Durch die Nutzung von AWS re:Post stimmt du den AWS re:Post Nutzungsbedingungen
AWS re:Postre:Post

Wie kann ich die Zeichenbeschränkung für SCP oder die Anzahl der SCP für eine AWS-Organisation erhöhen?

Lesedauer: 3 Minute
0

Ich möchte die Zeichenbeschränkung für Service Control Policies (SCP, Service-Kontrollrichtlinien) erhöhen oder mehr SCP an eine Entität in einer AWS-Organisation anhängen.

Behebung

AWS Organizations hat eine feste Grenze von fünf SCP pro Konto.

Verwenden Sie folgende Methoden, um die Anzahl der direkt mit einem Konto verknüpften SCP zu reduzieren, um zusätzliche Einschränkungen in einer Organisation zu ermöglichen.

  • Konsolidieren mehrerer SCP zu einer einzigen SCP
  • Verwenden von SCP-Vererbung in der Hierarchie der Organizational Unit (Organisationseinheit, OU)

Konsolidieren mehrerer SCP zu einer einzigen SCP

Verwenden Sie diese Methode, wenn die Größe der SCP unterhalb der Größenbeschränkung von 5.120 Byte liegt.

Folgen Sie diesen Empfehlungen, um die Größe Ihrer SCP zu reduzieren:

  • Überprüfen Sie Ihre SCP und entfernen Sie alle doppelten Berechtigungen. Platzieren Sie beispielsweise alle Aktionen mit denselben Effect- und Resource-Elementen in derselben statt in mehreren Anweisungen.
  • Entfernen Sie alle unnötigen Elemente wie die Anweisungs-ID (Sid), da sie auf die Gesamtzahl der zulässigen Zeichen angerechnet werden.
  • Verwenden Sie Platzhalter für Aktionen mit demselben Suffix oder Präfix. Beispielsweise können die Aktionen ec2:DescribeInstances, ec2:DescribeTags und ec2:DescribeSubnets als ec2:Describe* kombiniert werden.
    **Wichtig:**Die Verwendung von Platzhaltern kann zu zusätzlichen Sicherheitsrisiken in einer Organisation führen. Platzhalter gewähren umfassende Berechtigungen, oft für mehrere Ressourcen. Sie können Benutzern und Rollen in Ihrer Organisation unbeabsichtigte Berechtigungen gewähren. Wenden Sie mit dieser Methode niemals Berechtigungen auf AWS-Lambda-Funktionen an. Verwenden Sie Platzhalter immer mit der gebotenen Sorgfalt.

Verwenden von SCP-Vererbung in der OU-Hierarchie

Die Grenze von fünf SCP beinhaltet keine SCP, die von der übergeordneten Einheit geerbt wurden. Sie können die Vererbungsstruktur von SCP für OU und Mitgliedskonten verwenden, um SCP auf mehrere OU zu verteilen. Um beispielsweise IAM-Benutzern oder -Rollen mit den Mitgliedskonten Ihrer Organisation den Zugriff auf AWS-Services zu verweigern, richten Sie Ihre Organisationsstruktur wie folgt ein:

Root    <--- 1 full access SCP (1 directly attached)  
 |
OU1     <--- 1 full access, 4 deny SCPs (5 directly attached, 1 inherited)
 |
OU2     <--- 1 full access, 4 deny SCPs (5 directly attached, 6 inherited)
 |
Account <--- 1 full access, 4 deny SCPs (5 directly attached, 11 inherited)
 |
Bob

Berechtigungen, die von SCP an jedem Knoten einer Organisationshierarchie gefiltert werden, stellen die Schnittstelle zwischen direkt angehängten und vererbten SCP dar. In diesem Beispiel hat der AWS Identity and Access Management (IAM)-Benutzer Bob in einem Mitgliedskonto vollen Zugriff abzüglich der Dienste, die von den 12 deny-basierten SCP verweigert wurden. Dieser Ansatz ist skalierbar, da Sie in Ihrer Organisationshierarchie bis zu fünf verschachtelte Organisationseinheiten betreiben können. Weitere Informationen finden Sie unter SCP-Evaluation und Kontingente für AWS Organizations.

Verwandte Informationen

Strategien zur Verwendung von SCP

Themen
Management & Unternehmensführung
Tags
AWS Organizations
Sprache
Deutsch
AWS OFFICIAL
AWS OFFICIALAktualisiert vor 7 Monaten

Relevanter Inhalt