Test degli effetti delle SCPDimensione massima delle SCPCollegamento delle SCP a diversi livelli dell'organizzazioneEffetti di SCP sulle autorizzazioniUtilizzo dei dati di accesso per migliorare le SCPAttività ed entità non limitate dalle SCP

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Policy di controllo dei servizi (Service Control Policies, SCP)

Le policy di controllo dei servizi (SCP) sono un tipo di policy dell'organizzazione che puoi utilizzare per gestire le autorizzazioni nell'organizzazione. Gli SCP offrono il controllo centralizzato sulle autorizzazioni massime disponibili per gli utenti IAM e i ruoli IAM nell'organizzazione. Le SCP ti aiutano a garantire che i tuoi account rimangano all'interno delle linee guida per il controllo degli accessi della tua organizzazione. Le SCP sono disponibili solo nelle organizzazioni in cui sono abilitate tutte le caratteristiche. Le SCP non sono disponibili se la tua organizzazione ha abilitato solo le caratteristiche di fatturazione consolidata. Per istruzioni su come abilitare le SCP, consulta Abilitazione e disabilitazione di tipi di policy.

Gli SCP non concedono autorizzazioni agli utenti IAM e ai ruoli IAM dell'organizzazione. Nessuna autorizzazione viene concessa da una SCP. Un SCP definisce una barriera di autorizzazioni, o impone dei limiti, alle azioni che gli utenti IAM e i ruoli IAM dell'organizzazione possono eseguire. Per concedere le autorizzazioni, l'amministratore deve allegare politiche per il controllo dell'accesso, ad esempio politiche basate sull'identità associate agli utenti e ai ruoli IAM e politiche basate sulle risorse allegate alle risorse dei tuoi account. Le autorizzazioni effettive sono l'intersezione logica tra ciò che è consentito da SCP e ciò che è consentito dalle politiche basate sull'identità e sulle risorse.

Importante

Le SCP non influenzano gli utenti e i ruoli nell'account di gestione. Influiscono solo sugli account membri nell'organizzazione.

Argomenti

Test degli effetti delle SCP

AWS consiglia vivamente di non collegare gli SCP alla radice dell'organizzazione senza aver testato a fondo l'impatto che la politica ha sugli account. Piuttosto, crea una UO in cui puoi spostare uno alla volta i tuoi account o al massimo in piccole quantità, per accertarti di non escludere inavvertitamente degli utenti dai servizi chiave. Uno dei modi per determinare se un servizio è utilizzato da un account è esaminare i dati a cui il servizio ha effettuato l'ultimo accesso in IAM. Un altro modo consiste nell'utilizzare AWS CloudTrail per registrare l'utilizzo del servizio a livello di API.

Nota

Non dovresti rimuovere la AWSAccess politica completa a meno che non la modifichi o la sostituisca con una politica separata con azioni consentite, altrimenti tutte le AWS azioni degli account dei membri falliranno.

Dimensione massima delle SCP

Tutti i caratteri nella SCP sono conteggiati rispetto alla dimensione massima. Gli esempi in questa guida mostrano le SCP formattate con spazio vuoto aggiuntivo per migliorarne la leggibilità. Tuttavia, per risparmiare spazio se la dimensione della policy è prossima alla dimensione massima, puoi eliminare qualsiasi spazio vuoto, come i caratteri spazio e le interruzioni di linea che si trovano al di fuori delle virgolette.

Suggerimento

Utilizza l'editor visivo per creare la SCP. Rimuove automaticamente lo spazio vuoto aggiuntivo.

Collegamento delle SCP a diversi livelli dell'organizzazione

Per una descrizione dettagliata di come funzionano le SCP, consulta Valutazione SCP.

Effetti di SCP sulle autorizzazioni

Gli SCP sono simili alle politiche di autorizzazione AWS Identity and Access Management (IAM) e utilizzano quasi la stessa sintassi. ma non concedono mai le autorizzazioni. Gli SCP sono invece policy JSON che specificano le autorizzazioni massime per gli utenti IAM e i ruoli IAM nell'organizzazione. Per ulteriori informazioni, consulta Logica di valutazione delle policy nella Guida per l'utente di IAM.

  • Le SCP influiscono solo su utenti e ruoli IAM gestiti dagli account che fanno parte dell'organizzazione. Le SCP non influiscono direttamente sulle policy basate su risorse. Non influenzano gli utenti e i ruoli degli account al di fuori dell'organizzazione. Ad esempio, considera un bucket Amazon S3 che è di proprietà dell'account A in un'organizzazione. La policy del bucket (una policy basata su risorse) concede l'accesso agli utenti dell'account B al di fuori dell'organizzazione. L'account A dispone di un'SCP collegata. Tale SCP non si applica agli utenti esterni nell'account B, ma solo agli utenti che sono gestiti dall'account A nell'organizzazione.

  • Una SCP limita le autorizzazioni per i ruoli e gli utenti IAM e negli account membri, compreso l'utente root dell'account membro. Ogni account dispone solo delle autorizzazioni consentite da ogni padre al di sopra di esso. Se un'autorizzazione è bloccata a un qualsiasi livello al di sopra dell'account, implicitamente (non essendo inclusa in un'istruzione di policy Allow) o esplicitamente (essendo inclusa in un'istruzione di policy Deny), gli utenti o i ruoli nell'account interessato non potranno utilizzare tale autorizzazione, anche se l'amministratore dell'account collega la policy IAM AdministratorAccess con autorizzazioni */* agli utenti.

  • Le SCP influiscono solo sugli account membri nell'organizzazione. Non hanno alcun effetto sugli utenti o sui ruoli nell'account di gestione.

  • Agli utenti e ai ruoli devono ancora essere concesse le autorizzazioni con policy di autorizzazione IAM appropriate. Un utente che non dispone di policy di autorizzazione IAM, non avrà accesso anche se le SCP applicabili consentono tutti i servizi e tutte le operazioni.

  • Se un utente o un ruolo dispone di una policy di autorizzazione IAM che concede l'accesso a un'operazione consentita anche dalle SCP applicabili, l'utente o il ruolo può effettuare quell'operazione.

  • Se un utente o un ruolo dispone di una policy di autorizzazione IAM che concede l'accesso a un'operazione non consentita o rifiutata esplicitamente dalle SCP applicabili, l'utente o il ruolo non possono effettuare quell'operazione.

  • Le SCP influiscono su tutti gli utenti e i ruoli negli account collegati, incluso l'utente root. Le uniche eccezioni sono quelle descritte in Attività ed entità non limitate dalle SCP.

  • Le SCP non influiscono su alcun ruolo collegato ai servizi. I ruoli collegati ai servizi consentono l'integrazione di altri AWS servizi con gli SCP AWS Organizations e non possono essere limitati da essi.

  • Quando si disabilita il tipo di policy SCP in una radice, tutti gli SCP vengono automaticamente scollegati da tutte le entità in quella radice. AWS Organizations AWS Organizations le entità includono unità organizzative, organizzazioni e account. Se riabiliti le SCP in una root, questa root viene ripristinata solo alla policy FullAWSAccess predefinita automaticamente collegata a tutte le entità nella root. Gli eventuali collegamenti delle SCP alle entità AWS Organizations effettuati prima che le SCP venissero disabilitate vengono persi e non possono essere ripristinati automaticamente; tuttavia puoi effettuare di nuovo il collegamento manualmente.

  • Se sono presenti sia un limite delle autorizzazioni (una caratteristica IAM avanzata) sia una SCP, il limite, la SCP e la policy basata su identità devono tutti consentire l'operazione.

Utilizzo dei dati di accesso per migliorare le SCP

Una volta effettuato l'accesso con le credenziali dell'account di gestione, puoi visualizzare i dati dell'ultimo accesso al servizio per un' AWS Organizations entità o una policy nella AWS Organizationssezione della console IAM. Puoi anche utilizzare AWS Command Line Interface (AWS CLI) o l' AWS API in IAM per recuperare i dati dell'ultimo accesso al servizio. Questi dati includono informazioni su quali servizi consentiti a cui gli utenti e i ruoli IAM in un AWS Organizations account hanno tentato l'ultima volta di accedere e quando. È possibile utilizzare queste informazioni per identificare le autorizzazioni non necessarie, in modo da poter perfezionare le SCP per aderire meglio al principio del privilegio minimo.

Ad esempio, potresti avere un SCP con elenco negato che vieta l'accesso a tre servizi. AWS Sono consentiti tutti i servizi non elencati nella dichiarazione Deny della SCP. I dati dell'ultimo accesso al servizio in IAM indicano quali AWS servizi sono consentiti da SCP ma non vengono mai utilizzati. Con queste informazioni, è possibile aggiornare la SCP per negare l'accesso ai servizi non necessari.

Per ulteriori informazioni, consulta gli argomenti seguenti nella Guida per l'utente IAM:

Attività ed entità non limitate dalle SCP

Non puoi utilizzare le SCP per limitare le seguenti attività:

  • Qualsiasi operazione eseguita dall'account di gestione

  • Qualsiasi operazione eseguita utilizzando le autorizzazioni collegate a un ruolo collegato ai servizi

  • Eseguire la registrazione per il piano di supporto Enterprise come utente root

  • Cambia il livello di AWS supporto come utente root

  • Fornisci funzionalità di firma affidabile per i contenuti CloudFront privati

  • Configurare il DNS inverso per un server di posta elettronica Amazon Lightsail e istanza Amazon EC2 come utente root

  • Attività relative ad alcuni AWS servizi correlati:

    • Alexa Top Sites

    • Alexa Web Information Service

    • Amazon Mechanical Turk

    • Amazon Product Marketing API