Quero aumentar o limite de caracteres para políticas de controle de serviços (SCPs) ou anexar mais SCPs a uma entidade em uma Organização da AWS.
Breve descrição
O tamanho máximo dos documentos de política do SCP é de 5.120 bytes. O número máximo de SCPs que podem ser anexados a unidades organizacionais (UOs), raiz ou conta é cinco. Para obter mais informações, consulte Quotas for AWS Organizations (Cotas para o AWS Organizations).
Resolução
Reduza o tamanho do SCP para ficar abaixo do limite de caracteres de 5.120 bytes
Revise os SCPs e remova as permissões duplicadas. Por exemplo, coloque todas as ações com os mesmos elementos Effect (Efeito) e Resource (Recurso) em uma instrução em vez de várias instruções.
Remova elementos desnecessários, como Sid, porque eles são levados em conta para o número total de caracteres permitidos.
Use curingas para ações com os mesmos sufixos ou prefixos. Por exemplo, as ações ec2:DescribeInstances, ec2:DescribeTags e ec2:DescribeSubnets podem ser combinadas como ec2:Describe*.
Use a herança do SCP na hierarquia da UO
O limite de cinco SCPs não inclui SCPs herdados do pai. Você pode usar a estrutura de herança de SCPs para UOs e contas de membros e distribuir SCPs em várias UOs. Por exemplo, para impedir que usuários ou perfis do IAM nas contas de membros da sua Organização acessem os serviços da AWS, configure a estrutura da sua Organização da seguinte forma:
Root <--- 1 full access SCP (1 directly attached)
|
OU1 <--- 1 full access, 4 deny SCPs (5 directly attached, 1 inherited)
|
OU2 <--- 1 full access, 4 deny SCPs (5 directly attached, 6 inherited)
|
Account <--- 1 full access, 4 deny SCPs (5 directly attached, 11 inherited)
|
Bob
As permissões que são filtradas por SCPs em cada nó da hierarquia de uma Organização são a interseção de SCPs diretamente vinculados e herdados. As permissões efetivas concedidas ao usuário do IAM Bob em uma conta de membro são O acesso total menos serviços negados pelos 12 SCPs baseados em negação. Essa abordagem é escalável, pois o número máximo de UOs aninhadas que você pode ter na hierarquia da sua Organização é cinco. Para obter mais informações, consulte Inheritance for service control policies (Herança para políticas de controle de serviços).
Importante: nenhuma permissão é concedida por um SCP. O administrador deve anexar políticas baseadas em identidade ou recursos aos usuários ou perfis do IAM ou aos recursos em suas contas para conceder permissões. Para obter mais informações, consulte Service control policies (SCPs) (Políticas de controle de serviço (SCPs)).
Informações relacionadas
How can I use SCPs and tag policies to prevent users in my AWS Organizations member accounts from creating resources? (Como posso usar SCPs e políticas de etiquetas para impedir que usuários nas minhas contas-membro do AWS Organizations criem recursos?)
What's the difference between an AWS Organizations service control policy and an IAM policy? (Qual é a diferença entre uma política de controle de serviços do AWS Organizations e uma política do IAM?)