member accounts in a hierarchical layout.

如下資料表顯示沙盒 OU 中的有效政策。

案例 SCP 在目錄 SCP 在沙盒 OU SCP 在帳戶 A 帳戶 A 中的產生政策 帳戶 B帳戶 C 中的產生政策
1 完整 AWS 存取 完整 AWS 存取 + 拒絕 S3 存取 完整 AWS 存取 + 拒絕EC2存取 無 S3、無EC2存取權 無 S3 存取
2 完整 AWS 存取 允許EC2存取 允許EC2存取 允許EC2存取 允許EC2存取
3 拒絕 S3 存取 允許 S3 存取 完整 AWS 存取 無服務存取 無服務存取

如下資料表顯示工作負載 OU 中的有效政策。

案例 SCP 在目錄 SCP 在 Workloads OU 中 SCP 測試 OU 帳戶 D 中的產生政策 生產 OU、帳戶 E帳戶 F 中的產生政策
1 完整 AWS 存取 完整 AWS 存取 完整 AWS 存取 + 拒絕EC2存取 無EC2存取權 完整 AWS 存取
2 完整 AWS 存取 完整 AWS 存取 允許EC2存取 允許EC2存取 完整 AWS 存取
3 拒絕 S3 存取 完整 AWS 存取 允許 S3 存取 無服務存取 無服務存取