View a markdown version of this page

Políticas de controle de recursos (RCPs) - AWS Organizations

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Políticas de controle de recursos (RCPs)

nota

Políticas de controle de serviços (SCPs) e políticas de controle de recursos (RCPs)

Use uma SCP quando precisar limitar as permissões de entidades principais do IAM nas contas de membros da sua organização.

Use uma RCP quando precisar restringir as solicitações de acesso a recursos dentro das contas de membros da sua organização feitas por entidades principais do IAM externas às contas da sua organização.

Para obter mais informações, consulte Noções básicas sobre SCPs e RCPs.

As políticas de controle de recursos (RCPs) são um tipo de política organizacional que você pode usar para gerenciar permissões na sua organização. As RCPs oferecem controle central sobre as permissões máximas disponíveis para recursos da organização. As RCPs ajudam você a garantir que as suas contas permaneçam dentro das diretrizes de controle de acesso da sua organização. As RCPs estão disponíveis apenas em uma organização com todos os recursos habilitados. As RCPs não estarão disponíveis se sua organização tiver habilitado somente os recursos de faturamento consolidado. Para obter instruções sobre como habilitar RCPs, consulte Habilitação de um tipo de política.

As RCPs por si só não são suficientes para conceder permissões aos recursos de sua organização. Nenhuma permissão é concedida por uma RCP. Uma RCP define uma barreira de proteção de permissões, ou define limites, nas ações que as identidades podem realizar em relação aos recursos em suas organizações. O administrador ainda deve associar políticas baseadas em identidade a usuários ou funções do IAM, ou políticas baseadas em recursos a recursos em suas contas, para efetivamente conceder permissões. Para obter mais informações, consulte Identity-based políticas e políticas baseadas em recursos no Guia do usuário do IAM.

As permissões em vigor são a intersecção lógica entre o que é permitido pelas RCPs e pelas políticas de controle de serviço (SCPs) e o que é permitido pelas políticas baseadas em identidade e em recursos.

As RCPs não afetam recursos na conta gerencial

As RCPs não afetam recursos na conta gerencial. Elas afetam apenas os recursos das contas de membros dentro de sua organização. Isso também significa que as RCPs se aplicam às contas de membros designadas como administradores delegados.

Lista de Serviços da AWS que suportam RCPs

Os RCPs se aplicam às ações para o seguinte: Serviços da AWS

Testagem dos efeitos das RCPs

AWS recomenda fortemente que você não anexe RCPs à raiz da sua organização sem testar minuciosamente o impacto que a política tem sobre os recursos em suas contas. Você pode começar anexando RCPs a contas de teste individuais, movendo-as para UOs mais baixas na hierarquia e, em seguida, avançando na estrutura organizacional conforme necessário. Uma forma de determinar o impacto é analisar os AWS CloudTrail registros em busca de erros de acesso negado.

Tamanho máximo das RCPs

Todos os caracteres em sua conta de RCP contam em relação ao seu tamanho máximo. Os exemplos deste guia mostram as RCPs formatadas com espaço em branco adicional para melhorar a legibilidade. No entanto, para economizar espaço quando o tamanho da política se aproximar do tamanho máximo, é possível excluir todos os espaços em branco, como caracteres de espaço e quebras de linhas, que estiverem fora das aspas.

dica

Use o editor visual para criar sua RCP. Ele remove automaticamente os espaços em branco.

Vinculando RCPs a diferentes níveis da organização

Você pode anexar RCPs diretamente a contas individuais, UOs ou à raiz da organização. Para uma explicação detalhada de como as RCPs funcionam, consulte Avaliação da RCP

Efeitos da RCP sobre permissões

Os RCPs são um tipo de política AWS Identity and Access Management (IAM). Elas estão mais intimamente relacionadas às políticas baseadas em recursos. No entanto, uma RCP nunca concede permissões. Em vez disso, as RCPs são controles de acesso que especificam o máximo de permissões disponíveis para recursos em sua organização. Para obter mais informações, consulte Lógica da avaliação de políticas no Guia do usuário do IAM.

  • Os RCPs se aplicam aos recursos de um subconjunto de. Serviços da AWS Para obter mais informações, consulte Lista de Serviços da AWS que suportam RCPs.

  • As RCPs afetam somente os recursos que são gerenciados por contas que fazem parte da organização que anexou as RCPs. Elas não afetam os recursos de contas externas à organização. Por exemplo, considere um bucket do Amazon S3; que é de propriedade da Conta A em uma organização. A política de bucket (uma política baseada em recursos) concede acesso a usuários da Conta B fora da organização. A Conta A tem uma RCP anexada. Essa RCP se aplica ao bucket S3 na Conta A, mesmo quando acessada por usuários da Conta B. No entanto, essa RCP não se aplica aos recursos na Conta B quando acessada ​​por usuários da Conta A.

  • Uma RCP restringe as permissões para recursos nas contas de membros. Qualquer recurso em uma conta tem apenas as permissões permitidas por todas as contas superiores a ela. Se uma permissão for bloqueada em qualquer nível acima da conta, um recurso na conta afetada não terá essa permissão, mesmo que o proprietário do recurso anexe uma política baseada em recursos que permita acesso total a qualquer usuário.

  • As RCPs se aplicam aos recursos autorizados como parte de uma solicitação de operação. Esses recursos podem ser encontrados na coluna “Tipo de recurso” da tabela Ação na Referência de autorização de serviço. Se um recurso for especificado na coluna “Tipo de recurso”, os RCPs da conta de entidade principal chamadora serão aplicados. Por exemplo, s3:GetObject autoriza o recurso do objeto. Sempre que uma solicitação GetObject for feita, uma RCP aplicável será aplicada para determinar se a entidade principal solicitante pode invocar a operação GetObject. Uma RCP aplicável é uma RCP que foi anexada a uma conta, a uma unidade organizacional (UO) ou à raiz da organização proprietária do recurso que está sendo acessado.

  • RCPs afetam apenas recursos nas contas de membro em sua organização. Elas não têm efeito sobre os recursos na conta gerencial. Isso também significa que as RCPs se aplicam às contas de membros designadas como administradores delegados. Para obter mais informações, consulte Práticas recomendadas para a conta gerencial.

  • Quando uma entidade principal faz uma solicitação de acesso a um recurso dentro de uma conta que possui uma RCP associada (um recurso com uma RCP aplicável), a RCP é incluída na lógica de avaliação da política para determinar se o acesso do usuário principal é permitido ou negado.

  • As RCPs afetam as permissões efetivas das entidades principais que tentam acessar recursos em uma conta de membro com uma RCP aplicável, independentemente de as entidades principais pertencerem à mesma organização. Isso inclui usuários-raiz. A exceção é quando os principais são funções vinculadas ao serviço porque os RCPs não se aplicam às chamadas feitas por funções vinculadas ao serviço. Service-linked as funções permitem Serviços da AWS realizar as ações necessárias em seu nome e não podem ser restringidas pelos RCPs.

  • Usuários e perfis ainda precisam receber permissões com políticas de permissão IAM apropriadas, incluindo políticas baseadas em identidade e políticas baseadas em recursos. Um usuário ou função sem nenhuma política de permissão do IAM não tem acesso, mesmo que uma RCP aplicável permita todos os serviços, todas as ações e todos os recursos.

Recursos e entidades não restritos por RCPs

Você não pode usar RCPs para restringir o seguinte:

  • Qualquer ação sobre recursos na conta gerencial.

  • Os RCPs não afetam as permissões efetivas de nenhuma função vinculada ao serviço. Service-linked as funções são um tipo exclusivo de função do IAM vinculada diretamente a um AWS serviço e incluem todas as permissões que o serviço exige para chamar outros AWS serviços em seu nome. As permissões das perfis vinculados ao serviço não podem ser restringidas pelas RCPs. Os RCPs também não afetam a capacidade AWS dos serviços de assumir uma função vinculada ao serviço; ou seja, a política de confiança da função vinculada ao serviço também não é afetada pelos RCPs.

  • Os RCPs não se aplicam a Chaves gerenciadas pela AWS for. AWS Key Management Service Chaves gerenciadas pela AWS são criados, gerenciados e usados em seu nome por um AWS service (Serviço da AWS). Você não pode alterar ou gerenciar as permissões delas.

  • As RCPs não afetam as seguintes permissões:

    Serviço solicitações de Recursos não autorizados pelas RCPs
    AWS Key Management Service

    kms:RetireGrant

    As RCPs não afetam a permissão kms:RetireGrant. Para obter mais informações sobre como a permissão para kms:RetireGrant é determinada, consulte Aposentadoria e revogação de concessões no Guia do desenvolvedor do AWS KMS .