¿Cómo puedo administrar el límite de tamaño de los caracteres de las SCP o la cantidad de SCP para una organización de AWS?
Quiero aumentar el límite de caracteres para las políticas de control de servicios (SCP) o asociar más SCP a una entidad en una organización de AWS.
Resolución
El servicio AWS Organizations tiene un límite estricto de cinco SCP por cuenta. Si has adjuntado demasiadas SCP a una cuenta, unidad organizativa (OU) o raíz, es posible que recibas el error ConstraintViolationException.
El tamaño máximo de las SCP es de 5120 caracteres, incluidos los espacios adicionales o los saltos de línea. Para obtener más información, consulta Quotas and service limits for AWS Organizations (Cuotas y límites de servicio de AWS Organizations).
Utiliza estos métodos para reducir la cantidad de SCP asociadas directamente a una cuenta y permitir restricciones adicionales en una organización:
- Consolidación de varias SCP en una
- Utilización de la herencia de SCP en la jerarquía de la unidad organizativa (OU)
Consolidación de varias SCP en una
Utilice este método si el tamaño de la SCP es inferior al límite de tamaño de la política, que es de 5120 bytes.
Siga estas recomendaciones para reducir el límite de tamaño de la SCP:
-
Revisa las SCP y elimina cualquier permiso duplicado. Por ejemplo, coloca todas las acciones con los mismos elementos Effect y Resource en una sola instrucción en lugar de varias.
-
Elimina cualquier elemento innecesario, como el ID de la instrucción (Sid), ya que ese elemento se incluye en el número total de caracteres permitidos.
-
Utiliza caracteres comodín para las acciones con el mismo sufijo o prefijo. Por ejemplo, las acciones ec2:DescribeInstances, ec2:DescribeTags y ec2:DescribeSubnets se pueden combinar como ec2:Describe*.
Importante: El uso de caracteres comodín puede entrañar riesgos adicionales para la seguridad en una organización. Los caracteres comodín otorgan permisos de amplio alcance, a menudo para varios recursos. Los caracteres comodín pueden conceder permisos no deseados para las identidades (usuarios, grupos y roles) de AWS Identity and Access Management (IAM) de tu organización. No utilices este método para aplicar permisos a las funciones de AWS Lambda. Asegúrate de usar caracteres comodín solo después de haber realizado la debida diligencia. Se recomienda evitar la concesión de permisos comodín en las políticas de IAM.
Utilización de la herencia de SCP en la jerarquía de la OU
El límite de cinco SCP no incluye las SCP que se heredan del elemento principal de la jerarquía. Puedes utilizar la estructura de herencia de SCP para las OU y las cuentas miembro con el fin de distribuir las SCP entre varias OU. Por ejemplo, para impedir que los usuarios o roles de IAM con cuentas miembro de tu organización accedan a los servicios de AWS, configura la estructura de la organización de la siguiente manera:
Root <--- 1 full access SCP (1 directly attached) | OU1 <--- 1 full access, 4 deny SCPs (5 directly attached, 1 inherited) | OU2 <--- 1 full access, 4 deny SCPs (5 directly attached, 6 inherited) | Account <--- 1 full access, 4 deny SCPs (5 directly attached, 11 inherited) | Bob
Los permisos que se filtran mediante las SCP en cada nodo de la jerarquía de una organización son las que se encuentran en la intersección de las SCP asociadas y heredadas de forma directa. En este ejemplo, el usuario Bob de IAM utiliza una cuenta miembro con acceso total, salvo por los servicios denegados por las 12 SCP basadas en denegaciones. Este enfoque es escalable, ya que en la jerarquía de tu organización puedes tener hasta cinco OU anidadas como máximo.
Para obtener más información, consulta SCP evaluation (Evaluación de SCP).
Información relacionada
Get more out of service control policies in a multi-account environment (Saca más partido a las políticas de control de servicio en un entorno de varias cuentas)
Contenido relevante
- OFICIAL DE AWSActualizada hace un año
- OFICIAL DE AWSActualizada hace 3 meses
- OFICIAL DE AWSActualizada hace 3 años