As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Políticas de autorização no AWS Organizations

As políticas de autorização no AWS Organizations permitem configurar e gerenciar de forma central o acesso de entidades e recursos nas contas de membros. Como essas políticas afetam as unidades organizacionais (UOs) e as contas às quais você as aplica depende do tipo de política de autorização que você aplica.

Há dois tipos diferentes de políticas de autorização no AWS Organizations: políticas de controle de serviços (SCPs) e políticas de controle de recursos (RCPs).

Diferenças entre SCPs e RCPs

As SCPs são controles centradas nas entidades principais. As SCPs criam uma barreira de proteção de permissões, ou definem limites, para o máximo de permissões disponíveis para entidades principais em suas contas de membros. Você pode usar uma SCP quando quiser aplicar centralmente controles de acesso consistentes às entidades principais da sua organização. Isso pode incluir especificar quais serviços seus usuários do IAM e perfis do IAM podem acessar, quais recursos eles podem acessar, ou as condições sob as quais eles podem fazer solicitações (por exemplo, de regiões ou redes específicas).

As RCPs são controles centrados em recursos. As RCPs criam uma barreira de permissões, ou definem limites, para o máximo de permissões disponíveis para recursos em suas contas de membros. Você pode usar uma RCP quando quiser aplicar centralmente controles de acesso consistentes em todos os recursos da sua organização. Isso pode restringir o acesso aos seus recursos, permitindo que sejam acessados ​​apenas por identidades pertencentes à sua organização, ou especificar as condições sob as quais identidades externas à sua organização podem acessar seus recursos.

Alguns controles podem ser aplicados de forma semelhante por meio de SCPs e RCPs. Por exemplo, talvez você queira impedir que seus usuários enviem objetos não criptografados para o S3, o que pode ser implementado como uma SCP para impor um controle sobre as ações que suas entidades podem realizar em seus buckets do S3. Esse controle também pode ser escrito como uma RCP para exigir criptografia sempre que qualquer entidade principal fizer upload de objetos para o seu bucket S3. A segunda opção pode ser preferível se o seu bucket permitir que entidades externas à sua organização, como fornecedores terceirizados, façam upload de objetos para o seu bucket S3. No entanto, alguns controles só podem ser implementados em uma RCP, e alguns controles só podem ser implementados em uma SCP. Para obter mais informações, consulte Casos de uso gerais para SCPs e RCPs.

Uso de SCPs e RCPs

SCPs e RCPs são controles independentes. Você pode optar por habilitar somente SCPs ou RCPs, ou usar os dois tipos de política juntos. Ao usar SCPs e RCPs, você pode criar um perímetro de dados em torno de suas identidades e recursos.

As SCPs oferecem a capacidade de controlar quais recursos suas identidades podem acessar. Por exemplo, talvez você queira permitir que suas identidades acessem recursos em sua organização da AWS. No entanto, talvez você queira impedir que suas identidades acessem recursos externos à sua organização. Você pode aplicar esse controle usando SCPs.

As RCPs oferecem a capacidade de controlar quais identidades podem acessar seus recursos. Por exemplo, talvez você queira permitir que as identidades em sua organização possam acessar recursos em sua organização. No entanto, talvez você queira impedir que identidades externas à sua organização acessem seus recursos. Você pode impor esse controle usando RCPs. As RCPs oferecem a capacidade de impactar as permissões efetivas para entidades principais externas à sua organização que acessam seus recursos. As SCPs só podem afetar as permissões efetivas das entidades principais de sua organização da AWS.

Casos de uso gerais para SCPs e RCPs

A tabela a seguir detalha os casos de uso gerais para usar um SCP e RCPs.