Come posso gestire il limite di caratteri per le SCP o il numero di SCP per un'organizzazione AWS?

Risoluzione

Il servizio AWS Organizations ha un limite rigido di cinque SCP per account. Se colleghi troppe SCP a un account, un'UO o una root, potresti ricevere l'errore ConstraintViolationException.

La dimensione massima per le SCP è di 5.120 caratteri, inclusi eventuali spazi aggiuntivi o interruzioni di riga. Per ulteriori informazioni, consulta Quotas and service limits for AWS Organizations.

Utilizza i metodi seguenti per ridurre il numero di SCP direttamente collegate a un account e consentire ulteriori restrizioni in un'organizzazione:

• Riunisci più SCP in un'unica SCP
• Usa l'ereditarietà SCP nella gerarchia dell'unità organizzativa (UO)

Riunisci più SCP in un'unica SCP

Utilizza questo metodo se le dimensioni dell'SCP sono inferiori al limite di dimensioni della policy di 5.120 byte.

Segui questi consigli per ridurre il limite di dimensioni delle SCP:

• Esamina le SCP e rimuovi eventuali autorizzazioni duplicate. Ad esempio, inserisci tutte le azioni con gli stessi elementi Effetto e Risorsa in un'unica istruzione anziché in più istruzioni.

• Rimuovi qualsiasi elemento non necessario, come l'ID istruzione (Sid), perché tali elementi contribuiscono al raggiungimento del numero totale di caratteri consentiti.

• Utilizza i caratteri jolly per le azioni con lo stesso suffisso o prefisso. Ad esempio, le azioni ec2:DescribeInstances, ec2:DescribeTags ed ec2:DescribeSubnets possono essere combinate come ec2:Describe*.

  Importante: l'uso di caratteri jolly può creare ulteriori rischi per la sicurezza in un'organizzazione. I caratteri jolly concedono autorizzazioni ampie, spesso per più risorse. I caratteri jolly possono concedere autorizzazioni non intenzionali per le identità (utenti, gruppi, ruoli) di AWS Identity and Access Management (IAM) nella tua organizzazione. Non utilizzare questo metodo nelle funzioni AWS Lambda per applicare le autorizzazioni. Assicurati di utilizzare i caratteri jolly solo dopo aver effettuato le dovute verifiche. È consigliabile evitare di concedere autorizzazioni con caratteri jolly nelle policy IAM.

Usa l'ereditarietà SCP nella gerarchia delle UO

Il limite di cinque SCP non include le SCP ereditate dalla principale. È possibile utilizzare la struttura di ereditarietà delle SCP per le UO e gli account membri per distribuire le SCP su più UO. Ad esempio, per impedire a utenti o ruoli IAM con account membri dell'organizzazione di accedere ai servizi AWS, configura la struttura della tua organizzazione come segue:

Root    <--- 1 full access SCP (1 directly attached)   |
OU1     <--- 1 full access, 4 deny SCPs (5 directly attached, 1 inherited)
 |
OU2     <--- 1 full access, 4 deny SCPs (5 directly attached, 6 inherited)
 |
Account <--- 1 full access, 4 deny SCPs (5 directly attached, 11 inherited)
 |
Bob

Le autorizzazioni filtrate dalle SCP in ogni nodo di una gerarchia organizzativa sono l'intersezione di SCP direttamente collegate ed ereditate. In questo esempio, l'utente IAM Bob in un account membro ha l'accesso completo meno i servizi rifiutati dalle 12 SCP basate sul rifiuto. Questo approccio è dimensionabile perché il numero massimo di UO annidate che è possibile avere all'interno della gerarchia organizzativa è cinque.

Per ulteriori informazioni, consulta SCP evaluation.

Informazioni correlate

Get more out of service control policies in a multi-account environment