Avaliação do SCP

Como você pode anexar diversas políticas de controle de serviço (SCPs) em diferentes níveis no AWS Organizations, entender como as SCPs são avaliadas pode ajudá-lo a escrever SCPs que produzam o resultado correto.

Como os SCPs funcionam com o Allow

Para que uma permissão seja concedida para uma conta específica, deve haver uma Allow declaração explícita em cada nível, desde a raiz até cada UO, no caminho direto até a conta (incluindo a própria conta de destino). É por isso que, quando você habilita SCPs, AWS Organizations anexa uma política de SCP AWS gerenciada chamada FullawsAccess que permite todos os serviços e ações. Se esta política for removida e não substituída em qualquer nível da organização, todas as UOs e contas nesse nível serão impedidas de realizar quaisquer ações.

Por exemplo, vamos examinar o cenário mostrado nas figuras 1 e 2. Para que uma permissão ou serviço seja permitido na Conta B, um SCP que permite a permissão ou serviço deve ser anexado à Raiz, à UO de Produção e à própria Conta B.

A avaliação de SCP segue um modelo de negação por padrão, o que significa que quaisquer permissões não explicitamente permitidas nos SCPs são negadas. Se uma instrução de permissão não estiver presente nas SCPs em nenhum dos níveis, como Raiz, UO de Produção ou Conta B, o acesso será negado.

Figura 1: exemplo de estrutura organizacional com uma declaração Allow anexada na Raiz, UO de Produção e Conta B

Figura 2: exemplo de estrutura organizacional com uma declaração Allow faltando na UO de Produção e seu impacto na Conta B

Como os SCPs trabalham com negação

Para que uma permissão seja negada para uma conta específica, qualquer SCP da raiz até cada UO no caminho direto para a conta (incluindo a própria conta de destino) pode negar essa permissão.

Por exemplo, digamos que haja um SCP anexado à UO de Produção que tenha uma declaração Deny explícita especificada para um determinado serviço. Também há outro SCP conectado à raiz e à conta B que permite explicitamente o acesso ao mesmo serviço, conforme mostrado na Figura 3. Como resultado, tanto a Conta A quanto a Conta B terão acesso negado ao serviço, pois uma política de negação vinculada a qualquer nível da organização é avaliada para todas as UOs e contas de membros abaixo dela.

Figura 3: exemplo de estrutura organizacional com uma declaração Deny anexada na UO de Produção e seu impacto na Conta B

Estratégias de uso de SCPs

Ao escrever SCPs, você pode usar uma combinação de declarações Allow e Deny para permitir ações e serviços pretendidos em sua organização. As declarações Deny são uma forma poderosa de implementar restrições que devem ser verdadeiras para uma parte mais ampla de sua organização ou UOs porque, quando aplicadas na raiz ou no nível da UO, elas afetam todas as contas abaixo delas.

Por exemplo, você pode implementar uma política usando instruções de Deny para Impedir que a conta membro saia da organização no nível raiz, que será efetiva para todas as contas da organização. As instruções de negação também suportam o elemento de condição que pode ser útil para criar exceções.

O AWS Organizations anexa um SCP gerenciado pelo AWS chamado FullAWSAccess a cada raiz, UO e conta quando ele é criado. Esta política permite todos os serviços e ações. Você pode substituir FullAWSAccess por uma política que permita apenas um conjunto de serviços para que novos Serviços da AWS não sejam permitidos, a menos que sejam explicitamente permitidos pela atualização de SCPs. Por exemplo, se a sua organização quiser permitir apenas o uso de um subconjunto de serviços no seu ambiente, você poderá usar uma declaração Allow para permitir apenas serviços específicos.

JSON

{
"Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ec2:*",
                "cloudwatch:*",
                "organizations:*"
            ],
            "Resource": "*"
        }
    ]
}

Uma política que combina as duas declarações pode ser semelhante ao exemplo a seguir, que impede que contas-membro deixem a organização e permite o uso dos serviços AWS desejados. O administrador da organização pode desanexar a política FullAWSAccess e anexar essa no lugar.

JSON

{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ec2:*",
                "cloudwatch:*",
                "organizations:*"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Deny", 
            "Action":"organizations:LeaveOrganization",
            "Resource": "*" 
        }
    ]
}

Para demonstrar como várias políticas de controle de serviços (SCPs) podem ser aplicadas em uma organização AWS, considere a estrutura organizacional e os cenários a seguir.

Cenário 1: Impacto das políticas de negação

Esse cenário demonstra como as políticas de negação em níveis mais altos da organização afetam todas as contas abaixo. Quando a UO de Sandbox tem políticas “Acesso AWS completo” e “Negar acesso ao S3”, e a Conta B tem uma política de “Negar acesso ao EC2”, o resultado é que a Conta B não pode acessar o S3 (da negação no nível da UO) e o EC2 (da negação no nível da conta). A Conta A não tem acesso ao S3 (a partir da negação no nível da UO).

Cenário 2: as políticas de permissão devem existir em todos os níveis

Esse cenário mostra como as políticas de permissão funcionam em SCPs. Para que um serviço seja acessível, deve haver uma permissão explícita em todos os níveis, desde a raiz até a conta. Aqui, como a UO de Sandbox tem uma política “Permitir acesso ao EC2”, que só permite explicitamente o acesso ao serviço EC2, as contas A e B só terão acesso ao EC2.

Cenário 3: impacto da falta de uma declaração de permissão no nível raiz

A falta de uma declaração “Permitir” no nível raiz em uma SCP é uma configuração incorreta crítica que bloqueará efetivamente todo o acesso aos serviços e ações AWS de todas as contas de membros em sua organização.

Cenário 4: declarações de negação em camadas e permissões resultantes

Esse cenário demonstra uma estrutura de UUO profunda em dois níveis. Tanto a UO raiz quanto a de workloads têm “Acesso AWS completo”, a UO de teste tem “Acesso AWS completo” com “Negar acesso ao EC2” e a UO de Produção tem “Acesso AWS completo”. Como resultado, a Conta D tem acesso a todos os serviços, exceto EC2, e as Contas E e F têm acesso a todos os serviços.

Cenário 5: políticas de permissão no nível da UO para restringir o acesso ao serviço

Esse cenário mostra como as políticas de permissão podem ser usadas para restringir o acesso a serviços específicos. A UO de teste tem uma política de “Permitir acesso ao EC2”, o que significa que somente os serviços do EC2 são permitidos para a Conta D. A UO de Produção mantém o “Acesso da AWS completo”, portanto, as Contas E e F têm acesso a todos os serviços. Isso demonstra como políticas de permissão mais restritivas podem ser implementadas no nível da UO, ao mesmo tempo, mantendo uma permissão mais ampla no nível raiz.

Cenário 6: negação no nível raiz afeta todas as contas, independentemente das permissões de nível inferior

Esse cenário demonstra que uma política de negação no nível raiz afeta todas as contas na organização, independentemente das políticas de permissão nos níveis mais baixos. A raiz tem políticas de “Acesso AWS completo” e “Negar acesso ao S3”. Embora a UO de teste tenha uma política de “Permitir acesso ao S3”, a negação do S3 no nível raiz tem precedência. A conta D não tem acesso ao serviço porque a UO de teste só permite acesso ao S3, mas o S3 é negado no nível raiz. As contas E e F podem acessar outros serviços, exceto o S3, devido à negação explícita no nível raiz.