Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Sintaxis de SCP
Las políticas de control de servicios (SCPs) utilizan una sintaxis similar a la que utilizan las políticas de permisos AWS Identity and Access Management (IAM) y las políticas basadas en recursos (como las políticas de bucket de Amazon S3). Para obtener más información sobre las políticas del IAM y su sintaxis, consulte Información general de las políticas deI AM en la Guía del usuario IAM.
Una política SCP es un archivo de texto sin formato estructurado de acuerdo con las reglas JSON
nota
Todos los caracteres de la SCP se contabilizan para calcular su tamaño máximo. Los ejemplos de esta guía muestran las imágenes SCPs formateadas con espacios en blanco adicionales para mejorar su legibilidad. Sin embargo, para ahorrar espacio si el tamaño de la política se aproxima al tamaño máximo, puede eliminar todos los espacios en blanco, como espacios y saltos de línea, que estén fuera de las comillas.
Para obtener información general sobre SCPs, consulte. Políticas de control de servicios (SCPs)
Resumen de elementos
En la siguiente tabla se resumen los elementos de política que puede utilizar. SCPs Algunos elementos de política solo están disponibles para denegar acciones. SCPs En la columna Efectos admitidos se muestra el tipo de efecto que se puede utilizar con cada elemento de política SCPs.
Elemento | Finalidad | Efectos admitidos |
---|---|---|
Especifica el AWS servicio y las acciones que el SCP permite o deniega. |
|
|
Effect | Define si la instrucción SCP permite o deniega el acceso a los usuarios y roles IAM en una cuenta. |
|
Instrucción | Sirve como contenedor de elementos de política. Puede incluir varias declaraciones. SCPs |
|
Statement ID (Sid) (ID de instrucción) | (Opcional) Proporciona un nombre fácil de recordar para la instrucción. |
|
Versión | Especifica las reglas de sintaxis del lenguaje que se utilizarán para procesar la política. |
|
Condición | Especifica las condiciones que determinan cuándo se aplica la instrucción. |
|
Especifica los AWS servicios y las acciones que están exentos del SCP. Se utiliza en lugar del elemento |
|
|
Resource | Especifica los AWS recursos a los que se aplica el SCP. |
|
NotResource | Especifica AWS los recursos que están exentos del SCP. Se utiliza en lugar del elemento Resource . |
|
En las siguientes secciones se proporciona más información y ejemplos de cómo se utilizan los elementos de política. SCPs
Temas
Elementos Action
y NotAction
El valor del NotAction
elemento Action
o es una lista (una matriz JSON) de cadenas que identifican AWS los servicios y las acciones que la sentencia permite o deniega.
Cada cadena consta de la abreviatura del servicio (como "s3", "ec2", "iam" u "organizaciones"), en letras minúsculas, seguida de un carácter de punto y coma y una acción de ese servicio. Las acciones y las acciones excluidas no distinguen entre mayúsculas y minúsculas. Por lo general, todas se escriben y cada palabra comienza con una letra mayúscula y el resto en minúscula. Por ejemplo: "s3:ListAllMyBuckets"
.
También puede utilizar caracteres comodín tales como el asterisco (*) o el signo de interrogación de cierre (?) en una SCP:
-
Utilice un asterisco (*) como carácter comodín como representación de varias acciones que comparten parte de un nombre. El valor
"s3:*"
significa todas las acciones del servicio Amazon S3. El valor solo"ec2:Describe*"
coincide con las EC2 acciones que comienzan por «Describir». -
Utilice el carácter comodín del signo de interrogación de cierre (?) como representación de un carácter único.
Para obtener una lista de todos los servicios y las acciones que admiten tanto en las políticas de permisos de IAM como AWS Organizations SCPs en las políticas de permisos de IAM, consulte las acciones, los recursos y las claves de condición de AWS los servicios en la Guía del usuario de IAM.
Para obtener más información, consulte Elementos de la política JSON de IAM: acción y Elementos de la política JSON de IAM: NotAction en la Guía del usuario de IAM.
Ejemplo de elemento Action
En el siguiente ejemplo, se muestra un SCP con una declaración que permite a los administradores de cuentas delegar los permisos de descripción, inicio, detención y finalización de las EC2 instancias de la cuenta. Este es un ejemplo de una lista de permitidos, y es útil cuando las políticas Allow *
predeterminadas no se adjuntan para que, de forma predeterminada, los permisos sean denegados implícitamente. Si la política Allow
*
predeterminada sigue estando asociada al nodo raíz, unidad organizativa o cuenta a la que la siguiente política está asociada, entonces la política no tiene ningún efecto.
El siguiente ejemplo muestra cómo puede denegar el acceso a servicios que no desea usar en cuentas asociadas. Se supone que los valores predeterminados "Allow *"
SCPs siguen asociados a todas OUs y a la raíz. Este ejemplo de política impide que los administradores de cuentas asociadas deleguen permisos para los servicios de IAM EC2, Amazon y Amazon RDS. Cualquier acción desde otros servicios se puede delegar siempre y cuando no exista otra política asociada que la deniegue.
Ejemplo de elemento NotAction
En el siguiente ejemplo, se muestra cómo se puede utilizar un NotAction
elemento para excluir AWS los servicios del efecto de la política.
Con esta declaración, las cuentas afectadas se limitan a realizar las acciones especificadas Región de AWS, excepto cuando utilizan acciones de IAM.
Elemento Condition
Puede especificar un Condition
elemento en las declaraciones de autorización y denegación de un SCP.
El siguiente ejemplo muestra cómo utilizar un elemento de condición con una sentencia de denegación en un SCP para restringir el acceso a cualquier operación fuera de las eu-west-1
Regiones eu-central-1
y, excepto a las acciones en los servicios especificados.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "DenyAllOutsideEU", "Effect": "Deny", "NotAction": [
"cloudfront:*", "iam:*", "route53:*", "support:*"
], "Resource": "*", "Condition": { "StringNotEquals": { "aws:RequestedRegion": ["eu-central-1", "eu-west-1"
] } } } ] }
El siguiente ejemplo muestra cómo utilizar un elemento de condición con una sentencia allow en un SCP para permitir que determinadas entidades principales accedan a los servicios. AWS
{ "Version":"2012-10-17", "Statement":[ { "Sid":"AllowServicesForSpecificPrincipal", "Effect":"Allow", "Action":[ "ec2:*", "s3:*", "rds:*", "lambda:*", "cloudformation:*", "iam:*", "cloudwatch:*" ], "Resource":"*", "Condition":{ "StringEquals":{ "aws:PrincipalArn":[ "arn:aws:iam::123456789012:role/
specific-role
" ] } } } ] }
Para obtener más información, consulte Elementos de la política de JSON de IAM: Condición en la Guía del usuario de IAM.
Elemento Effect
Cada instrucción debe contener un elemento Effect
. El valor puede ser Allow
o Deny
. Afecta a las acciones enumeradas en la misma instrucción.
Para obtener más información, consulte Elemento de la política de JSON de IAM: Efecto en la Guía del usuario IAM.
"Effect": "Allow"
En el siguiente ejemplo se muestra una SCP con una instrucción que contiene un elemento Effect
con un valor de Allow
que permite a los usuarios de la cuenta realizar acciones para el servicio Amazon S3. Este ejemplo es útil en una organización que usa la estrategia de permitidos (donde las políticas FullAWSAccess
predeterminadas estén desasociadas y, por tanto, los permisos se deniegan implícitamente de forma predeterminada). El resultado es que la instrucción permite los permisos de Amazon S3 en cualquier cuenta asociada:
{ "Statement": { "Effect": "Allow", "Action": "s3:*", "Resource": "*" } }
Tenga en cuenta que aunque esta instrucción utiliza la misma palabra clave con el valor Allow
que en una política de permisos de IAM, las SCP no conceden en realidad permisos de usuario. En su lugar, SCPs actúan como filtros que especifican los permisos máximos para las cuentas de una organización, unidad organizativa (OU) o cuenta. En el ejemplo anterior, aunque un usuario de la cuenta tuviera la política AdministratorAccess
administrada asociada, esta SCP limita las acciones de todos los usuarios de la cuenta afectada a solo las acciones de Amazon S3.
"Effect": "Deny"
En una declaración en la que el Effect
elemento tenga un valor deDeny
, también puedes restringir el acceso a recursos específicos o definir las condiciones para cuando SCPs estén en vigor.
A continuación, se muestra un ejemplo de cómo utilizar una clave de condición en una instrucción de denegación.
Esta declaración en un SCP establece una barrera de protección para evitar que las cuentas afectadas (donde el SCP está adjunto a la propia cuenta o a la raíz de la organización o unidad organizativa que contiene la cuenta) lancen instancias de Amazon EC2 si la EC2 instancia de Amazon no está configurada para ello. t2.micro
Aunque se adjunte a la cuenta una política de IAM que permita esta acción, la medida de seguridad creada por la SCP la impedirá.
Resource
NotResource
y elemento
Puede utilizar caracteres comodín como un asterisco (*) o un signo de interrogación (?) en el elemento de recurso:
-
Utilice un asterisco (*) como carácter comodín como representación de varias acciones que comparten parte de un nombre.
-
Utilice el carácter comodín del signo de interrogación de cierre (?) como representación de un carácter único.
El siguiente ejemplo muestra cómo utilizar un SCP para evitar que los usuarios y las funciones de IAM de las cuentas afectadas modifiquen una función administrativa de IAM común creada en todas las cuentas de la organización.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "DenyAccessToAdminRole", "Effect": "Deny", "Action": [ "iam:AttachRolePolicy", "iam:DeleteRole", "iam:DeleteRolePermissionsBoundary", "iam:DeleteRolePolicy", "iam:DetachRolePolicy", "iam:PutRolePermissionsBoundary", "iam:PutRolePolicy", "iam:UpdateAssumeRolePolicy", "iam:UpdateRole", "iam:UpdateRoleDescription" ], "Resource": [ "arn:aws:iam::*:role/
role-to-deny
" ] } ] }
El siguiente ejemplo muestra cómo usar un NotResource
elemento para excluir modelos específicos de Amazon Bedrock del efecto de la política.
{ "Version":"2012-10-17", "Statement":[ { "Sid":"Statement1", "Effect":"Deny", "Action":[ "bedrock:InvokeModel", "bedrock:InvokeModelWithResponseStream" ], "NotResource":[ "arn:aws:bedrock:*::foundation-model/
model-to-permit
" ] } ] }
Para obtener más información, consulte Elemento de la política de JSON de IAM: Resource en la Guía del usuario de IAM.
Elemento Statement
Una política SCP consta de uno o varios elementos Statement
. Solo puede tener una palabra clave Statement
en una política, pero el valor puede ser una matriz de instrucciones JSON (rodeadas por caracteres [ ]).
El siguiente ejemplo muestra una única instrucción que consta de los elementos Effect
, Action
y Resource
.
"Statement": { "Effect": "Allow", "Action": "*", "Resource": "*" }
El siguiente ejemplo incluye dos instrucciones como una lista de matriz dentro de un elemento Statement
. La primera afirmación permite todas las acciones, mientras que la segunda niega cualquier EC2 acción. El resultado es que un administrador de la cuenta puede delegar cualquier permiso excepto los de Amazon Elastic Compute Cloud (Amazon EC2).
"Statement": [ { "Effect": "Allow", "Action": "*", "Resource": "*" }, { "Effect": "Deny", "Action": "ec2:*", "Resource": "*" } ]
Para obtener más información, consulte Elementos de la política de JSON de IAM: Instrucción en la Guía del usuario de IAM.
Elemento de ID de instrucción (Sid
)
El elemento Sid
es un identificador opcional que se proporciona para la instrucción de la política. Puede asignar un valor de Sid
a cada instrucción de una matriz de instrucciones. En el siguiente ejemplo de SCP se incluye una instrucción Sid
de muestra.
{ "Statement": { "Sid": "AllowsAllActions", "Effect": "Allow", "Action": "*", "Resource": "*" } }
Para obtener más información, consulte Elementos de la política de JSON de IAM: ID en la Guía del usuario de IAM.
Elemento Version
Todas las SCP deben incluir un elemento Version
con el valor "2012-10-17"
. Este es el mismo valor de versión que la versión más reciente de las políticas de permisos de IAM.
Para obtener más información, consulte Elementos de la política de JSON de IAM: Versión en la Guía del usuario de IAM.
Elementos no compatibles
Los siguientes elementos no son compatibles con SCPs:
-
Principal
-
NotPrincipal