Come posso aumentare il limite di dimensione dei caratteri di una SCP o il numero di SCP per un'organizzazione in AWS Organization?

Ultimo aggiornamento: 14/12/2022

Desidero aumentare il limite di caratteri per le policy di controllo dei servizi (SCP) o allegare più SCP a un'entità in un'organizzazione di AWS Organization.

Breve descrizione

La dimensione massima per i documenti di policy delle SCP è di 5.120 byte. Il numero massimo di SCP che possono essere collegati alle unità organizzative (OU), al root o all'account è pari a cinque. Per ulteriori informazioni, consulta la pagina Quote per AWS Organizations.

Risoluzione

Riduci la dimensione della SCP per rimanere al di sotto del limite di caratteri di 5.120 byte

Esamina le SCP e rimuovi le autorizzazioni duplicate. Ad esempio, inserisci tutte le azioni con gli stessi elementi Effect e Resource in un'istruzione anziché in più istruzioni.

Rimuovi gli elementi non necessari come Sid perché vengono conteggiati nel numero totale di caratteri consentiti.

Usa i caratteri speciali per le azioni con gli stessi suffissi o prefissi. Ad esempio, le azioni ec2:DescribeInstances, ec2:DescribeTags e ec2:DescribeSubnets possono essere combinate come ec2:Describe*.

Usa l'ereditarietà della SCP nella gerarchia dell'unità organizzativa (OU)

Il limite di cinque SCP non include gli SCP ereditati dal padre. È possibile utilizzare la struttura di ereditarietà delle SCP per le OU e gli account membri, e distribuire le SCP su più OU. Ad esempio, per impedire agli utenti o ai ruoli IAM con gli account membri della tua organizzazione di accedere ai servizi AWS, configura la struttura dell'organizzazione come segue:

Root    <--- 1 full access SCP (1 directly attached)  
 |
OU1     <--- 1 full access, 4 deny SCPs (5 directly attached, 1 inherited)
 |
OU2     <--- 1 full access, 4 deny SCPs (5 directly attached, 6 inherited)
 |
Account <--- 1 full access, 4 deny SCPs (5 directly attached, 11 inherited)
 |
Bob

Le autorizzazioni filtrate per SCP in ogni nodo di una gerarchia organizzativa rappresentano l'intersezione di SCP direttamente collegate ed ereditate. Le autorizzazioni effettive consentite all'utente IAM Bob in un account membro consistono nell'accesso completo meno i servizi negati dai 12 SCP basati sulla negazione. Questo approccio è scalabile in quanto il numero massimo di OU annidate che è possibile avere all'interno della gerarchia dell'organizzazione è pari a cinque. Per ulteriori informazioni, consulta la pagina Ereditarietà per le policy di controllo dei servizi.

Importante: nessun permesso viene concesso da un SCP. L'amministratore deve allegare policy basate sull'identità o sulle risorse agli utenti o ai ruoli IAM o alle risorse dei tuoi account per concedere le autorizzazioni. Per ulteriori informazioni, consulta la pagina Policy di controllo dei servizi (Service Control Policies, SCP).

Come posso utilizzare SCP e policy di tag per impedire agli utenti nei miei account membri di AWS Organizations di creare risorse?

What's the difference between an AWS Organizations service control policy and an IAM policy? (Qual è la differenza che intercorre tra una policy di controllo dei servizi di AWS Organizations e una policy IAM?)

Questo articolo è stato utile?

Invia un feedback

Hai bisogno della fattura o di supporto tecnico?

Contatta il Supporto AWS