Je souhaite augmenter la limite de caractères pour les stratégies de contrôle des services (SCP) ou attacher davantage de SCP à une entité au sein d'une organisation AWS.
Résolution
Le service AWS Organizations impose une limite stricte de cinq SCP par compte. Si vous avez associé trop de SCP à un compte, une UO ou une racine, l'erreur ConstraintViolationException peut s'afficher.
La taille maximale des SCP est de 5 120 caractères, qui incluent les espaces ou sauts de ligne supplémentaires. Pour plus d'informations, consultez la section Quotas et limites de service pour AWS Organizations.
Vous pouvez utiliser les méthodes suivantes pour réduire le nombre de SCP directement attachés à un compte afin d’imposer des restrictions supplémentaires au sein d'une organisation :
- Consolider plusieurs SCP en une seule SCP
- Utilisation de l'héritage SCP dans la hiérarchie de l'unité organisationnelle (UO)
Consolider plusieurs SCP en une seule SCP
Utilisez cette méthode si la taille de la SCP est inférieure à la limite de 5 120 octets fixée par la politique.
Suivez ces recommandations pour réduire la limite de taille de la SCP :
-
Vérifiez vos SCP et supprimez les autorisations dupliquées. Vous pouvez par exemple placer toutes les actions comportant des éléments d'effet et de ressource identiques dans une seule instruction plutôt que dans plusieurs instructions.
-
Supprimez tous les éléments inutiles, tels que l'ID d’instruction (Sid), car cet élément est pris en compte dans le nombre total de caractères autorisés.
-
Utilisez des caractères génériques pour les actions comportant les mêmes suffixes ou préfixes. Par exemple, les actions ec2:DescribeInstances, ec2:DescribeTags et ec2:DescribeSubnets peuvent être combinées sous l’action ec2:Describe*.
Important : Les caractères génériques peuvent créer des risques de sécurité supplémentaires au sein d’une organisation. Les caractères génériques accordent en effet des autorisations étendues, souvent pour plusieurs ressources. Les caractères génériques peuvent accorder des autorisations involontaires pour les identités AWS Identity and Access Management (IAM) (utilisateurs, groupes, rôles) dans votre organisation. N'utilisez pas cette méthode pour appliquer des autorisations aux fonctions AWS Lambda. Veillez à n'utiliser des caractères génériques qu'après avoir réalisé des vérifications diligentes. Il est recommandé d'éviter d'accorder des autorisations par caractères génériques dans les politiques IAM.
Utiliser l'héritage SCP dans la hiérarchie de l'UO
La limite de cinq SCP n'inclut pas les SCP héritées du parent. Vous pouvez utiliser la structure d'héritage des SCP pour les UO et les comptes membres afin de répartir les SCP entre plusieurs UO. Par exemple, pour refuser aux utilisateurs ou rôles IAM associés aux comptes membres de votre organisation l’accès aux services AWS, configurez la structure de votre organisation comme suit :
Root <--- 1 full access SCP (1 directly attached) |
OU1 <--- 1 full access, 4 deny SCPs (5 directly attached, 1 inherited)
|
OU2 <--- 1 full access, 4 deny SCPs (5 directly attached, 6 inherited)
|
Account <--- 1 full access, 4 deny SCPs (5 directly attached, 11 inherited)
|
Bob
Les autorisations filtrées par les SCP sur chaque nœud de la hiérarchie d'une organisation correspondent à l'intersection des SCP directement attachées et héritées. Dans cet exemple, l'utilisateur IAM Bob d'un compte membre dispose d'un accès complet, moins les services refusés par les 12 SCP basées sur le refus. Cette approche est évolutive, car il est possible d’avoir un maximum de cinq UO imbriquées au sein de la hiérarchie de votre organisation.
Pour plus d'informations, consultez la section Évaluation de la SCP.
Informations connexes
Tirer le meilleur parti des stratégies de contrôle des services dans un environnement multi-comptes