我想增加服务控制策略(SCP)的字符限制,或者将更多 SCP 附加到 AWS 组织中的一个实体。
解决方案
AWS Organizations 服务有一个硬性限制,每个账户最多只能有五个 SCP。
使用这些方法减少直接关联到账户的 SCP 数量,以便在组织中实施更多限制。
- 将多个 SCP 整合为一个 SCP
- 在组织单位(OU)的层次结构中使用 SCP 继承
将多个 SCP 整合为一个 SCP
如果 SCP 小于 5,120 字节(策略大小限制),请使用此方法。
请按照以下建议降低 SCP 大小限制:
- 查看您的 SCP 并删除所有重复的权限。例如,将所有具有相同 Effect 和 Resource 元素的操作放在一个语句中,而不是放在多个语句中。
- 删除所有不必要的元素,例如语句 ID(Sid),因为该元素计入允许的字符总数。
- 对于具有相同后缀或前缀的操作,请使用通配符。例如,操作 ec2:DescribeInstances、ec2:DescribeTags 和 ec2:DescribeSubnets 可以组合为 ec2:Describe*。
**重要信息:**使用通配符可能会给组织带来额外的安全风险。通配符授予广泛的权限,通常用于多个资源。它可能向组织中的用户和角色授予意想不到的权限。切勿使用此方法向 AWS Lambda 函数应用权限。确保只有在进行详尽调查后才使用通配符。
在 OU 层次结构中使用 SCP 继承
五个 SCP 限制不包括从父 SCP 继承的 SCP。您可以使用 OU 的 SCP 继承结构和成员账户,在多个 OU 之间分配 SCP。例如,要拒绝拥有您的组织成员账户的 IAM 用户或角色访问 AWS 服务,请按照以下示例设置您的组织结构:
Root <--- 1 full access SCP (1 directly attached)
|
OU1 <--- 1 full access, 4 deny SCPs (5 directly attached, 1 inherited)
|
OU2 <--- 1 full access, 4 deny SCPs (5 directly attached, 6 inherited)
|
Account <--- 1 full access, 4 deny SCPs (5 directly attached, 11 inherited)
|
Bob
在组织层次结构的每个节点上,由 SCP 筛选出的权限是直接附加 SCP 和继承 SCP 的交集。在此示例中,成员账户中的 AWS Identity and Access Management(IAM)用户 Bob 拥有完全访问权限,但无法访问被 12 个基于拒绝的 SCP 拒绝访问的服务。这种方法是可扩展的,因为在组织层次结构中,嵌套 OU 的最大数量为 5 个。有关更多信息,请参阅 SCP 评估和 AWS Organizations 配额。
相关信息
使用 SCP 的策略