Quiero aumentar el límite de caracteres para las políticas de control de servicios (SCP) o asociar más SCP a una entidad de una organización de AWS.
Descripción breve
El tamaño máximo para los documentos de política de SCP es de 5120 bytes. El número máximo de SCP que se pueden asociar a las unidades organizativas (OU), a la raíz o a la cuenta es cinco. Para obtener más información, consulte Cuotas para AWS Organizations.
Solución
Reduzca el tamaño de la SCP para mantenerse por debajo del límite de caracteres de 5120 bytes
Revise las SCP y elimine los permisos duplicados. Por ejemplo, coloque todas las acciones con los mismos elementos de Effect (Efecto) y Resource (Recurso) en una declaración en lugar de varias declaraciones.
Elimine los elementos innecesarios, como Sid, porque se calculan para el número total de caracteres permitidos.
Utilice caracteres comodín para las acciones con los mismos sufijos o prefijos. Por ejemplo, las acciones ec2:DescribeInstances, ec2:DescribeTags y ec2:DescribeSubnets se pueden combinar como ec2:Describe*.
Utilice la herencia de la SCP en la jerarquía de la unidad organizativa
El límite de cinco SCP no incluye las SCP que se heredan de la política principal. Puede utilizar la estructura de herencia de las SCP para las unidades organizativas y las cuentas de los miembros y distribuir las SCP entre varias unidades organizativas. Por ejemplo, para impedir que los usuarios o roles de IAM con las cuentas de miembro de su organización accedan a los servicios de AWS, configure la estructura de la organización de la siguiente manera:
Root <--- 1 full access SCP (1 directly attached)
|
OU1 <--- 1 full access, 4 deny SCPs (5 directly attached, 1 inherited)
|
OU2 <--- 1 full access, 4 deny SCPs (5 directly attached, 6 inherited)
|
Account <--- 1 full access, 4 deny SCPs (5 directly attached, 11 inherited)
|
Bob
Los permisos que se filtran por las SCP en cada nodo de la jerarquía de una organización son la intersección de las SCP asociadas y heredadas de forma directa. Los permisos efectivos del usuario de IAM Bob en una cuenta de miembro son el acceso total menos los servicios denegados por las 12 SCP basadas en denegaciones. Este enfoque es escalable, ya que el número máximo de unidades organizativas anidadas que puede tener dentro de la jerarquía de su organización es cinco. Para obtener más información, consulte Herencia para políticas de control de servicios.
Importante: Una SCP no concede permisos. El administrador debe asociar políticas basadas en la identidad o en los recursos a los usuarios o roles de IAM, o a los recursos en sus cuentas, para conceder los permisos. Para obtener más información, consulte Políticas de control de servicios (SCP).
Información relacionada
¿Cómo puedo utilizar las SCP y las políticas de etiquetas para evitar que los usuarios de mis cuentas de miembros de AWS Organizations creen recursos?
What's the difference between an AWS Organizations service control policy and an IAM policy? (¿Cuál es la diferencia entre una política de control de servicios de AWS Organizations y una política de IAM?)