DEV Community

Diego Mujica
Diego Mujica

Posted on

AWS Organizatios Service control policies (SCPs)

¿Qué son las SCPs? Las políticas de control de servicios (SCP) son un tipo de política de organización que puede utilizar para administrar permisos en su organización. Las políticas de control de servicios (SCP) ofrecen un control central sobre los máximos permisos disponibles para todas las cuentas de su organización. Las políticas de control de servicios le ayudan a garantizar que sus cuentas se mantengan dentro de las directrices de control de acceso de su organización. Las SCP solo están disponibles en las organizaciones que tienen todas las características habilitadas. Las SCP no están disponibles si su organización ha habilitado únicamente las características de facturación unificada. Para obtener instrucciones sobre cómo habilitar SCP, consulte Habilitar y deshabilitar tipos de política.

Las SCP por sí solas no son suficientes para conceder permisos a las cuentas de la organización. Una SCP no concede permisos. Una SCP define una barandilla, o establece límites, en las acciones que el administrador de la cuenta puede delegar a los usuarios de IAM y roles en las cuentas afectadas. El administrador aún debe adjuntar Políticas basadas en identidad o políticas basadas en recursos a los usuarios o roles de IAM, o a los recursos de sus cuentas para conceder permisos realmente. Los permisos efectivos son la intersección lógica entre lo que permite la SCP y lo que permite la IAM y las políticas basadas en recursos.

Ejemplos de SCP

SCP Para denegar Classic ELB
Archivo Deny-classic-ELB.json:

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "DenyAllClassicELB",
      "Effect": "Deny",
      "Action": [
        "elasticloadbalancing:ConfigureHealthCheck",
        "elasticloadbalancing:SetLoadBalancerPoliciesOfListener",
        "elasticloadbalancing:CreateLoadBalancerPolicy"
      ],
      "Resource": [
        "*"
      ]
    }
  ]
}
Enter fullscreen mode Exit fullscreen mode

SCP para crear instancia EC2 con Keypair

Archivo ec2-without-keypair.json:

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "CustomGuardrails",
            "Effect": "Deny",
            "Action": [
                "ec2:CreateKeyPair"
            ],
            "Resource": [
                "*"
            ],
            "Condition": {
                "ArnNotLike": {
                    "aws:PrincipalARN": [
                        "arn:aws:iam::*:role/AWSControlTowerExecution",
                        "arn:aws:iam::*:role/AWSAFTExecution"
                    ]
                }
            }
        },
        {
            "Sid": "GRNewInstanceWithKeyPair",
            "Effect": "Deny",
            "Action": [
                "ec2:RunInstances"
            ],
            "Resource": "*",
            "Condition": {
                "Null": {
                    "ec2:KeyPairName": "false"
                }
            }
        }
    ]
}
Enter fullscreen mode Exit fullscreen mode

Top comments (0)

Read next

jackmacwindows profile image

Running Lua C modules in a pure Lua environment (1)

JackMacWindows -

hax profile image

Bug Bounty Recon <nmap>

haXarubiX -

neiesc profile image

Dicas e truques: Ferramentas para produtividade para dev no Sistema operacional 🪟 Windows 11

Edinei Cavalcanti -

cloudnest_931c4c449b31c07 profile image

Affordable web hosting services

Cloudnest -