Wie kann ich die SCP-Zeichengrößenbeschränkung oder die Anzahl der SCPs für eine AWS-Organisation erhöhen?

Lesedauer: 3 Minute

Ich möchte die Zeichenbeschränkung für Service-Kontrollrichtlinien (SCPs) erhöhen oder einer Entität in einer AWS-Organisation mehr SCPs zuordnen.

Kurzbeschreibung

Die maximale Größe für die Richtliniendokumente von SCPs beträgt 5 120 Byte. Die maximale Anzahl von SCPs, die mit Organisationseinheiten (OEs), einem Stamm oder einem Konto verknüpft werden können, beträgt fünf. Weitere Informationen finden Sie unter Kontingente für AWS Organizations.

Lösung

SCP-Größe reduzieren, um unter der Zeichenbeschränkung von 5 120 Byte zu bleiben

Überprüfen Sie die SCPs und entfernen Sie doppelte Berechtigungen. Fügen Sie beispielsweise alle Aktionen mit den gleichen Effect- und Resource-Elementen in einer Anweisung statt in mehreren Anweisungen zusammen.

Entfernen Sie unnötige Elemente wie Sid, da sie zur Gesamtzahl der zulässigen Zeichen hinzugerechnet werden.

Verwenden Sie Platzhalter für Aktionen mit denselben Suffixen oder Präfixen. Beispielsweise können die Aktionen ec2:DescribeInstances, ec2:DescribeTags, ec2:DescribeSubnets als ec2:Describe* kombiniert werden.

Verwenden Sie die SCP-Vererbung in der OE-Hierarchie

Die Beschränkung von fünf SCPs beinhaltet keine SCPs, die vom übergeordneten Element vererbt werden. Sie können die Vererbungsstruktur von SCPs für Organisationseinheiten und Mitgliedskonten verwenden und SCPs auf mehrere Organisationseinheiten verteilen. Um beispielsweise IAM-Benutzern oder Rollen mit den Mitgliedskonten Ihrer Organisation den Zugriff auf AWS-Services zu verweigern, richten Sie Ihre Organisationsstruktur wie folgt ein:

Root    <--- 1 full access SCP (1 directly attached)  
 |
OU1     <--- 1 full access, 4 deny SCPs (5 directly attached, 1 inherited)
 |
OU2     <--- 1 full access, 4 deny SCPs (5 directly attached, 6 inherited)
 |
Account <--- 1 full access, 4 deny SCPs (5 directly attached, 11 inherited)
 |
Bob

Berechtigungen, die an jedem Knoten einer Organisationshierarchie nach SCPs gefiltert werden, bilden die Schnittstelle von direkt angefügten und vererbten SCPs. Die effektiven Berechtigungen, die dem IAM-Benutzer Bob in einem Mitgliedskonto gewährt werden, sind Vollzugriff abzüglich der Services, die von den 12 verweigerungsbasierten SCPs verweigert werden. Dieser Ansatz ist skalierbar, da Sie innerhalb Ihrer Organisationshierarchie maximal fünf geschachtelte Organisationseinheiten haben können. Weitere Informationen finden Sie unter Vererbung für Service-Kontrollrichtlinien.

Wichtig: Von einer SCP werden keine Berechtigungen erteilt. Der Administrator muss identitäts- oder ressourcenbasierte Richtlinien an IAM-Benutzer oder -Rollen oder an die Ressourcen in Ihren Konten anfügen, um Berechtigungen zu gewähren. Weitere Informationen finden Sie unter Service-Kontrollrichtlinien (SCPs).

Relevante Informationen

Wie kann ich SCPs und Tag-Richtlinien verwenden, um zu verhindern, dass Benutzer in meinen AWS-Organizations-Mitgliedskonten Ressourcen erstellen?

Was ist der Unterschied zwischen einer AWS-Organizations-Service-Control-Richtlinie und einer IAM-Richtlinie?

Themen

Management & Unternehmensführung

Relevanter Inhalt

Wie kann ich die Ausnahme „failed to obtain in-memory shard lock“ in Amazon OpenSearch Service beheben?
AWS OFFICIALAktualisiert vor 2 Jahren
Wie kann ich die Anzahl der CDC-Dateien kontrollieren, die für meinen S3-Zielendpunkt mit AWS DMS generiert werden?
AWS OFFICIALAktualisiert vor 4 Monaten
Wie kann ich die maximale Anzahl der Verbindungen meiner Instance in Amazon RDS für MySQL oder Amazon RDS für PostgreSQL erhöhen?
AWS OFFICIALAktualisiert vor 7 Monaten
Wie kann ich die Anzahl der Inodes oder Dateien für die Volumes auf meinem Amazon FSx for ONTAP-Dateisystem erhöhen?
AWS OFFICIALAktualisiert vor 5 Monaten