Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Políticas de autorización en AWS Organizations

Las políticas de autorización en AWS Organizations permiten configurar y administrar el acceso de las entidades principales y los recursos de sus cuentas de miembros de forma centralizada. La forma en que afectan a las políticas a las unidades organizativas (UO) y a las cuentas a las que se aplican depende del tipo de política de autorización que se aplique.

Existen dos tipos de políticas de autorización en AWS Organizations: las políticas de control de servicio (SCP) y las políticas de control de recursos (RCP)

Diferencias entre las SCP y las RCP

Las SCP son controles centrados en la entidad principal. Crean una barrera de protección, o fijan límites, en los permisos máximos disponibles para las entidades principales de las cuentas de miembros. Estas políticas se pueden utilizar cuando se desea aplicar de forma centralizada controles de acceso coherentes con las entidades principales de su organización. Por ejemplo, especificar los servicios a los que pueden acceder sus usuarios y roles de IAM, los recursos a los que pueden acceder o las condiciones en las que pueden realizar solicitudes (desde regiones o redes específicas).

Las RCP son controles centrados en los recursos. Las RCP crean una barrera de protección, o fijan límites, en los permisos máximos disponibles para los recursos de sus cuentas de miembros. Estas políticas se pueden utilizar cuando se desea aplicar de forma centralizada controles de acceso coherentes con todos los recursos de su organización. Esto puede restringir el acceso a sus recursos para que solo puedan acceder a ellos las identidades que pertenezcan a su organización, o especificar las condiciones en las que las identidades externas a su organización pueden acceder a los recursos.

Algunos controles se pueden aplicar de forma similar mediante SCP y RCP. Por ejemplo, puede impedir que sus usuarios carguen objetos no cifrados en S3, los cuales pueden escribirse como una SCP para controlar las acciones que sus entidades principales pueden realizar en los buckets de S3. Este control también se puede escribir como una RCP para requerir el cifrado siempre que una entidad principal cargue objetos en el bucket de S3. Es posible que prefiera la segunda opción si su bucket permite que entidades principales ajenas a su organización, como proveedores externos, carguen objetos a su bucket de S3. Sin embargo, algunos controles solo se pueden implementar en una RCP y otros solo se pueden implementar en una SCP. Para obtener más información, consulte Casos de uso generales de SCP y RCP.

Uso de las SCP y las RCP

Las SCP y las RCP son controles independientes. Puede optar por habilitar solo las SCP o RCP, o usar ambos tipos de políticas juntos. Al utilizar tanto las SCP como las RCP, puede crear un perímetro de datos en torno a sus identidades y recursos.

Las SCP permiten controlar los recursos que pueden acceder sus identidades. Por ejemplo, debe permitir que sus identidades accedan a los recursos de su organización de AWS. Pero también deberá evitar que sus identidades accedan a los recursos externos a su organización. Puede hacer cumplir este control mediante las SCP.

Las RCP permiten controlar las identidades que pueden acceder a sus recursos. Por ejemplo, debe permitir que las identidades de su organización accedan a los recursos de su organización. Pero también deberá evitar que las identidades externas a su organización accedan a sus recursos. Puede hacer cumplir este control mediante las RCP. Las RCP permiten influir en los permisos en vigor de las entidades principales externas a su organización que accedan a sus recursos. Por otro lado, las SCP solo pueden afectar a los permisos en vigor de las entidades principales de su organización de AWS.

Casos de uso generales de SCP y RCP

La siguiente tabla detalla los casos de uso generales para usar una SCP y una RCP