服务控制策略 (SCPs) - Amazon Organizations
的测试效果 SCPs最大大小为 SCPs隶 SCPs 属于组织中的不同级别SCP 对权限的影响使用访问数据进行改进 SCPs不受限制的任务和实体 SCPs
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

服务控制策略 (SCPs)

服务控制策略 (SCPs) 是一种组织策略,可用于管理组织中的权限。 SCPs 集中控制组织中 IAM 用户和 IAM 角色的最大可用权限。 SCPs 帮助您确保您的帐户符合组织的访问控制准则。 SCPs仅在启用了所有功能的组织中可用。 SCPs 如果您的组织仅启用了整合账单功能,则不可用。有关启用的说明 SCPs,请参阅启用策略类型

SCPs 不要向组织中的 IAM 用户和 IAM 角色授予权限。SCP 不授予任何权限。SCP 针对组织中的 IAM 用户和 IAM 角色可以执行的操作定义了权限护栏或设置了限制。要授予权限,管理员必须附加相关策略来控制访问权限,例如,将基于身份的策略附加到 IAM 用户和 IAM 角色,以及将基于资源的策略附加到您账户中的资源。有关更多信息,请参见《IAM 用户指南》中的基于身份的策略和基于资源的策略

有效权限是 SCP 和资源控制策略 (RCPs) 所允许的权限与基于身份和基于资源的策略所允许的权限之间的逻辑交集。

SCPs 不影响管理账户中的用户或角色

SCPs 不要影响管理账户中的用户或角色。它们仅影响组织中的成员账户。这也意味着这 SCPs 适用于被指定为授权管理员的成员账户。

主题

的测试效果 SCPs

Amazon 强烈建议您在未彻底测试该政策对账户的影响之前,不要将其附加 SCPs 到组织的根目录上。您可以改为创建一个 OU,并将您的账户一次移入一个,或至少每次以少量移入,以确保您不会无意中阻止用户使用关键服务。确定账户是否使用服务的一种方法是检查 IAM 中服务上次访问的数据。另一种方法是Amazon CloudTrail 使用在 API 级别记录服务使用情况

注意

除非您修改完整版AWSAccess策略或将其替换为包含允许操作的单独策略,否则成员账户的所有操作都将失败,否则所有来自成员账户的 Amazon 操作都将失败。

最大大小为 SCPs

SCP 中的所有字符将计入其最大大小。本指南中的示例显示了带有额外空格以提高其可读性的 SCPs 格式化内容。但是,在您的策略大小接近最大大小时,可以删除任何空格(例如,引号之外的空格字符和换行符)来节省空间。

提示

使用可视化编辑器构建您的 SCP。它会自动删除额外的空格。

隶 SCPs 属于组织中的不同级别

有关 SCPs 工作原理的详细说明,请参阅SCP 评估

SCP 对权限的影响

SCPs 与 Amazon Identity and Access Management 权限策略类似,使用几乎相同的语法。但是,SCP 永远不会授予权限。取而代之 SCPs 的是访问控制,用于指定组织中 IAM 用户和 IAM 角色的最大可用权限。有关更多信息,请参阅《IAM 用户指南》中的策略评估逻辑

  • SCPs 仅影响由属于该组织的账户管理的 IAM 用户和角色。 SCPs 不要直接影响基于资源的策略。也不会影响组织外的账户的用户或角色。例如,请考虑一个 Amazon S3 存储桶,它由组织中的账户“A”所有。存储桶策略(一种基于资源的策略)会向来自组织外账户 B 的用户授予访问权限。账户 A 附加了一个 SCP。SCP 不适用于账户 B 中的那些外部用户。SCP 仅适用于由该组织内的账户 A 所管理的用户。

  • SCP 会限制成员账户中的 IAM 用户和角色的权限,包括成员账户的根用户。任何账户都只有上方的每个 父级允许的那些权限。如果权限在账户上面的任何级别被隐式阻止(通过不包括在 Allow 策略语句中)或明确阻止(通过包括在 Deny 策略语句中),则受影响账户中的用户或角色不能使用该权限,即使账户管理员将带有 */* 权限的 AdministratorAccess IAM policy 附加到用户也是如此。

  • SCPs 仅影响组织中的成员帐户。它们对管理账户中的用户或角色没有任何影响。这也意味着这 SCPs 适用于被指定为授权管理员的成员账户。有关更多信息,请参阅 管理账户的最佳实践

  • 仍然必须通过适当的 IAM 权限策略将权限授予用户和角色。没有任何 IAM 权限策略的用户没有访问权限,即使适用的策略 SCPs 允许所有服务和所有操作。

  • 如果用户或角色具有授予访问权限的 IAM 权限策略,该策略也被适用用户允许 SCPs,则该用户或角色可以执行该操作。

  • 如果用户或角色的 IAM 权限策略允许访问相应用户不允许或明确拒绝的操作 SCPs,则该用户或角色将无法执行该操作。

  • SCPs 影响关联账户中的所有用户和角色,包括 root 用户。唯一例外在 不受限制的任务和实体 SCPs中介绍。

  • SCPs 影响任何服务相关角色。服务相关角色允许其他角色与 Amazon Web Services 服务 之集成 Amazon Organizations ,并且不能受其限制。 SCPs

  • 在根目录中禁用 SCP 策略类型时,所有 SCPs 策略类型将自动与该根目录中的所有 Amazon Organizations 实体分离。 Amazon Organizations 实体包括组织单位、组织和账户。如果您在根目录 SCPs 中重新启用,则该根目录将恢复为仅自动附加到根目录中所有实体的默认FullAWSAccess策略。之前 SCPs 被禁用的 Amazon Organizations 实体的所有附件都将丢失且无法自动恢复,但您可以手动重新连接它们。 SCPs

  • 如果权限边界(高级 IAM 功能)和 SCP 同时存在,则边界、SCP 以及基于身份的策略必须全部允许操作。

使用访问数据进行改进 SCPs

使用管理账户证书登录后,您可以在 IAM 控制台的Amazon Organizations部分中查看 Amazon Organizations 实体或策略的上次访问服务数据。您还可以在 IAM 中使用 Amazon Command Line Interface (Amazon CLI) 或 Amazon API 来检索上次访问服务的数据。这些数据包括 Amazon Organizations 账户中的 IAM 用户和角色上次尝试访问哪些允许的服务以及何时访问的信息。您可以使用此信息来识别未使用的权限,以便可以完善您的权限, SCPs 以更好地遵守最低权限原则。

例如,您可能有一个拒绝列表 SCP,禁止访问三个 Amazon Web Services 服务。SCP 的 Deny 语句中未列出的所有服务均允许访问。IAM 中服务上次访问的数据会告诉您 SCP 允许但从未使用过 Amazon Web Services 服务 哪些数据。借助该信息,您可以更新 SCP 以拒绝对不需要服务的访问权限。

有关更多信息,请参阅 IAM 用户指南中的以下主题:

不受限制的任务和实体 SCPs

不能使用 SCPs 来限制以下任务:

  • 管理账户执行的任何操作

  • 使用附加到服务相关角色的权限执行的任何操作

  • 以根用户身份注册企业支持计划

  • 为 CloudFront 私有内容提供可信签名者功能

  • 以根用户身份为 Amazon Lightsail 电子邮件服务器和亚马逊 EC2 实例配置反向 DNS

  • 一些 Amazon相关服务的任务:

    • Alexa Top Sites

    • Alexa Web Information Service

    • Amazon Mechanical Turk

    • Amazon Product Marketing API