Testen der Auswirkungen von SCPs Maximalgröße von SCPs Anfügen von SCPs an verschiedene Ebenen in der Organisation SCP-Auswirkungen auf Berechtigungen Verwenden von Zugriffsdaten zur Verbesserung von SCPs Aufgaben und Einheiten, die nicht durch SCPs eingeschränkt sind

Service-Kontrollrichtlinien (SCPs)

Service-Kontrollrichtlinien (Service Control Policies, SCPs) sind eine Art von Organisationsrichtlinien, die Sie zum Verwalten von Berechtigungen in Ihrer Organisation verwenden können. SCPs bieten eine zentrale Kontrolle über die maximal verfügbaren Berechtigungen für die IAM-Benutzer und IAM-Rollen in Ihrer Organisation. Mithilfe von SCPs können Sie sicherstellen, dass Ihre Konten innerhalb der Zugriffssteuerungsrichtlinien Ihrer Organisation bleiben. SCPs stehen nur in Organisationen zur Verfügung, in der alle Features aktiviert sind. Service-Kontrollrichtlinien sind nicht verfügbar, wenn in einer Organisation nur Features für die konsolidierte Abrechnung aktiviert sind. Anleitungen zum Aktivieren von SCPs finden Sie unter Aktivieren und Deaktivieren von Richtlinientypen.

SCPs gewähren den IAM-Benutzern und IAM-Rollen in Ihrer Organisation keine Berechtigungen. Von einem SCP werden keine Berechtigungen erteilt. Ein SCP definiert für die Aktionen, die die IAM-Benutzer und IAM-Rollen in Ihrer Organisation ausführen können, eine Berechtigungsleitplanke oder legt Grenzwerte fest. Um Berechtigungen zu gewähren, muss der Administrator Richtlinien zur Zugriffskontrolle anhängen, z. B. identitätsbasierte Richtlinien, die IAM-Benutzern und IAM-Rollen zugewiesen sind, und ressourcenbasierte Richtlinien, die den Ressourcen in Ihren Konten zugewiesen sind. Die effektiven Berechtigungen stellen die logische Schnittstelle zwischen den vom SCP erlaubten Rechten und den Anforderungen der identitäts- und ressourcenbasierten Richtlinien dar.

Wichtig

SCPs haben keine Auswirkungen auf Benutzer oder Rollen im Verwaltungskonto. Sie wirken sich nur auf die Mitgliedskonten Ihrer Organisation aus.

Themen

Testen der Auswirkungen von SCPs

AWS empfiehlt dringend, SCPs nicht an das Stammverzeichnis Ihrer Organisation anzuhängen, ohne die Auswirkungen der Richtlinie auf Konten gründlich zu testen. Erstellen Sie stattdessen eine Organisationseinheit, in die Sie Ihre Konten einzeln oder in geringer Anzahl verschieben können. So stellen Sie sicher, dass kein Benutzer versehentlich von wichtigen Services ausgesperrt wird. Ob ein Service von einem Konto verwendet wird, können Sie herausfinden, indem Sie sich die Daten zum letzten Servicezugriff in IAM ansehen. Eine andere Möglichkeit besteht darin, AWS CloudTrail die Nutzung von Diensten auf API-Ebene zu protokollieren.

Anmerkung

Sie sollten die vollständige AWSAccess Richtlinie nur entfernen, wenn Sie sie ändern oder durch eine separate Richtlinie mit zulässigen Aktionen ersetzen. Andernfalls schlagen alle AWS Aktionen von Mitgliedskonten fehl.

Maximalgröße von SCPs

Alle Zeichen in Ihrer SCP werden auf deren Maximalgröße angerechnet. In den Beispiele in diesem Handbuch sind die dargestellten Service-Kontrollrichtlinien mit zusätzlichen Leerzeichen formatiert, um die Lesbarkeit zu verbessern. Um Platz zu sparen, wenn sich die Größe Ihrer Richtlinie der Maximalgröße nähert, können Sie aber alle Leerraumzeichen, wie z. B. Leerzeichen und Zeilenumbrüche, außerhalb von Anführungszeichen löschen.

Tipp

Verwenden Sie den visuellen Editor zum Erstellen Ihrer SCP. Hier werden zusätzliche Leerzeichen automatisch entfernt.

Anfügen von SCPs an verschiedene Ebenen in der Organisation

Eine detaillierte Erklärung der Funktionsweise der SCP-Vererbung finden Sie unter SCP-Bewertung.

SCP-Auswirkungen auf Berechtigungen

SCPs ähneln AWS Identity and Access Management (IAM-) Berechtigungsrichtlinien und verwenden fast dieselbe Syntax. Allerdings gewährt eine SCP nie Berechtigungen. Stattdessen sind SCPs JSON-Richtlinien, die die maximalen Berechtigungen für die IAM-Benutzer und IAM-Rollen in Ihrer Organisation festlegen. Weitere Informationen finden Sie unter Auswertungslogik für Richtlinien im IAM-Benutzerhandbuch.

SCPs betreffen nur IAM-Benutzer und -Rollen, die von Konten verwaltet werden, die zu der Organisation gehören. SCPs wirken sich nicht direkt auf ressourcenbasierte Richtlinien aus. Sie haben auch keine Auswirkungen auf Benutzer oder Rollen von Konten außerhalb der Organisation. Nehmen wir als Beispiel einen Amazon-S3-Bucket, der Konto A in einer Organisation gehört. Die Bucket-Richtlinie (eine ressourcenbasierte Richtlinie) gewährt Zugriff auf Benutzer von Konto B außerhalb der Organisation. Konto A ist eine Service-Kontrollrichtlinie zugeordnet. Diese SCP gilt nicht für externe Benutzer in Konto B. Der SCP gilt nur für Benutzer, die von Konto A in der Organisation verwaltet werden.
Ein SCP beschränkt die Berechtigungen für IAM-Benutzer und -Rollen in Mitgliedskonten, einschließlich des Stammverzeichnisses des Mitgliedskonten. Jedes Konto weist nur die Berechtigungen auf, die ihm durch jedes einzelne übergeordnete Element gewährt wird. Wenn eine Berechtigung auf einer Ebene oberhalb des Kontos gesperrt ist, entweder stillschweigend (d. h., sie ist nicht in der Richtlinienanweisung Allow enthalten) oder explizit (d. h., sie ist in der Richtlinienanweisung Deny enthalten), kann ein Benutzer oder eine Rolle im betreffenden Konto diese Berechtigung nicht verwenden, auch wenn der Administrator des Kontos die IAM-Richtlinie AdministratorAccess mit */*-Berechtigungen an diesen Benutzer anhängt.
SCPs wirken sich nur auf Mitglieds-Konten in der Organisation aus. Sie haben keine Auswirkungen auf Benutzer oder Rollen im Verwaltungskonto.
Benutzer und Rollen müssen trotzdem mit Berechtigungen mit entsprechenden IAM-Berechtigungsrichtlinien ausgestattet werden. Ein Benutzer ohne IAM-Berechtigungsrichtlinien hat keinen Zugang, auch wenn die geltenden SCPs den Zugriff auf alle Services und Aktionen ermöglichen.
Wenn einem Benutzer oder einer Rolle eine IAM-Berechtigungsrichtlinie zugeordnet wurde, die zum Zugriff auf eine Aktion berechtigt, welche auch mit den geltenden Service-Kontrollrichtlinien ausführbar wäre, darf der Benutzer oder die Rolle diese Aktion durchführen.
Wenn einem Benutzer oder einer Rolle eine IAM-Berechtigungsrichtlinie zugeordnet wurde, die zum Zugriff auf eine Aktion berechtigt, welche gemäß den geltenden Service-Kontrollrichtlinien entweder unzulässig ist oder explizit verweigert wird, darf der Benutzer oder die Rolle diese Aktion nicht durchführen.
Service-Kontrollrichtlinien wirken sich auf alle Benutzer und Rollen in angefügten Konten aus, einschließlich des Root-Benutzers. Die einzigen Ausnahmen sind die unter Aufgaben und Einheiten, die nicht durch SCPs eingeschränkt sind beschriebenen.
SCPs haben keinen Einfluss auf eine servicegebundene Rolle. Mit Diensten verknüpfte Rollen ermöglichen die Integration anderer AWS Dienste in SCPs AWS Organizations und können nicht durch SCPs eingeschränkt werden.
Wenn Sie den SCP-Richtlinientyp in einem Stamm deaktivieren, werden alle SCPs automatisch von allen AWS Organizations Entitäten in diesem Stamm getrennt. AWS Organizations Entitäten umfassen Organisationseinheiten, Organisationen und Konten. Bei einer erneuten Aktivierung der Service-Kontrollrichtlinien in einem Root-Benutzer wird für alle Entitäten lediglich die FullAWSAccess-Standardrichtlinie automatisch wiedergeherstellt. Alle Zuweisungen von SCPs für AWS Organizations -Entitäten von vor der Deaktivierung der SCPs gehen verloren und werden nicht automatisch wiederhergestellt. Die erneute Zuweisung muss manuell erfolgen.
Wenn sowohl eine Berechtigungsgrenze (eine erweiterte IAM-Feature) als auch eine SCP vorhanden sind, müssen die Grenze, die SCP und die identitätsbasierte Richtlinie die Aktion zulassen.

Verwenden von Zugriffsdaten zur Verbesserung von SCPs

Wenn Sie mit den Anmeldeinformationen für das Verwaltungskonto angemeldet sind, können Sie im AWS OrganizationsBereich der IAM-Konsole die Daten anzeigen, auf die zuletzt zugegriffen wurde, für eine AWS Organizations Entität oder Richtlinie. Sie können auch die AWS Command Line Interface (AWS CLI) oder die AWS API in IAM verwenden, um die Daten des Dienstes abzurufen, auf den zuletzt zugegriffen wurde. Diese Daten enthalten Informationen darüber, auf welche zugelassenen Dienste die IAM-Benutzer und -Rollen in einem AWS Organizations Konto zuletzt zugegriffen haben und wann. Mit diesen Informationen können Sie ungenutzte Berechtigungen identifizieren, sodass Sie die SCPs besser an die Regel der geringsten Rechte anpassen können.

Möglicherweise haben Sie eine Sperrliste (SCP), die den Zugriff auf drei Dienste verbietet. AWS Alle Services, die nicht in der SCP-Anweisung Deny aufgeführt sind, sind zulässig. Die Daten des Dienstes, auf die in IAM zuletzt zugegriffen wurde, geben an, welche AWS Dienste vom SCP zugelassen, aber nie verwendet werden. Mit diesen Informationen können Sie die SCP so aktualisieren, dass sie den Zugriff auf nicht benötigte Services verweigert.

Weitere Informationen finden Sie unter folgenden Themen im IAM-Benutzerhandbuch:

Aufgaben und Einheiten, die nicht durch SCPs eingeschränkt sind

Sie können SCPs nicht verwenden, um die folgenden Aufgaben einzuschränken:

Jede Aktion, die vom Verwaltungskonto ausgeführt wird
Jede Aktion, die unter Verwendung von Berechtigungen ausgeführt wird, die mit einer servicegebundenen Rolle verknüpft sind
Registrieren für den Enterprise Support-Plan als Root-Benutzer
Ändern Sie die AWS Support-Stufe als Root-Benutzer
Stellen Sie Funktionen für vertrauenswürdige Unterzeichner für CloudFront private Inhalte bereit
Konfigurieren von Reverse-DNS für einen Amazon-Lightsail-E-Mail-Server und einer Amazon-EC2-Instance als Stammbenutzer
Aufgaben im AWS Zusammenhang mit einigen verwandten Diensten:
- Alexa Top Sites
- Alexa Web Information Service
- Amazon Mechanical Turk
- Amazon Product Marketing API

Dokumentkonventionen

Unterstützte Regionen

Erstellen, Aktualisieren und Löschen