如何增加 AWS Organization 的 SCP 字元大小限制或 SCP 數量?
我想增加服務控制政策 (SCP) 的字元限制,或將更多 SCP 連接至 AWS Organization 中的實體。
簡短描述
SCP 政策文件的大小上限為 5,120 位元組。可連接至組織單位 (OU)、根或帳號的 SCP 數目上限為五個。如需詳細資訊,請參閱 AWS Organizations 的配額。
解決方案
減少 SCP 大小以保持低於 5,120 位元組字元限制
檢閱 SCP 並移除重複的許可。例如,將具有相同 Effect 和 Resource 元素的所有動作放在一個陳述式中,而非放在多個陳述式中。
刪除不必要的元素,例如 Sid,因為它們計入允許的字元總數。
對具有相同尾碼或首碼的動作使用萬用字元。例如,動作 ec2:DescribeInstances、ec2:DescribeTags、ec2:DescribeSubnets 可以組合為 ec2:Describe*。
在 OU 層次結構中使用 SCP 繼承
五個 SCP 限制不包括繼承自父項的 SCP。您可以針對 OU 和成員帳戶使用 SCP 的繼承結構,並在多個 OU 中散佈 SCP。例如,若要拒絕擁有 Organization 成員帳戶的 IAM 使用者或角色存取 AWS 服務,請按如下方式設定 Organization 結構:
Root <--- 1 full access SCP (1 directly attached) | OU1 <--- 1 full access, 4 deny SCPs (5 directly attached, 1 inherited) | OU2 <--- 1 full access, 4 deny SCPs (5 directly attached, 6 inherited) | Account <--- 1 full access, 4 deny SCPs (5 directly attached, 11 inherited) | Bob
在 Organization 層次結構的每個節點上由 SCP 篩選的許可是直接連接和繼承 SCP 的交集。成員帳戶中 IAM 使用者 Bob 允許的有效許可為完整存取權,減去 12 個拒絕型 SCP 拒絕的服務。這種方法可擴展,因為您的 Organization 層次結構中可以擁有的巢狀 OU 數目上限為五個。如需詳細資訊,請參閱服務控制政策的繼承。
**重要提示:**SCP 未授與任何許可。管理員必須將身分型或資源型政策連接至 IAM 使用者或角色,或是連接至帳戶中的資源,才能授予許可。如需詳細資訊,請參閱服務控制政策 (SCP)。
相關資訊
相關內容
- 已提問 5 個月前
- AWS 官方已更新 1 個月前
- AWS 官方已更新 1 年前
- AWS 官方已更新 1 年前
- AWS 官方已更新 5 個月前