Como posso aumentar o limite de tamanho de caracteres do SCP ou o número de SCPs para uma Organização da AWS?

3 minuto de leitura

Quero aumentar o limite de caracteres para políticas de controle de serviços (SCPs) ou anexar mais SCPs a uma entidade em uma Organização da AWS.

Breve descrição

O tamanho máximo dos documentos de política do SCP é de 5.120 bytes. O número máximo de SCPs que podem ser anexados a unidades organizacionais (UOs), raiz ou conta é cinco. Para obter mais informações, consulte Quotas for AWS Organizations (Cotas para o AWS Organizations).

Resolução

Reduza o tamanho do SCP para ficar abaixo do limite de caracteres de 5.120 bytes

Revise os SCPs e remova as permissões duplicadas. Por exemplo, coloque todas as ações com os mesmos elementos Effect (Efeito) e Resource (Recurso) em uma instrução em vez de várias instruções.

Remova elementos desnecessários, como Sid, porque eles são levados em conta para o número total de caracteres permitidos.

Use curingas para ações com os mesmos sufixos ou prefixos. Por exemplo, as ações ec2:DescribeInstances, ec2:DescribeTags e ec2:DescribeSubnets podem ser combinadas como ec2:Describe*.

Use a herança do SCP na hierarquia da UO

O limite de cinco SCPs não inclui SCPs herdados do pai. Você pode usar a estrutura de herança de SCPs para UOs e contas de membros e distribuir SCPs em várias UOs. Por exemplo, para impedir que usuários ou perfis do IAM nas contas de membros da sua Organização acessem os serviços da AWS, configure a estrutura da sua Organização da seguinte forma:

Root    <--- 1 full access SCP (1 directly attached)  
 |
OU1     <--- 1 full access, 4 deny SCPs (5 directly attached, 1 inherited)
 |
OU2     <--- 1 full access, 4 deny SCPs (5 directly attached, 6 inherited)
 |
Account <--- 1 full access, 4 deny SCPs (5 directly attached, 11 inherited)
 |
Bob

As permissões que são filtradas por SCPs em cada nó da hierarquia de uma Organização são a interseção de SCPs diretamente vinculados e herdados. As permissões efetivas concedidas ao usuário do IAM Bob em uma conta de membro são O acesso total menos serviços negados pelos 12 SCPs baseados em negação. Essa abordagem é escalável, pois o número máximo de UOs aninhadas que você pode ter na hierarquia da sua Organização é cinco. Para obter mais informações, consulte Inheritance for service control policies (Herança para políticas de controle de serviços).

Importante: nenhuma permissão é concedida por um SCP. O administrador deve anexar políticas baseadas em identidade ou recursos aos usuários ou perfis do IAM ou aos recursos em suas contas para conceder permissões. Para obter mais informações, consulte Service control policies (SCPs) (Políticas de controle de serviço (SCPs)).

Informações relacionadas

How can I use SCPs and tag policies to prevent users in my AWS Organizations member accounts from creating resources? (Como posso usar SCPs e políticas de etiquetas para impedir que usuários nas minhas contas-membro do AWS Organizations criem recursos?)

What's the difference between an AWS Organizations service control policy and an IAM policy? (Qual é a diferença entre uma política de controle de serviços do AWS Organizations e uma política do IAM?)

Tópicos

Gestão e governança

Marcações

AWS Organizations

Idioma

Português

AWS OFICIALAtualizada há 3 meses

Conteúdo relevante

Como faço para aumentar minhas unidades de capacidade da ACL da Web para o AWS WAF?
AWS OFICIALAtualizada há 8 meses
Como soluciono o erro “User/IAM role X is not authorized to perform Y on resource Z” (O usuário/perfil X do IAM não está autorizado a executar Y no recurso Z) no AWS Glue?
AWS OFICIALAtualizada há um mês
Como redimensiono o tablespace da minha instância de banco de dados do Amazon RDS for Oracle?
AWS OFICIALAtualizada há um ano
Como configuro o Controlador de entrada NGINX para aumentar o corpo da solicitação do cliente, ativar o CORS para permitir cabeçalhos adicionais e usar o WebSocket para trabalhar com o Amazon EKS?
AWS OFICIALAtualizada há um ano