服务控制策略 (SCPs) - Amazon Organizations
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

服务控制策略 (SCPs)

服务控制策略 (SCPs) 是一种组织策略,可用于管理组织中的权限。SCPs为组织中的IAM用户和IAM角色提供对最大可用权限的集中控制。SCPs帮助您确保您的帐户符合组织的访问控制准则。SCPs仅在启用了所有功能的组织中可用。SCPs如果您的组织仅启用了整合账单功能,则不可用。有关启用的说明SCPs,请参阅启用策略类型

SCPs不要向组织中的IAM用户和IAM角色授予权限。不授予任何权限SCP。对组织中的IAM用户和IAM角色可以执行的操作SCP定义权限护栏或设置限制。要授予权限,管理员必须附加策略来控制访问权限,例如附加到IAM用户和IAM角色的基于身份的策略,以及附加到您账户中资源的基于资源的策略。有效权限是基于身份SCP和资源的策略所允许的权限与允许的权限之间的逻辑交集。

重要

SCPs不要影响管理账户中的用户或角色。它们仅影响组织中的成员账户。

的测试效果 SCPs

Amazon 强烈建议您在未彻底测试该政策对账户的影响之前,不要将其附加SCPs到组织的根目录。您可以改为创建一个 OU,并将您的账户一次移入一个,或至少每次以少量移入,以确保您不会无意中阻止用户使用关键服务。确定账户是否使用服务的一种方法是检查上次访问的服务数据IAM。另一种方法是使用 Amazon CloudTrail 以记录该API级别的服务使用情况

注意

除非您修改 F ullAWSAccess 策略或将其替换为具有允许操作的单独策略,否则应全部删除 F 策略 Amazon 来自成员账户的操作将失败。

最大大小为 SCPs

你中的所有字符都按其最大大小进行SCP计数。本指南中的示例显示了带有额外空格以提高其可读性的SCPs格式化内容。但是,在您的策略大小接近最大大小时,可以删除任何空格(例如,引号之外的空格字符和换行符)来节省空间。

提示

使用可视化编辑器来构建你的SCP. 它会自动删除额外的空格。

隶SCPs属于组织中的不同级别

有关SCPs工作原理的详细说明,请参阅SCP评估

SCP对权限的影响

SCPs类似于 Amazon Identity and Access Management (IAM) 权限策略并使用几乎相同的语法。但是,SCP从不授予权限。取而代之SCPs的是为组织中的IAM用户和IAM角色指定最大权限的JSON策略。有关更多信息,请参阅《IAM用户指南》中的策略评估逻辑

  • SCPs仅影响由属于组织的账户管理的IAM用户和角色。SCPs不要直接影响基于资源的策略。也不会影响组织外的账户的用户或角色。例如,请考虑一个 Amazon S3 存储桶,它由组织中的账户“A”所有。存储桶策略(一种基于资源的策略)会向来自组织外账户 B 的用户授予访问权限。账户 A 已SCP附加。这SCP不适用于账户 B 中的外部用户,仅SCP适用于组织中由账户 A 管理的用户。

  • SCP限制成员账户中IAM用户和角色的权限,包括成员账户的根用户。任何账户都只有上方的每个 父级允许的那些权限。如果某个权限在账户以上的任何级别被隐式(未包含在Allow策略声明中)或明确阻止(包含在Deny策略声明中),则受影响账户中的用户或角色将无法使用该权限,即使账户管理员向该用户附加了具有*/*权限的AdministratorAccessIAM策略。

  • SCPs仅影响组织中的成员帐户。它们对管理账户中的用户或角色没有任何影响。

  • 用户和角色仍必须通过适当的权限策略获得IAM权限。没有任何IAM权限策略的用户没有访问权限,即使适用的SCPs允许所有服务和所有操作。

  • 如果用户或角色的IAM权限策略授予对相应用户也允许的操作的访问权限SCPs,则该用户或角色可以执行该操作。

  • 如果用户或角色的IAM权限策略允许访问相应用户不允许或明确拒绝的操作SCPs,则该用户或角色将无法执行该操作。

  • SCPs影响关联账户中的所有用户和角色,包括 root 用户。唯一例外在 不受限制的任务和实体 SCPs中介绍。

  • SCPs影响任何服务相关角色。服务相关角色支持其他 Amazon Web Services 服务 与之集成 Amazon Organizations 并且不能受限制SCPs。

  • 当您在根目录中禁用SCP策略类型时,所有策略类型将自动与SCPs所有策略类型分离 Amazon Organizations 该根中的实体。 Amazon Organizations 实体包括组织单位、组织和账户。如果您在根目录SCPs中重新启用,则该根目录将恢复为仅自动附加到根目录中所有实体的默认FullAWSAccess策略。的任何附SCPs件 Amazon Organizations 之前SCPs被禁用的实体会丢失且无法自动恢复,但您可以手动重新连接它们。

  • 如果同时存在权限边界(高级IAM功能)和权限,则边界SCP、和基于身份的策略都必须允许该操作。SCP

使用访问数据进行改进 SCPs

使用管理账户凭据登录后,您可以查看上次访问的服务数据 Amazon Organizations 中的实体或政策 Amazon OrganizationsIAM控制台的部分。你也可以使用 Amazon Command Line Interface (Amazon CLI) 或 Amazon API输入IAM以检索上次访问的服务数据。这些数据包括有关IAM用户和角色所允许的服务的信息 Amazon Organizations 账户上次尝试访问的时间和时间。您可以使用此信息来识别未使用的权限,以便可以完善您的权限,SCPs以更好地遵守最低权限原则。

例如,您可能有一个拒绝列表 SCP,禁止访问三个 Amazon Web Services 服务。 Deny声明中未列出的所有服务均被允许。SCP上次访问的服务数据IAM会告诉你哪个 Amazon Web Services 服务 是允许的,SCP但从未使用过。有了这些信息,您可以更新SCP以拒绝访问不需要的服务。

有关更多信息,请参阅《IAM用户指南》中的以下主题:

不受限制的任务和实体 SCPs

不能使用SCPs来限制以下任务:

  • 管理账户执行的任何操作

  • 使用附加到服务相关角色的权限执行的任何操作

  • 以根用户身份注册企业支持计划

  • 改变 Amazon 以 root 用户身份支持级别

  • 为 CloudFront 私有内容提供可信签名者功能

  • 以根用户身份DNS为 Amazon Lightsail 电子邮件服务器和亚马逊EC2实例进行反向配置

  • 某些任务上有任务 Amazon相关服务:

    • Alexa Top Sites

    • Alexa Web Information Service

    • Amazon Mechanical Turk

    • 亚马逊产品营销 API