Come posso aumentare il limite di dimensioni dei caratteri SCP o il numero di SCP per un'organizzazione AWS?

3 minuti di lettura
0

Desidero aumentare il limite di caratteri per le policy di controllo dei servizi (SCP) o collegare più SCP a un'entità in un'organizzazione AWS.

Risoluzione

Il servizio AWS Organizations ha un limite rigido di cinque SCP per account.

Utilizza questi metodi per ridurre il numero di SCP direttamente collegati a un account e consentire ulteriori restrizioni in un'organizzazione.

  • Consolidamento di più SCP in un unico SCP
  • Utilizzo dell'ereditarietà SCP nella gerarchia dell'unità organizzativa (UO)

Consolidamento di più SCP in un unico SCP

Utilizza questo metodo se le dimensioni dell'SCP sono inferiori al limite di dimensioni della policy di 5.120 byte.

Segui questi consigli per ridurre il limite di dimensioni degli SCP:

  • Controlla i tuoi SCP e rimuovi eventuali autorizzazioni duplicate. Ad esempio, inserisci tutte le azioni con gli stessi elementi Effetto e Risorsa in un'unica istruzione anziché in più istruzioni.
  • Rimuovi qualsiasi elemento non necessario come l'ID istruzione (Sid) perché tali elementi vengono conteggiati sul numero totale di caratteri consentiti.
  • Utilizza i caratteri jolly per le azioni con lo stesso suffisso o prefisso. Ad esempio, le azioni ec2:DescribeInstances, ec2:DescribeTags ed ec2:DescribeSubnets possono essere combinate come ec2:Describe*.
    Importante: l'uso di caratteri jolly può creare ulteriori rischi per la sicurezza in un'organizzazione. I caratteri jolly concedono autorizzazioni ampie, spesso per più risorse. Possono concedere autorizzazioni indesiderate per utenti e ruoli nell'organizzazione. Non applicare mai le autorizzazioni utilizzando questo metodo alle funzioni AWS Lambda. Assicurati di utilizzare i caratteri jolly solo dopo aver eseguito la dovuta diligenza.

Utilizzo dell'ereditarietà SCP nella gerarchia delle UO

Il limite di cinque SCP non include gli SCP ereditati dal principale. È possibile utilizzare la struttura di ereditarietà degli SCP per le UO e gli account membri per distribuire gli SCP su più UO. Ad esempio, per impedire a utenti o ruoli IAM con account membri dell'organizzazione di accedere ai servizi AWS, configura la struttura della tua organizzazione come questo esempio:

Root    <--- 1 full access SCP (1 directly attached)  
 |
OU1     <--- 1 full access, 4 deny SCPs (5 directly attached, 1 inherited)
 |
OU2     <--- 1 full access, 4 deny SCPs (5 directly attached, 6 inherited)
 |
Account <--- 1 full access, 4 deny SCPs (5 directly attached, 11 inherited)
 |
Bob

Le autorizzazioni filtrate dagli SCP in ogni nodo di una gerarchia organizzativa sono l'intersezione di SCP direttamente collegati ed ereditati. In questo esempio, l'utente di AWS Identity and Access Management (IAM) Bob in un account membro ha l'accesso completo senza i servizi negati dai 12 SCP basati su negazioni. Questo approccio è dimensionabile perché il numero massimo di UO annidate che è possibile avere all'interno della gerarchia organizzativa è cinque. Per ulteriori informazioni, consulta Valutazione SCP e Quote per AWS Organizations.

Informazioni correlate

Strategie per l'utilizzo delle SCP

AWS UFFICIALE
AWS UFFICIALEAggiornata 9 mesi fa