AWS Organization の SCP 文字サイズ制限または SCP 数を増やすにはどうすればよいですか。
サービスコントロールポリシー (SCP) の文字数制限を増やすか、AWS Organization 内のエンティティに SCP を追加したいと考えています。
簡単な説明
SCP ポリシードキュメントの最大サイズは 5,120 バイトです。組織単位 (OU)、ルート、またはアカウントに接続できる SCP の最大数は 5 つです。詳細については、「AWS Organizations のクォータ」を参照してください。
解決方法
SCP サイズを小さくして、5,120 バイトの文字制限を下回るようにしてください。
SCP を確認して、重複する権限を削除してください。たとえば、同じ Effect 要素と Resource 要素を持つすべてのアクションを、複数のステートメントではなく 1 つのステートメントに配置します。
Sid などの不要な要素は、許容される合計文字数にカウントされるため、削除してください。
同じサフィックスまたはプレフィックスを持つアクションにはワイルドカードを使用します。たとえば、ec2:DescribeInstances、ec2:DescribeTags、ec2:DescribeSubnetsというアクションは、ec2: Describe* として組み合わせることができます。
OU 階層で SCP 継承を使用する
5 つの SCP の制限には、親から継承された SCP は含まれません。OU とメンバーアカウントの SCP の継承構造を使用して、SCP を複数の OU に分散できます。たとえば、組織のメンバーアカウントを持つ IAM ユーザーまたはロールが AWS サービスにアクセスすることを拒否するには、組織構造を次のように設定します。
Root <--- 1 full access SCP (1 directly attached) | OU1 <--- 1 full access, 4 deny SCPs (5 directly attached, 1 inherited) | OU2 <--- 1 full access, 4 deny SCPs (5 directly attached, 6 inherited) | Account <--- 1 full access, 4 deny SCPs (5 directly attached, 11 inherited) | Bob
組織階層の各ノードで SCP によってフィルタリングされる権限は、直接接続された SCP と継承された SCP が混在しています。メンバーアカウントの IAM ユーザー Bob に許可される有効な権限は、フルアクセスから 12 の拒否ベースの SCP によって拒否されたサービスを差し引いたものです。このアプローチは、組織階層内に配置できるネストされた OU の最大数が 5 つであるため、スケーラブルです。詳細については、「サービスコントロールポリシーの継承」を参照してください。
重要: SCP は権限を付与しません。管理者は、ID ベースまたはリソースベースのポリシーを IAM ユーザーまたはロール、またはアカウント内のリソースにアタッチして権限を付与する必要があります。詳細については、「サービスコントロールポリシー (SCP)」を参照してください。
関連情報
SCP とタグポリシーを使用して、AWS Organizations メンバーアカウントのユーザーがリソースを作成できないようにするにはどうすればよいですか。
関連するコンテンツ
- AWS公式更新しました 1年前