Como posso aumentar o limite de número de caracteres da SCP ou o número de SCPs de uma organização da AWS?

3 minuto de leitura

Quero aumentar o limite de caracteres de políticas de controle de serviços (SCPs) ou anexar mais SCPs a uma entidade em uma organização da AWS.

Resolução

O serviço AWS Organizations tem um limite rígido de cinco SCPs por conta.

Use esses métodos para reduzir o número de SCPs diretamente vinculadas a uma conta para permitir restrições adicionais em uma organização.

Consolide várias SCPs em uma única SCP
Use a herança de SCP na hierarquia da unidade organizacional (OU)

Consolide várias SCPs em uma única SCP

Use esse método se o tamanho da SCP for menor que o limite de tamanho da política de 5.120 bytes.

Siga estas recomendações para reduzir o limite de tamanho da SCP:

Revise suas SCPs e remova todas as permissões duplicadas. Por exemplo, coloque todas as ações com os mesmos elementos Efeito e Recurso em uma instrução em vez de em várias instruções.
Remova todos os elementos desnecessários, como o ID da instrução (Sid), porque esse elemento é contabilizado no número total de caracteres permitidos.
Use curingas para ações com os mesmos sufixos ou prefixos. Por exemplo, as ações ec2:DescribeInstancess, ec2:DescribeTags e ec2:DescribeSubnets podem ser combinadas como ec2:Describe*.
Importante: o uso de curingas pode criar riscos adicionais de segurança em uma organização. Os curingas concedem amplas permissões, geralmente para vários recursos. Eles podem conceder permissões não intencionais para usuários e perfis na sua organização. Nunca aplique permissões a funções do AWS Lambda usando esse método. Certifique-se de usar curingas somente após realizar a devida diligência.

Use a herança de SCP na hierarquia da OU

O limite de cinco SCPs não inclui SCPs herdadas de instâncias precedentes. Você pode usar a estrutura de herança das SCPs para OUs e contas de membros para distribuir SCPs para várias OUs. Por exemplo, para impedir que usuários ou perfis do IAM com contas de membros da sua organização acessem os serviços da AWS, configure sua estrutura organizacional como no exemplo a seguir:

Root    <--- 1 full access SCP (1 directly attached)  
 |
OU1     <--- 1 full access, 4 deny SCPs (5 directly attached, 1 inherited)
 |
OU2     <--- 1 full access, 4 deny SCPs (5 directly attached, 6 inherited)
 |
Account <--- 1 full access, 4 deny SCPs (5 directly attached, 11 inherited)
 |
Bob

Permissões filtradas por SCPs em cada nó da hierarquia de uma organização são a interseção de SCPs diretamente vinculadas e herdadas. Neste exemplo, o usuário Bob do AWS Identity and Access Management (IAM) possui uma conta de membro e acesso total, com exceção dos serviços negados pelas 12 SCPs baseadas em negação. Essa abordagem é escalável porque o número máximo de OUs aninhadas que você pode ter na hierarquia da sua organização é cinco. Para obter mais informações, consulte SCP evaluation e Cotas para AWS Organizations.

Informações relacionadas

Strategies for using SCPs

Tópicos

Gestão e governança

Conteúdo relevante

Como posso encontrar o número de IVA da AWS?
AWS OFICIALAtualizada há 2 anos
Como posso resolver o erro “You have exceeded the allowed number of AWS accounts” (Você excedeu o número permitido de contas da AWS) para o AWS Organizations?
AWS OFICIALAtualizada há um ano
Como posso usar SCPs e políticas de etiquetas para impedir que usuários nas minhas contas-membro do AWS Organizations criem recursos?
AWS OFICIALAtualizada há 2 anos
O AWS Support tem um número de telefone?
AWS OFICIALAtualizada há 2 anos