Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Políticas de control de recursos (RCP)
nota
Políticas de control de servicios (SCP) y políticas de control de recursos (RCP)
Utilice una SCP cuando necesite limitar los permisos de las entidades principales de IAM en las cuentas de miembros de su organización.
Y una RCP cuando necesite restringir las entidades principales de IAM externas a las cuentas de su organización que solicitan acceso a recursos de las cuentas de miembros de su organización.
Para obtener más información, consulte Introducción a las SCP y RCP.
Las políticas de control de recursos (RCP) son un tipo de política de la organización que se utilizan para administrar los permisos en una organización. Las RCP permiten un control centralizado de los máximos permisos disponibles para todos los recursos de la organización. Estas garantizan que sus cuentas se mantengan dentro de las directrices de control de acceso de la organización. Solo están disponibles en las organizaciones que tienen todas las características habilitadas. Las RCP no están disponibles si su organización ha habilitado únicamente las características de facturación unificada. Para obtener instrucciones sobre cómo habilitar las RCP, consulte Habilitar un tipo de política.
Dichas políticas por sí solas no son suficientes para conceder permisos a los recursos en su organización. Una RCP no concede ningún permiso. Define una barrera de protección de permisos o establece límites a las acciones que las identidades pueden llevar a cabo en los recursos de las organizaciones. El administrador aún debe asociar las políticas basadas en identidad a los usuarios o roles de IAM, o asociar políticas basadas en recursos a sus cuentas para conceder permisos. Para obtener más información, consulte Identity-based las políticas y las políticas basadas en recursos en la Guía del usuario de IAM.
Los permisos en vigor son la intersección lógica entre lo que permite la RCP y las políticas de control de servicio (SCP) y lo que permiten las políticas basadas en recursos e identidades.
Las RCP no afectan a los recursos de la cuenta de administración
Las RCP no afectan a los recursos de la cuenta de administración. Solo afectan a los recursos en las cuentas de miembro de su organización. Esto también significa que las RCP se aplican a las cuentas de miembros designadas como administradores delegados.
Lista de Servicios de AWS que admiten RCP
Los RCP se aplican a las acciones relacionadas con lo siguiente: Servicios de AWS
Comprobación de los efectos de las RCP
AWS le recomienda encarecidamente que no asocie los RCP a la raíz de su organización sin comprobar exhaustivamente el impacto que la política tiene en los recursos de sus cuentas. Puede empezar por asociar las RCP a cuentas de prueba individuales, asociarlas después a las unidades organizativas más bajas de la jerarquía y, a continuación, ir ascendiendo en la estructura de la organización según sea necesario. Una forma de determinar el impacto es revisar los AWS CloudTrail registros para ver si hay errores de acceso denegado.
Tamaño máximo de las políticas RCP
Todos los caracteres de la RCP se contabilizan para calcular su tamaño máximo. Los ejemplos que aparecen en esta guía muestran los SCP formateados con espacios en blanco adicionales para mejorar su legibilidad. Sin embargo, para ahorrar espacio si el tamaño de la política se aproxima al tamaño máximo, puede eliminar todos los espacios en blanco, como espacios y saltos de línea, que estén fuera de las comillas.
sugerencia
Utilice el editor visual para crear la RCP. Este elimina automáticamente el espacio en blanco adicional.
Asociación de las RCP a diferentes niveles de la organización
Puede asociar las RCP directamente a cuentas individuales, a unidades organizativas o a la raíz de la organización. Para obtener una explicación detallada de cómo funcionan las RCP, consulte Evaluación de RCP
Efectos de las RCP en los permisos
Los RCP son un tipo de política AWS Identity and Access Management (IAM). Están estrechamente relacionadas con las políticas basadas en recursos. Sin embargo, una RCP nunca concede permisos. En cambio, las RCP son controles de acceso que especifican el máximo de permisos disponibles para los recursos de la organización. Para obtener más información, consulte Lógica de evaluación de políticas en la Guía del usuario de IAM.
-
Los RCP se aplican a los recursos de un subconjunto de. Servicios de AWS Para obtener más información, consulte Lista de Servicios de AWS que admiten RCP.
-
Las RCP afectan únicamente a los recursos administrados por las cuentas que forman parte de la organización a la que se han asociado las RCP. Estas no afectan a los recursos de cuentas ajenas a la organización. Por ejemplo, tomemos el caso de un bucket de Amazon S3 que es propiedad de la cuenta A de una organización. La política de bucket (basada en recursos) concede acceso a los usuarios de la cuenta B que no pertenecen a la organización. La cuenta A tiene asociada una RCP. Esa RCP se aplica al bucket de S3 de la cuenta A, incluso cuando los usuarios acceden a ellos desde la cuenta B. Sin embargo, esa RCP no se aplica a los recursos de la cuenta B cuando acceden a ellos los usuarios de la cuenta A.
-
Una RCP restringe los permisos de los recursos en las cuentas de miembros. Cada recurso en una cuenta tiene únicamente los permisos concedidos por cada elemento principal situado por encima de ella. Si un permiso está bloqueado en cualquier nivel por encima de la cuenta, un recurso de la cuenta afectada no tendrá ese permiso, incluso si el propietario del recurso incorpora una política basada en los recursos que permite el acceso total a cualquier usuario.
-
Las RCP se aplican a los recursos que están autorizados como parte de una solicitud de operación. Estos recursos se encuentran en la columna “Tipo de recurso” de la tabla de acciones de la Referencia de autorización del servicio. Si se especifica un recurso en la columna “Tipo de recurso”, se aplicarán las RCP de la cuenta principal llamante. Por ejemplo,
s3:GetObjectautoriza el recurso objeto. Siempre que se realice una solicitudGetObject, se solicitará la RCP correspondiente para determinar si la entidad principal solicitante puede invocar la operaciónGetObject. Una RCP aplicable es una RCP que se ha asociado a una cuenta, a una unidad organizativa (UO) o a la raíz de la organización propietaria del recurso al que se accede. -
Las RCP afectan solo a las cuentas de miembro de la organización. No tienen ningún efecto en los recursos de la cuenta de administración. Esto también significa que las RCP se aplican a las cuentas de miembros designadas como administradores delegados. Para obtener más información, consulte Prácticas recomendadas para la cuenta de administración.
-
Cuando una entidad principal solicita acceder a un recurso de una cuenta que tiene una RCP asociada (un recurso con una RCP aplicable), la RCP se incluye en la lógica de evaluación de políticas para determinar si se permite o deniega el acceso a la entidad principal.
-
Las RCP afectan a los permisos en vigor de las entidades principales que intentan acceder a los recursos de una cuenta de miembro con una RCP aplicable, independiente de si las entidades principales pertenecen a las mismas organizaciones o no. Esto incluye a los usuarios raíz. La excepción se produce cuando los directores desempeñan funciones vinculadas al servicio, ya que los RCP no se aplican a las llamadas realizadas por funciones vinculadas al servicio. Service-linked los roles permiten Servicios de AWS realizar las acciones necesarias en su nombre y los RCP no los pueden restringir.
-
A los usuarios y roles se les deben seguir concediendo permisos con las políticas de permisos de IAM adecuadas, entre ellos, las políticas basadas en recursos y en identidades. Un usuario o rol sin ninguna política de permisos de IAM no tendrá acceso, incluso si la RCP aplicable permite todos los servicios, todas las acciones y todos los recursos.
Las RCP no restringen los recursos y las entidades
Usted no puede utilizar RCP para restringir lo siguiente:
-
Cualquier acción sobre los recursos de la cuenta de administración.
-
Los RCP no afectan a los permisos efectivos de ningún rol vinculado a un servicio. Service-linked los roles son un tipo único de rol de IAM que está vinculado directamente a un AWS servicio e incluyen todos los permisos que el servicio requiere para llamar a otros AWS servicios en su nombre. Las RCP no pueden restringir los permisos de los roles vinculados a servicios. Los RCP tampoco afectan a la capacidad de los AWS servicios para asumir un rol vinculado al servicio; es decir, los RCP tampoco afectan a la política de confianza del rol vinculado al servicio.
-
Los RCP no se solicitan a.Claves administradas por AWSAWS Key Management Service Claves administradas por AWS son creados, administrados y utilizados en su nombre por un Servicio de AWS. No se puede cambiar o administrar sus permisos.
Las RCP no afectan a los siguientes permisos:
Servicio API Recursos no autorizados por las RCP AWS Key Management Service kms:RetireGrantLas RCP no afectan al permiso kms:RetireGrant. Para obtener más información sobre cómo se determina el permiso dekms:RetireGrant, consulte Retirar y revocar los permisos en la Guía para desarrolladores de AWS KMS .