¿Cómo puedo aumentar el límite de tamaño de los caracteres de las SCP o la cantidad de SCP para una organización de AWS?

3 minutos de lectura

Quiero aumentar el límite de caracteres para las políticas de control de servicios (SCP) o asociar más SCP a una entidad en una organización de AWS.

Solución

El servicio AWS Organizations tiene un límite estricto de cinco SCP por cuenta.

Utilice estos métodos para reducir la cantidad de SCP asociadas directamente a una cuenta y permitir restricciones adicionales en una organización.

Consolidación de varias SCP en una
Utilización de la herencia de SCP en la jerarquía de la unidad organizativa (OU)

Consolidación de varias SCP en una

Utilice este método si el tamaño de la SCP es inferior al límite de tamaño de la política, que es de 5120 bytes.

Siga estas recomendaciones para reducir el límite de tamaño de la SCP:

Revise sus SCP y elimine cualquier permiso duplicado. Por ejemplo, coloque todas las acciones con los mismos elementos Efecto y Recurso en una sola instrucción en lugar de varias.
Elimine cualquier elemento innecesario, como el ID de la instrucción (Sid), ya que ese elemento se incluye en el número total de caracteres permitidos.
Utilice caracteres comodín para las acciones con el mismo sufijo o prefijo. Por ejemplo, las acciones ec2:DescribeInstances, ec2:DescribeTags y ec2:DescribeSubnets se pueden combinar como ec2:Describe*.
Importante: El uso de caracteres comodín puede entrañar riesgos adicionales para la seguridad en una organización. Los caracteres comodín otorgan permisos de amplio alcance, a menudo para varios recursos. Pueden conceder permisos a los usuarios y roles de su organización sin pretenderlo. No aplique nunca permisos a funciones de AWS Lambda con este método. No olvide realizar las debidas comprobaciones antes de usar caracteres comodín.

Utilización de la herencia de SCP en la jerarquía de la OU

El límite de cinco SCP no incluye las SCP que se heredan del elemento principal de la jerarquía. Puede utilizar la estructura de herencia de SCP para las OU y las cuentas miembro con el fin de distribuir las SCP entre varias OU. Por ejemplo, para impedir que los usuarios o roles de IAM con cuentas miembro de su organización accedan a los servicios de AWS, configure la estructura de la organización de la siguiente manera:

Root    <--- 1 full access SCP (1 directly attached)  
 |
OU1     <--- 1 full access, 4 deny SCPs (5 directly attached, 1 inherited)
 |
OU2     <--- 1 full access, 4 deny SCPs (5 directly attached, 6 inherited)
 |
Account <--- 1 full access, 4 deny SCPs (5 directly attached, 11 inherited)
 |
Bob

Los permisos que se filtran mediante las SCP en cada nodo de la jerarquía de una organización son las que se encuentran en la intersección de las SCP asociadas y heredadas de forma directa. En este ejemplo, el usuario Bob de AWS Identity and Access Management (IAM) utiliza una cuenta miembro con acceso total, salvo por los servicios denegados por las 12 SCP basadas en denegaciones. Este enfoque es escalable, ya que en la jerarquía de su organización puede tener hasta cinco OU anidadas como máximo. Para obtener más información, consulte Evaluación de SCP y Cuotas para AWS Organizations.

Información relacionada

Estrategias para utilizar SCP

Temas

Gestión y gobierno

Etiquetas

AWS Organizations

Idioma

Español

OFICIAL DE AWSActualizada hace 7 meses

Contenido relevante

¿Cómo puedo utilizar las SCP y las políticas de etiquetas para evitar que los usuarios de mis cuentas de miembros de AWS Organizations creen recursos?
OFICIAL DE AWSActualizada hace 2 años
¿Cómo puedo solucionar los errores de limitación de API o “Tasa excedida” de IAM y AWS STS?
OFICIAL DE AWSActualizada hace 2 años
¿Cómo puedo aumentar el límite de tamaño de carga de PHP para mi instancia de Bitnami WordPress en Lightsail?
OFICIAL DE AWSActualizada hace 9 meses
¿Cuál es la diferencia entre una política de control de servicio de AWS Organizations y una política de IAM?
OFICIAL DE AWSActualizada hace 2 años