Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Sintassi delle SCP
Le politiche di controllo dei servizi (SCPs) utilizzano una sintassi simile a quella utilizzata dalle politiche di autorizzazione AWS Identity and Access Management (IAM) e dalle politiche basate sulle risorse (come le policy dei bucket di Amazon S3). Per ulteriori informazioni sulle policy IAM consulta Panoramica sulle policy IAM nella Guida per l'utente di IAM.
Una SCP è un file di testo normale strutturato in base alle regole di JSON
Nota
Tutti i caratteri nella SCP sono conteggiati rispetto alla dimensione massima. Gli esempi di questa guida mostrano la SCPs formattazione con spazi bianchi aggiuntivi per migliorarne la leggibilità. Tuttavia, per risparmiare spazio se la dimensione della policy è prossima alla dimensione massima, puoi eliminare qualsiasi spazio vuoto, come i caratteri spazio e le interruzioni di linea che si trovano al di fuori delle virgolette.
Per informazioni generali su SCPs, vedere. Politiche di controllo del servizio (SCPs)
Riepilogo degli elementi
La tabella seguente riassume gli elementi della politica che è possibile utilizzare in SCPs. Alcuni elementi della policy sono disponibili solo nella versione SCPs che nega le azioni. La colonna Effetti supportati elenca il tipo di effetto che è possibile utilizzare con ogni elemento della policy in SCPs.
| Elemento | Scopo | Effetti supportati |
|---|---|---|
|
Specifica AWS il servizio e le azioni consentite o negate da SCP. |
|
|
| Effetto | Definisce se l'istruzione SCP consente o nega l'accesso agli utenti e ai ruoli IAM in un account. |
|
| Statement | Serve da container per gli elementi di policy. È possibile inserire più istruzioni in. SCPs |
|
| Statement ID (Sid) | (Facoltativo) Fornisce un nome semplice per l'istruzione. |
|
| Versione | Specifica le regole di sintassi del linguaggio da utilizzare per elaborare la policy. |
|
| Condition | Specifica le condizioni che stabiliscono quando l'istruzione è attiva. |
|
|
Speciifica il AWS servizio e le azioni che sono esenti dall'SCP. Utilizzato invece dell'elemento |
|
|
| Risorsa | Speciifica le AWS risorse a cui si applica l'SCP. |
|
| NotResource | Speciifica le AWS risorse che sono esenti dall'SCP. Utilizzato invece dell'elemento Resource. |
|
Le sezioni seguenti forniscono ulteriori informazioni ed esempi di come vengono utilizzati gli elementi di policy in. SCPs
Argomenti
Elementi Action e NotAction
Il valore dell'NotActionelemento Action or è un elenco (un array JSON) di stringhe che identificano AWS i servizi e le azioni consentiti o negati dall'istruzione.
Ogni stringa è composta dall'abbreviazione per il servizio (come "s3", "ec2", "iam" o "organizzazioni"), in lettere minuscole, seguita da due punti e quindi da un'operazione da quel servizio. Le azioni e le notazioni non fanno distinzione tra maiuscole e minuscole. In genere, vengono tutte inserite con ogni parola che inizia con una lettera maiuscola e il resto con una lettera minuscola. Ad esempio: "s3:ListAllMyBuckets".
È inoltre possibile utilizzare caratteri jolly come asterisco (*) o punto interrogativo (?) in una SCP:
-
Utilizzare un asterisco (*) come carattere jolly per abbinare più operazioni che condividono parte di un nome. Il valore
"s3:*"indica tutte le operazioni del servizio Amazon S3. Il valore"ec2:Describe*"corrisponde solo alle EC2 azioni che iniziano con «Descrivi». -
Utilizzare il punto interrogativo (?) come carattere jolly per abbinare un singolo carattere.
Per un elenco di tutti i servizi e delle azioni che supportano sia AWS Organizations SCPs nelle policy di autorizzazione IAM che nelle policy di autorizzazione IAM, consulta Actions, Resources and Condition Keys for AWS Services nella IAM User Guide.
Per ulteriori informazioni, consulta IAM JSON Policy Elements: Action e IAM JSON Policy Elements: NotAction nella IAM User Guide.
Esempio di elemento Action
L'esempio seguente mostra un SCP con un'istruzione che consente agli amministratori dell'account di delegare, descrivere, avviare, interrompere e terminare le autorizzazioni per le istanze dell'account. EC2 Questo è un esempio di elenco di consentiti ed è utile quando le policy Allow * di default non sono collegate in modo che, per impostazione predefinita, le autorizzazioni vengono negate in modo implicito. Se la policy Allow
* di default è ancora collegata al root, all'UO o all'account a cui è collegata la seguente policy, la policy non ha effetto:
L'esempio seguente mostra come è possibile negare l'accesso ai servizi che non desideri utilizzare negli account collegati. Si presuppone che le impostazioni predefinite "Allow *" SCPs siano ancora associate a all e alla root. OUs Questa policy di esempio impedisce agli amministratori degli account collegati di delegare qualsiasi autorizzazione per i servizi IAM, Amazon EC2 e Amazon RDS. Qualsiasi operazione da altri servizi può essere delegata a condizione che non vi sia un'altra policy collegata che li neghi.
Esempio di elemento NotAction
L'esempio seguente mostra come utilizzare un NotAction elemento per escludere AWS i servizi dall'effetto della policy.
Con questa dichiarazione, gli account interessati si limitano a intraprendere azioni nei limiti specificati Regione AWS, tranne quando utilizzano azioni IAM.
Elemento Condition
È possibile specificare un Condition elemento nelle istruzioni allow e deny in un SCP.
L'esempio seguente mostra come utilizzare un elemento condition con un'istruzione deny in un SCP per limitare l'accesso a qualsiasi operazione al di fuori delle eu-west-1 regioni eu-central-1 and, ad eccezione delle azioni nei servizi specificati.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "DenyAllOutsideEU", "Effect": "Deny", "NotAction": ["cloudfront:*", "iam:*", "route53:*", "support:*"], "Resource": "*", "Condition": { "StringNotEquals": { "aws:RequestedRegion": ["eu-central-1", "eu-west-1"] } } } ] }
L'esempio seguente mostra come utilizzare un elemento condition con un'istruzione allow in un SCP per consentire a soggetti specifici di accedere ai servizi. AWS
{ "Version":"2012-10-17", "Statement":[ { "Sid":"AllowServicesForSpecificPrincipal", "Effect":"Allow", "Action":[ "ec2:*", "s3:*", "rds:*", "lambda:*", "cloudformation:*", "iam:*", "cloudwatch:*" ], "Resource":"*", "Condition":{ "StringEquals":{ "aws:PrincipalArn":[ "arn:aws:iam::123456789012:role/specific-role" ] } } } ] }
Per ulteriori informazioni, consulta la sezione Elementi delle policy JSON di IAM: condizione nella Guida per l'utente di IAM.
Elemento Effect
Ogni istruzione deve contenere un elemento Effect. Il valore può essere Allow o Deny. Influenza tutte le operazioni elencate nella stessa istruzione.
Per ulteriori informazioni, consulta Elementi delle policy JSON IAM: Effect nella Guida per l'utente di IAM.
"Effect": "Allow"
Nell'esempio seguente viene illustrata una SCP con un'istruzione che contiene un elemento Effect con un valore Allow che consente agli utenti di eseguire operazioni per il servizio Amazon S3. Questo esempio è utile se un'organizzazione utilizza la strategia dell'elenco consentiti (ove le policy FullAWSAccess predefinite sono tutte scollegate, in modo che le autorizzazioni vengano negate in modo implicito per impostazione predefinita). Il risultato è che l'istruzione concede le autorizzazioni Amazon S3 per qualsiasi account collegato:
{ "Statement": { "Effect": "Allow", "Action": "s3:*", "Resource": "*" } }
Sebbene utilizzi la stessa parola chiave di valore Allow di una policy di autorizzazione IAM, in una SCP non vengono effettivamente concesse a un utente le autorizzazioni per eseguire qualsiasi operazione. Funzionano invece SCPs come filtri che specificano le autorizzazioni massime per gli account di un'organizzazione, di un'unità organizzativa (OU) o di un account. Nell'esempio precedente, anche se un utente nell'account aveva la policy gestita AdministratorAccess collegata, la SCP limita le operazioni di tutti gli utenti nell'account alle sole operazioni Amazon S3.
"Effect": "Deny"
In un'istruzione in cui l'Effectelemento ha un valore diDeny, è inoltre possibile limitare l'accesso a risorse specifiche o definire le condizioni relative all'entrata SCPs in vigore.
Quanto segue mostra un esempio di come utilizzare una condizione di chiave in un'istruzione di rifiuto.
Questa dichiarazione in un SCP stabilisce una barriera per impedire agli account interessati (in cui l'SCP è collegato all'account stesso o alla radice o all'unità organizzativa dell'organizzazione che contiene l'account) di avviare EC2 istanze Amazon se l'istanza EC2 Amazon non è impostata su. t2.micro Anche se una policy IAM che consente questa operazione è collegata all'account, il guardrail creato dalla SCP la impedisce.
ResourceNotResourceed elemento
È possibile utilizzare caratteri jolly come l'asterisco (*) o il punto interrogativo (?) nell'elemento risorsa:
-
Utilizzare un asterisco (*) come carattere jolly per abbinare più operazioni che condividono parte di un nome.
-
Utilizzare il punto interrogativo (?) come carattere jolly per abbinare un singolo carattere.
L'esempio seguente mostra come utilizzare un SCP per impedire agli utenti e ai ruoli IAM negli account interessati di modificare un ruolo amministrativo IAM comune creato in tutti gli account dell'organizzazione.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "DenyAccessToAdminRole", "Effect": "Deny", "Action": [ "iam:AttachRolePolicy", "iam:DeleteRole", "iam:DeleteRolePermissionsBoundary", "iam:DeleteRolePolicy", "iam:DetachRolePolicy", "iam:PutRolePermissionsBoundary", "iam:PutRolePolicy", "iam:UpdateAssumeRolePolicy", "iam:UpdateRole", "iam:UpdateRoleDescription" ], "Resource": [ "arn:aws:iam::*:role/role-to-deny" ] } ] }
L'esempio seguente mostra come utilizzare un NotResource elemento per escludere specifici modelli Amazon Bedrock dall'effetto della policy.
{ "Version":"2012-10-17", "Statement":[ { "Sid":"Statement1", "Effect":"Deny", "Action":[ "bedrock:InvokeModel", "bedrock:InvokeModelWithResponseStream" ], "NotResource":[ "arn:aws:bedrock:*::foundation-model/model-to-permit" ] } ] }
Per ulteriori informazioni, consulta Elementi delle policy JSON IAM: Resource nella Guida per l'utente di IAM.
Elemento Statement
Un SCP consiste di uno o più elementi Statement. È possibile avere una sola parola chiave Statement in una policy, ma il valore può essere una matrice JSON di istruzioni (circondata da caratteri [ ]).
Nell'esempio seguente viene illustrata una singola istruzione composta di elementi Effect, Action e Resource.
"Statement": { "Effect": "Allow", "Action": "*", "Resource": "*" }
L'esempio seguente include due istruzioni come un elenco matrice all'interno di un elemento Statement. La prima istruzione consente tutte le azioni, mentre la seconda nega qualsiasi EC2 azione. Il risultato è che un amministratore dell'account può delegare qualsiasi autorizzazione ad eccezione di quelle di Amazon Elastic Compute Cloud (Amazon EC2).
"Statement": [ { "Effect": "Allow", "Action": "*", "Resource": "*" }, { "Effect": "Deny", "Action": "ec2:*", "Resource": "*" } ]
Per ulteriori informazioni, consulta Elementi delle policy JSON IAM: Statement nella Guida per l'utente di IAM.
Elemento Statement ID (Sid)
Sid è un identificatore opzionale fornito per l'istruzione della policy. Puoi assegnare un valore Sid a ogni istruzione in una matrice di istruzioni. La seguente SCP mostra un esempio di istruzione Sid.
{ "Statement": { "Sid": "AllowsAllActions", "Effect": "Allow", "Action": "*", "Resource": "*" } }
Per ulteriori informazioni, consulta Elementi delle policy JSON IAM: Id nella Guida per l'utente di IAM.
Elemento Version
Ogni SCP deve includere un elemento Version con il valore "2012-10-17". Questo è lo stesso valore di versione della versione più recente delle policy di autorizzazione IAM:
"Version": "2012-10-17",
Per ulteriori informazioni, consulta Elementi delle policy JSON IAM: Version nella Guida per l'utente di IAM.
Elementi non supportati
I seguenti elementi non sono supportati in: SCPs
-
Principal -
NotPrincipal
