Como gerenciar o limite de número de caracteres da SCP ou o número de SCPs de uma organização da AWS?

3 minuto de leitura
0

Quero aumentar o limite de caracteres de políticas de controle de serviços (SCPs) ou anexar mais SCPs a uma entidade em uma organização da AWS.

Resolução

O serviço AWS Organizations tem um limite rígido de cinco SCPs por conta. Se você anexou várias SCPs a uma conta, unidade organizacional (UO) ou raiz, poderá receber o erro ConstraintViolationException.

O tamanho máximo das SCPs é de 5.120 caracteres, incluindo espaços extras ou quebras de linha. Para obter mais informações, consulte Cotas e limites de serviço para AWS Organizations.

Use os seguintes métodos para reduzir o número de SCPs diretamente vinculadas a uma conta para permitir restrições adicionais em uma organização:

  • Consolide várias SCPs em uma única SCP
  • Use a herança de SCP na hierarquia da unidade organizacional (OU)

Consolide várias SCPs em uma única SCP

Use esse método se o tamanho da SCP for menor que o limite de tamanho da política de 5.120 bytes.

Siga estas recomendações para reduzir o limite de tamanho da SCP:

  • Revise suas SCPs e remova todas as permissões duplicadas. Por exemplo, coloque todas as ações com os mesmos elementos Efeito e Recurso em uma instrução em vez de em várias instruções.

  • Remova todos os elementos desnecessários, como o ID da instrução (Sid), porque esse elemento é contabilizado no número total de caracteres permitidos.

  • Use curingas para ações com os mesmos sufixos ou prefixos. Por exemplo, as ações ec2:DescribeInstances, ec2:DescribeTags e ec2:DescribeSubnets podem ser combinadas como ec2:Describe*.

    Importante: os curingas podem criar riscos adicionais de segurança em uma organização. Os curingas concedem amplas permissões, geralmente para vários recursos. Eles podem conceder permissões não intencionais para identidades do AWS Identity and Access Management (AWS IAM) na organização. Não use esse método nas funções do AWS Lambda para aplicar permissões. Certifique-se de usar curingas somente depois de realizar a devida diligência. É uma prática recomendada evitar a concessão de permissões curinga nas políticas do IAM.

Use a herança de SCP na hierarquia da UO

O limite de cinco SCPs não inclui SCPs herdadas de instâncias precedentes. Você pode usar a estrutura de herança das SCPs para UOs e contas de membros para distribuir SCPs para várias UOs. Por exemplo, para impedir que usuários ou perfis do IAM com contas de membros da sua organização acessem os serviços da AWS, configure sua estrutura organizacional como a seguir:

Root    <--- 1 full access SCP (1 directly attached)   |
OU1     <--- 1 full access, 4 deny SCPs (5 directly attached, 1 inherited)
 |
OU2     <--- 1 full access, 4 deny SCPs (5 directly attached, 6 inherited)
 |
Account <--- 1 full access, 4 deny SCPs (5 directly attached, 11 inherited)
 |
Bob

Permissões filtradas por SCPs em cada nó da hierarquia de uma organização são a interseção de SCPs diretamente vinculadas e herdadas. Neste exemplo, o usuário Bob do IAM possui uma conta de membro e acesso total, com exceção dos serviços negados pelas 12 SCPs baseadas em negação. Essa abordagem é dimensionável porque o número máximo de UOs aninhadas que você pode ter na hierarquia da sua organização é cinco.

Para obter mais informações, consulte Avaliação de SCP.

Informações relacionadas

Explore as políticas de controle de serviços em um ambiente com várias contas

AWS OFICIAL
AWS OFICIALAtualizada há 4 meses