Comment augmenter la limite de taille des caractères SCP ou le nombre de SCP pour un service AWS Organization ?

Résolution

Le service AWS Organizations impose une limite stricte de cinq SCP par compte.

Vous pouvez utiliser les méthodes suivantes pour réduire le nombre de SCP directement associés à un compte, afin d’imposer des restrictions supplémentaires au sein d'une organisation.

• Consolider plusieurs SCP en une seule SCP
• Utilisation de l'héritage SCP dans la hiérarchie de l'unité organisationnelle (UO)

Consolider plusieurs SCP en une seule SCP

Utilisez cette méthode si la taille de la SCP est inférieure à la limite de 5 120 octets fixée par la politique.

Suivez ces recommandations pour réduire la limite de taille de la SCP :

• Vérifiez vos SCP et supprimez les autorisations dupliquées. Vous pouvez par exemple placer toutes les actions comportant des éléments d'effet et de ressource identiques dans une seule déclaration plutôt que dans plusieurs déclarations.
• Supprimez tous les éléments inutiles, tels que l'ID de déclaration (Sid), car cet élément est pris en compte dans le nombre total de caractères autorisés.
• Utilisez des caractères génériques pour les actions comportant les mêmes suffixes ou préfixes. Par exemple, les actions ec2:DescribeInstances, ec2:DescribeTags et ec2:DescribeSubnets peuvent être combinées sous l’action ec2:Describe*.
  Important : l'utilisation de caractères génériques peut entraîner des risques de sécurité supplémentaires au sein d’une organisation. Les caractères génériques accordent en effet des autorisations étendues, souvent pour plusieurs ressources. Ils peuvent ainsi accorder des autorisations involontaires aux utilisateurs et aux rôles de votre organisation. Il est impératif de ne jamais appliquer d'autorisations à l'aide de cette méthode aux fonctions AWS Lambda. Avant d'utiliser des caractères génériques, assurez-vous d’avoir pris toutes les précautions nécessaires.

Utiliser l'héritage SCP dans la hiérarchie de l'unité organisationnelle

La limite de cinq SCP n'inclut pas les SCP héritées du parent. Vous pouvez utiliser la structure d'héritage des SCP pour les unités organisationnelles et les comptes membres afin de répartir les SCP entre plusieurs unités organisationnelles. Par exemple, pour empêcher les utilisateurs ou rôles IAM associés aux comptes membres de votre organisation d'accéder aux services AWS, vous devez configurer la structure de votre organisation comme suit :

Root    <--- 1 full access SCP (1 directly attached)  
 |
OU1     <--- 1 full access, 4 deny SCPs (5 directly attached, 1 inherited)
 |
OU2     <--- 1 full access, 4 deny SCPs (5 directly attached, 6 inherited)
 |
Account <--- 1 full access, 4 deny SCPs (5 directly attached, 11 inherited)
 |
Bob

Les autorisations filtrées par les SCP à chaque nœud de la hiérarchie d'une organisation correspondent à l'intersection des SCP directement attachées et héritées. Dans cet exemple, Bob est utilisateur IAM dans un compte membre. Il dispose d'un accès complet, à l’exception des services refusés par les 12 SCP de refus. Cette approche est évolutive, car il est possible d’avoir un maximum de cinq unités organisationnelles imbriquées au sein de la hiérarchie de votre organisation. Pour en savoir plus, consultez les sections Évaluation des politiques de contrôle des services (SCP) et Quotas pour AWS Organizations.

Informations connexes

Stratégies d'utilisation des SCP