Wie verwalte ich die Zeichenbeschränkung für SCP oder die Anzahl der SCP für eine AWS-Organisation?

Lesedauer: 3 Minute
0

Ich möchte die Zeichenbeschränkung für Servicekontroll-Richtlinien (SCP) erhöhen oder mehr SCP an eine Entität in einer AWS-Organisation anhängen.

Lösung

AWS Organizations hat eine feste Grenze von fünf SCP pro Konto. Wenn Sie zu viele SCPs an ein Konto, eine OU oder einen Stamm angehängt haben, erhalten Sie möglicherweise den ConstraintViolationException-Fehler.

Die maximale Größe für SCPs beträgt 5.120 Zeichen, einschließlich zusätzlicher Leerzeichen oder Zeilenumbrüche. Weitere Informationen finden Sie unter Kontingente und Servicelimits für AWS Organizations.

Wenden Sie folgende Methoden an, um die Anzahl der direkt mit einem Konto verknüpften SCP zu reduzieren, um zusätzliche Einschränkungen in einer Organisation zu ermöglichen:

  • Konsolidieren mehrerer SCP zu einer einzigen SCP
  • Verwenden von SCP-Vererbung in der Hierarchie der Organizational Unit (Organisationseinheit, OU)

Konsolidieren mehrerer SCP zu einer einzigen SCP

Verwenden Sie diese Methode, wenn die Größe der SCP unterhalb der Größenbeschränkung von 5.120 Byte liegt.

Folgen Sie diesen Empfehlungen, um die Größe Ihrer SCP zu reduzieren:

  • Überprüfen Sie die SCP und entfernen Sie alle doppelten Berechtigungen. Platzieren Sie beispielsweise alle Aktionen mit denselben Elementen Effekt und Ressource in einer anstatt in mehreren Erklärungen.

  • Entfernen Sie alle unnötigen Elemente wie die Erklärungs-ID (Sid), da sie auf die Gesamtzahl der zulässigen Zeichen angerechnet werden.

  • Verwenden Sie Platzhalter für Aktionen mit demselben Suffix oder Präfix. Beispielsweise können die Aktionen ec2:DescribeInstances, ec2:DescribeTags und ec2:DescribeSubnets als ec2:Describe* kombiniert werden.

    Wichtig: Die Platzhalter können zu zusätzlichen Sicherheitsrisiken in einer Organisation führen. Platzhalter gewähren umfassende Berechtigungen, oft für mehrere Ressourcen. Platzhalter können unbeabsichtigte Berechtigungen für AWS Identity and Access Management (IAM)-Identitäten (Benutzer, Gruppen, Rollen) in Ihrer Organisation gewähren. Verwenden Sie diese Methode nicht für AWS Lambda-Funktionen, um Berechtigungen anzuwenden. Stellen Sie sicher, dass Sie Platzhalter nur verwenden, nachdem Sie die gebotene Sorgfalt durchgeführt haben. Es hat sich bewährt, Platzhalterberechtigungen in IAM-Richtlinien zu vermeiden.

Verwenden von SCP-Vererbung in der OU-Hierarchie

Die Grenze von fünf SCP beinhaltet keine SCP, die von der übergeordneten Einheit geerbt wurden. Sie können die Vererbungsstruktur von SCP für OU und Mitgliedskonten verwenden, um SCP auf mehrere OU zu verteilen. Um beispielsweise IAM-Benutzern oder -Rollen mit den Mitgliedskonten Ihrer Organisation den Zugriff auf AWS-Services zu verweigern, richten Sie Ihre Organisationsstruktur wie folgt ein:

Root    <--- 1 full access SCP (1 directly attached)   |
OU1     <--- 1 full access, 4 deny SCPs (5 directly attached, 1 inherited)
 |
OU2     <--- 1 full access, 4 deny SCPs (5 directly attached, 6 inherited)
 |
Account <--- 1 full access, 4 deny SCPs (5 directly attached, 11 inherited)
 |
Bob

Berechtigungen, die von SCP an jedem Knoten einer Organisationshierarchie gefiltert werden, stellen die Schnittstelle zwischen direkt angehängten und vererbten SCP dar. In diesem Beispiel hat der IAM-Benutzer Bob in einem Mitgliedskonto vollen Zugriff abzüglich der Services, die von den 12 verweigerungsbasierten SCP verweigert wurden. Dieser Ansatz ist skalierbar, da Sie in Ihrer Organisationshierarchie bis zu fünf verschachtelte Organisationseinheiten betreiben können.

Weitere Informationen finden Sie unter SCP evaluation (SCP-Bewertung).

Ähnliche Informationen

In einer Umgebung mit mehreren Konten mehr aus der Servicekontrolle mehr herausholen

AWS OFFICIAL
AWS OFFICIALAktualisiert vor einem Monat