View a markdown version of this page

RCP-Bewertung - AWS Organizations
Strategie für den Einsatz von RCPs

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

RCP-Bewertung

Anmerkung

Die Informationen in diesem Abschnitt gelten nicht für deklarative Richtlinientypen, einschließlich Backup-Richtlinien, Tag-Richtlinien, Richtlinien für Chat-Anwendungen oder Opt-Out-Richtlinien für KI-Dienste. Weitere Informationen finden Sie unter Grundlegendes zur deklarativen Richtlinienvererbung.

Da Sie mehrere Resource Control Policies (RCPs) auf unterschiedlichen Ebenen anhängen können, kann es Ihnen helfen AWS Organizations, RCPs zu erstellen, die das richtige Ergebnis liefern, wenn Sie wissen, wie RCPs bewertet werden.

Strategie für den Einsatz von RCPs

Die RCPFullAWSAccess Richtlinie ist eine AWS verwaltete Richtlinie. Sie wird automatisch dem Organisationsstamm, jeder Organisationseinheit und jedem Konto in Ihrer Organisation zugeordnet, wenn Sie Resource Control Policies (RCPs) aktivieren. Sie können diese Richtlinie nicht trennen. Mit diesem Standard-RCP können alle Principals und Aktionen, auf die zugegriffen wird, die RCP-Bewertung durchlaufen. Das heißt, bis Sie mit dem Erstellen und Anhängen von RCPs beginnen, funktionieren alle Ihre vorhandenen IAM-Berechtigungen weiterhin wie bisher. Diese AWS verwaltete Richtlinie gewährt keinen Zugriff.

Sie können Deny Anweisungen verwenden, um den Zugriff auf Ressourcen in Ihrer Organisation zu blockieren. Damit eine Berechtigung für eine Ressource in einem bestimmten Konto verweigert werden kann, kann jeder RCP vom Stamm bis zu jeder Organisationseinheit im direkten Pfad zum Konto (einschließlich des Zielkontos selbst) diese Berechtigung verweigern.

DenyAussagen sind ein wirksames Mittel zur Implementierung von Einschränkungen, die für einen größeren Teil Ihres Unternehmens gelten sollten. Sie können beispielsweise eine Richtlinie anhängen, um zu verhindern, dass Identitäten außerhalb Ihrer Organisation auf die Stammebene Ihrer Ressourcen zugreifen. Diese Richtlinie gilt dann für alle Konten in der Organisation. AWS empfiehlt dringend, RCPs nicht an das Stammverzeichnis Ihrer Organisation anzuhängen, ohne die Auswirkungen der Richtlinie auf die Ressourcen in Ihren Konten gründlich zu testen. Weitere Informationen finden Sie unter Auswirkungen testen von RCPs.

In Abbildung 1 ist der Produktionsorganisationseinheit ein RCP zugeordnet, für das eine ausdrückliche Deny Anweisung für einen bestimmten Service angegeben ist. Infolgedessen wird sowohl Konto A als auch Konto B der Zugriff auf den Dienst verweigert, da eine Ablehnungsrichtlinie, die einer beliebigen Ebene in der Organisation zugewiesen ist, für alle untergeordneten Organisationseinheiten und Mitgliedskonten geprüft wird.

Beispiel für eine Organisationsstruktur mit einer Ablehnungsbescheinigung, die der Betriebseinheit Produktion beigefügt ist, und deren Auswirkungen auf Konto A und Konto B

Abbildung 1: Beispiel für eine Organisationsstruktur mit einer beigefügten Deny Erklärung in der Produktionsorganisation und deren Auswirkungen auf Konto A und Konto B