Evaluación de SCP
nota
La información de esta sección no se aplica a los tipos de políticas de administración, incluidas las políticas de copia de seguridad, las políticas de etiquetas, las políticas de aplicaciones de chat o las políticas de exclusión de los servicios de IA. Para obtener más información, consulte Descripción de la herencia de políticas de administración.
Dado que puede adjuntar varias políticas de control de servicios (SCP) en diferentes niveles en AWS Organizations, comprender cómo se evalúan las SCP puede ayudar a redactar SCP que produzcan el resultado correcto.
Temas
Cómo funcionan las SCP con Allow
Para que se conceda un permiso a una cuenta específica, debe haber una declaración Allow explícita en cada nivel, desde la raíz hasta cada unidad organizativa situada en la ruta directa a la cuenta (incluida la propia cuenta de destino). Por eso, cuando habilita las SCP, AWS Organizations adjunta una política de SCP de AWS administrada llamada FullAWSAccess
Por ejemplo, veamos la situación que se muestra en las figuras 1 y 2. Para permitir un permiso o un servicio en la cuenta B, la SCP que permita el permiso o el servicio debe estar vinculada a la raíz, a la unidad organizativa de producción y a la propia cuenta B.
La evaluación de las SCP sigue un modelo de denegación por defecto, lo que significa que se niegan todos los permisos que no estén explícitamente permitidos en las SCP. Si las SCP no contienen una declaración de autorización en ninguno de los niveles, como raíz, unidad organizativa de producción o cuenta B, se deniega el acceso.
Figura 1: Ejemplo de estructura organizativa con una declaración Allow adjunta en la raíz, la OU de producción y la cuenta B
Figura 2: Ejemplo de estructura organizativa con una declaración Allow faltante en la OU de producción y su impacto en la cuenta B
¿Cómo funcionan las SCP con denegación
Si se niega un permiso para una cuenta específica, cualquier SCP desde la raíz hasta cada unidad organizativa situada en la ruta directa a la cuenta (incluida la propia cuenta de destino) puede denegar ese permiso.
Por ejemplo, supongamos que hay una SCP adjunta a la OU de producción que tiene una declaración Deny explícita especificada para un servicio determinado. Resulta que también hay otra SCP conectada a la raíz y a la cuenta B que permite explícitamente el acceso a ese mismo servicio, como se muestra en la figura 3. Como resultado, se negará el acceso al servicio tanto a la cuenta A como a la cuenta B, ya que se evalúa una política de denegación aplicable a cualquier nivel de la organización para todas las unidades organizativas y cuentas de los miembros que dependen de ella.
Figura 3: Ejemplo de estructura organizativa con una declaración Deny adjunta en la OU de producción y su impacto en la cuenta B
Estrategias para utilizar SCP
Al redactar las SCP, puede utilizar una combinación de las instrucciones Allow y Deny para permitir las acciones y servicios previstos en su organización. Las instrucciones Deny son una forma eficaz de implementar restricciones que deberían aplicarse a una parte más amplia de la organización o de la unidad organizativa, ya que, cuando se aplican a nivel raíz o a nivel de la unidad organizativa, afectan a todas las cuentas que dependen de ella.
Por ejemplo, puede implementar una política con instrucciones Deny en Evitar que las cuentas de miembros dejen la organización. en la raíz, que será efectiva para todas las cuentas de la organización. Las declaraciones de denegación también admiten un elemento de condición que puede ser útil para crear excepciones.
sugerencia
Puede utilizar los datos del último acceso al servicio de IAM para actualizar las SCP para restringir el acceso únicamente a los Servicios de AWS que necesite. Para obtener más información, consulte Visualización de los datos del último acceso al servicio de Organizations en la Guía del usuario IAM.
AWS Organizations asocia una SCP administrada por AWS denominada FullAWSAccessAllow para permitir solo servicios específicos.
Una política que combine las dos declaraciones podría ser como la del ejemplo siguiente, que impide que las cuentas de los miembros salgan de la organización y permite el uso de los servicios AWS deseados. El administrador de la organización puede desasociar la política FullAWSAccess y asociar esta en su lugar.
Para demostrar cómo se pueden aplicar varias políticas de control de servicios (SCP) en AWS Organization, tenga presente la siguiente estructura organizativa y la siguientes situaciones.
Situación 1: impacto de las políticas Deny
Esta sitación demuestra cómo las políticas Deny afectan a las siguientes cuentas en los niveles superiores de la organización. Cuando la unidad organizativa del entorno de pruebas tiene políticas de “Acceso total a AWS” y “Denegar el acceso a S3”, y la cuenta B tiene una política de “Denegar el acceso a EC2”, el resultado es que la cuenta B no podrá acceder a S3 (denegación a nivel de UO) ni a EC2 (denegada a nivel de cuenta). La cuenta A no tiene acceso a S3 (denegado desde el nivel de UO).
Situación 2: las políticas de autorización deben existir en todos los niveles
Esta situación muestra cómo funcionan las políticas de permisos en las SCP. Para que un servicio sea accesible, debe haber un permiso explícito en todos los niveles, desde la raíz hasta la cuenta. En este caso, dado que la unidad organizativa del entorno de pruebas tiene una política de “Permitir el acceso a EC2”, que solo permite el acceso a los servicios de EC2 de forma explícita, las cuentas A y B solo tendrán acceso a EC2.
Situación 3: impacto de no incluir una instrucción Allow en el nivel raíz
La omisión de una instrucción “Allow” en el nivel raíz de una SCP es un error de configuración escencial que bloqueará de manera efectiva todo acceso a los servicios y acciones de AWS para todas las cuentas de miembros de la organización.
Situación 4: instrucciones Deny por capas y los permisos resultantes
Esta situación muestra una estructura de una unidad organizativa profunda de dos niveles. Tanto la unidad organizativa raíz como la de cargas de trabajo tienen “Acceso total a AWS”, la unidad organizativa de prueba tiene “Acceso total a AWS” con “Denegar el acceso a EC2” y la unidad organizativa de producción tiene “Acceso total a AWS”. Por ello, la cuenta D tiene todo el acceso a los servicios, excepto la EC2, y las cuentas E y F tienen todo el acceso a los servicios.
Situación 5: permitir que las políticas a nivel de la unidad organizativa restrinjan el acceso al servicio
Esta situación muestra cómo se pueden utilizar las políticas de autorización para restringir el acceso a servicios específicos. La unidad organizativa de prueba tiene una política de “Permitir el acceso a EC2”, lo que significa que solo se permiten los servicios de EC2 para la cuenta D. Por otro lado, la unidad organizativa de producción mantiene el “Acceso total a AWS”, por lo que las cuentas E y F tienen acceso a todos los servicios. Esto demuestra cómo se pueden implementar políticas de permisos más restrictivas a nivel de la unidad organizativa y, al mismo tiempo, mantener una autorización más amplia a nivel raíz.
Situación 6: la denegación a nivel raíz afecta a todas las cuentas, independiente de los permisos de nivel inferior
Esta situación demuestra que una política de denegación en el nivel raíz afecta a todas las cuentas de la organización, independiente de las políticas de autorización en los niveles inferiores. La raíz tiene políticas de “Acceso total a AWS” y “Denegar el acceso a S3”. Si bien la unidad organizativa de prueba tiene una política de “Permitir el acceso a S3”, prevalece la denegación por parte de S3 a nivel raíz. La cuenta D no tiene acceso al servicio porque la unidad organizativa de prueba solo permite el acceso a S3, pero la S3 se deniega en el nivel raíz. Las cuentas E y F pueden acceder a otros servicios, excepto a S3, debido a la denegación explícita en el nivel raíz.
