Políticas de control de recursos (RCPs) - AWS Organizations
Lista de Servicios de AWS ese apoyo RCPsProbando los efectos de RCPsTamaño máximo de RCPsAdscribirse RCPs a diferentes niveles de la organizaciónEfectos de las RCP en los permisosLos recursos y las entidades no están restringidos por RCPs

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Políticas de control de recursos (RCPs)

nota

Políticas de control de servicios (SCPs) y políticas de control de recursos (RCPs)

Utilice una SCP cuando necesite limitar los permisos de las entidades principales de IAM en las cuentas de miembros de su organización.

Y un RCP cuando necesite restringir las entidades principales de IAM externas a las cuentas de su organización para solicitar el acceso a los recursos de las cuentas de miembros de su organización.

Para obtener más información, consulte Comprender SCPs y RCPs.

Las políticas de control de recursos (RCPs) son un tipo de política organizacional que puede usar para administrar los permisos en su organización. RCPs ofrecen un control central sobre el número máximo de permisos disponibles para los recursos de su organización. RCPs le ayudan a garantizar que los recursos de sus cuentas se ajusten a las directrices de control de acceso de su organización. RCPs están disponibles solo en una organización que tenga todas las funciones habilitadas. RCPs no están disponibles si su organización ha activado únicamente las funciones de facturación unificada. Para obtener instrucciones sobre cómo RCPs activarlas, consulteHabilitar un tipo de política.

RCPs por sí solos no son suficientes para conceder permisos a los recursos de su organización. Una RCP no concede ningún permiso. Esta define una barrera de protección de permisos o establece límites a las acciones que las identidades pueden llevar a cabo en los recursos de las organizaciones. El administrador aún debe asociar las políticas basadas en identidad a los usuarios o roles de IAM, o asociar políticas basadas en recursos a sus cuentas para conceder permisos. Para obtener más información, consulte Políticas basadas en identidad y políticas basadas en recursos en la Guía del usuario de IAM.

Los permisos efectivos son la intersección lógica entre lo que permiten las RCPs políticas de control de servicios (SCPs) y lo que permiten las políticas basadas en la identidad y en los recursos.

RCPs no afectan a los recursos de la cuenta de administración

RCPs no afectan a los recursos de la cuenta de administración. Solo afectan a los recursos en las cuentas de miembro de su organización. Esto también significa que RCPs se aplican a las cuentas de los miembros designadas como administradores delegados.

Temas

Lista de Servicios de AWS ese apoyo RCPs

RCPs se aplican a las acciones para lo siguiente Servicios de AWS:

Probando los efectos de RCPs

AWS le recomienda encarecidamente que no se limite RCPs a la raíz de su organización sin probar exhaustivamente el impacto que la política tiene en los recursos de sus cuentas. Puedes empezar por adjuntarlas RCPs a cuentas de prueba individuales, ascenderlas a niveles OUs más bajos de la jerarquía y, después, ir ascendiendo en la estructura de la organización según sea necesario. Una forma de determinar el impacto es revisar los AWS CloudTrail registros para ver si hay errores de acceso denegado.

Tamaño máximo de RCPs

Todos los caracteres de la RCP se contabilizan para calcular su tamaño máximo. Los ejemplos de esta guía muestran los objetos RCPs formateados con espacios en blanco adicionales para mejorar su legibilidad. Sin embargo, para ahorrar espacio si el tamaño de la política se aproxima al tamaño máximo, puede eliminar todos los espacios en blanco, como espacios y saltos de línea, que estén fuera de las comillas.

sugerencia

Utilice el editor visual para crear la RCP. Este elimina automáticamente el espacio en blanco adicional.

Adscribirse RCPs a diferentes niveles de la organización

Puedes asociarte RCPs directamente a cuentas individuales o a la raíz de la organización. OUs Para obtener una explicación detallada de cómo RCPs funciona, consulteEvaluación de RCP.

Efectos de las RCP en los permisos

RCPs son un tipo de política AWS Identity and Access Management (IAM). Están más estrechamente relacionadas con las políticas basadas en recursos. Sin embargo, una RCP nunca concede permisos. En su lugar, RCPs son controles de acceso que especifican los permisos máximos disponibles para los recursos de su organización. Para obtener más información, consulte Lógica de evaluación de políticas en la Guía del usuario de IAM.

  • RCPs se aplican a los recursos de un subconjunto de Servicios de AWS. Para obtener más información, consulte Lista de Servicios de AWS ese apoyo RCPs.

  • RCPs afectan únicamente a los recursos gestionados por cuentas que forman parte de la organización a la que se ha adscrito. RCPs Estas no afectan a los recursos de cuentas ajenas a la organización. Por ejemplo, tomemos el caso de un bucket de Amazon S3 que es propiedad de la cuenta A de una organización. La política de bucket (basada en recursos) concede acceso a los usuarios de la cuenta B que no pertenecen a la organización. La cuenta A tiene asociada una RCP. Esa RCP se aplica al bucket de S3 de la cuenta A, incluso cuando los usuarios acceden a ellos desde la cuenta B. Sin embargo, esa RCP no se aplica a los recursos de la cuenta B cuando acceden a ellos los usuarios de la cuenta A.

  • Una RCP restringe los permisos de los recursos en las cuentas de miembros. Cada recurso en una cuenta tiene únicamente los permisos concedidos por cada elemento principal situado por encima de ella. Si un permiso está bloqueado en cualquier nivel por encima de la cuenta, un recurso de la cuenta afectada no tendrá ese permiso, incluso si el propietario del recurso incorpora una política basada en los recursos que permite el acceso total a cualquier usuario.

  • RCPs se aplican a los recursos que están autorizados como parte de una solicitud de operación. Estos recursos se encuentran en la columna “Tipo de recurso” de la tabla de acciones de la Referencia de autorización del servicio. Si se especifica un recurso en la columna «Tipo de recurso», se aplicará el RCPs de la cuenta principal llamante. Por ejemplo, s3:GetObject autoriza el recurso objeto. Siempre que se realice una solicitud GetObject, se solicitará la RCP correspondiente para determinar si la entidad principal solicitante puede invocar la operación GetObject. Una RCP aplicable es una RCP que se ha asociado a una cuenta, a una unidad organizativa (UO) o a la raíz de la organización propietaria del recurso al que se accede.

  • RCPs afectan únicamente a los recursos de las cuentas de los miembros de la organización. No tienen ningún efecto en los recursos de la cuenta de administración. Esto también significa que RCPs se aplican a las cuentas de los miembros designadas como administradores delegados. Para obtener más información, consulte Prácticas recomendadas para la cuenta de administración.

  • Cuando una entidad principal solicita acceder a un recurso de una cuenta que tiene una RCP asociada (un recurso con una RCP aplicable), la RCP se incluye en la lógica de evaluación de políticas para determinar si se permite o deniega el acceso a la entidad principal.

  • RCPs afectan a los permisos efectivos de los directores que intentan acceder a los recursos de una cuenta de miembro con un RCP aplicable, independientemente de si los directores pertenecen a las mismas organizaciones o no. Esto incluye a los usuarios raíz. La excepción se produce cuando los directores desempeñan funciones vinculadas al servicio, ya que RCPs no se aplican a las llamadas realizadas por funciones vinculadas al servicio. Los roles vinculados al servicio te permiten Servicios de AWS realizar las acciones necesarias en tu nombre y no pueden restringirlos. RCPs

  • A los usuarios y roles se les deben seguir concediendo permisos con las políticas de permisos de IAM adecuadas, entre ellos, las políticas basadas en recursos y en identidades. Un usuario o rol sin ninguna política de permisos de IAM no tendrá acceso, incluso si la RCP aplicable permite todos los servicios, todas las acciones y todos los recursos.

Los recursos y las entidades no están restringidos por RCPs

No se puede utilizar RCPs para restringir lo siguiente:

  • Cualquier acción sobre los recursos de la cuenta de administración.

  • RCPs no afectan a los permisos efectivos de ningún rol vinculado a un servicio. Los roles vinculados a un servicio son un tipo único de rol de IAM que se vincula directamente a un AWS servicio e incluyen todos los permisos que el servicio requiere para llamar a otros AWS servicios en su nombre. No se pueden restringir los permisos de los roles vinculados al servicio. RCPs RCPs tampoco afectan a la capacidad de los AWS servicios para asumir un rol vinculado al servicio; es decir, la política de confianza del rol vinculado al servicio tampoco se ve afectada por la política de confianza del rol vinculado al servicio. RCPs

  • RCPs no se solicitan para.Claves administradas por AWSAWS Key Management Service Claves administradas por AWS son creados, administrados y utilizados en su nombre por un Servicio de AWS. No se puede cambiar o administrar sus permisos.

  • RCPs no afectan a los siguientes permisos:

    Servicio API Recursos no autorizados por RCPs
    AWS Key Management Service

    kms:RetireGrant

    		 RCPs no afectan al kms:RetireGrant permiso. Para obtener más información sobre cómo se determina el permiso de kms:RetireGrant, consulte Retirar y revocar los permisos en la Guía para desarrolladores de AWS KMS .