En utilisant AWS re:Post, vous acceptez les Conditions d’utilisation
AWS re:Postre:Post

Comment puis-je augmenter le nombre caractères dans la SCP ou le nombre de SCP pour une organisation AWS Organizations ?

Lecture de 3 minute(s)
0

Je souhaite augmenter la limite de caractères pour les politiques de contrôle des services (SCP) ou associer davantage de SCP à une entité au sein d'une organisation AWS Organizations.

Brève description

La taille maximale des documents de politique SCP est de 5 120 octets. Cinq SCP maximum peuvent être associées à des unités d'organisation (UO), à une racine ou à un compte. Pour plus d'informations, consultez Quotas pour AWS Organizations.

Solution

Réduire la taille de la SCP pour rester en dessous de la limite de caractères de 5 120 octets

Vérifiez les SCP et supprimez les autorisations en double. Par exemple, placez toutes les actions comportant les mêmes éléments Effect (Effet) et Resource (Ressource) dans une même instruction, plutôt que de les diviser.

Supprimez les éléments inutiles tels que Sid, car ils sont pris en compte dans le nombre total de caractères autorisés.

Utilisez des caractères génériques pour les actions dotés des mêmes suffixes ou préfixes. Par exemple, les actions ec2:DescribeInstances, ec2:DescribeTags, ec2:DescribeSubnets peuvent être combinées sous la forme ec2:Describe*.

Utiliser l'héritage SCP dans la hiérarchie des unités d'organisation

La limite de cinq SCP n'inclut pas les SCP hérités de la politique parent. Vous pouvez utiliser la structure d'héritage des SCP pour les unités d'organisation et les comptes membres et répartir les SCP entre plusieurs unités d'organisation. Par exemple, pour empêcher les utilisateurs ou les rôles IAM associés aux comptes membres de votre organisation d'accéder aux services AWS, configurez la structure de votre organisation comme suit :

Root    <--- 1 full access SCP (1 directly attached)  
 |
OU1     <--- 1 full access, 4 deny SCPs (5 directly attached, 1 inherited)
 |
OU2     <--- 1 full access, 4 deny SCPs (5 directly attached, 6 inherited)
 |
Account <--- 1 full access, 4 deny SCPs (5 directly attached, 11 inherited)
 |
Bob

Les autorisations filtrées par les SCP à chaque nœud de la hiérarchie d'une organisation recoupent les SCP directement associées et héritées. Les autorisations effectives accordées à l'utilisateur IAM Bob sur un compte membre comprennent un accès complet, à l'exception des services rejetés par les 12 SCP de refus. Cette approche est évolutive, car le nombre maximum d'unités d'organisation imbriquées que vous pouvez détenir au sein de la hiérarchie de votre organisation est de cinq. Pour plus d'informations, consultez Héritage pour les politiques de contrôle des services.

Important : aucune autorisation n'est accordée par une SCP. L'administrateur doit associer des politiques basées sur l'identité ou les ressources aux utilisateurs ou rôles IAM, ou encore aux ressources de vos comptes, afin d'accorder des autorisations. Pour plus d'informations, consultez Politiques de contrôle des services (SCP).

Informations connexes

Comment puis-je utiliser les SCP et les politiques d'identification pour empêcher les utilisateurs de mes comptes membres AWS Organizations de créer des ressources ?

Quelle est la différence entre une politique de contrôle des services AWS Organizations et une politique IAM ?

Sujets
Gestion et gouvernance
Balises
AWS Organizations
Langue
Français
AWS OFFICIEL
AWS OFFICIELA mis à jour il y a 3 mois
Aucun commentaire

Contenus pertinents