Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Richtlinien zur Dienstkontrolle (SCPs)
Dienststeuerungsrichtlinien (SCPs) sind eine Art von Organisationsrichtlinie, mit der Sie Berechtigungen in Ihrer Organisation verwalten können. SCPs bieten eine zentrale Kontrolle über die maximal verfügbaren Berechtigungen für die IAM-Benutzer und IAM-Rollen in Ihrer Organisation. SCPs helfen Ihnen dabei, sicherzustellen, dass Ihre Konten die Richtlinien für die Zugriffskontrolle Ihres Unternehmens einhalten. SCPssind nur in einer Organisation verfügbar, in der [alle Funktionen aktiviert](orgs_manage_org_support-all-features.md) sind. SCPs sind nicht verfügbar, wenn Ihre Organisation nur die Funktionen für die konsolidierte Fakturierung aktiviert hat. Anweisungen zur Aktivierung finden SCPs Sie unter[Aktivieren eines Richtlinientyps](enable-policy-type.md).
SCPs Erteilen Sie den IAM-Benutzern und IAM-Rollen in Ihrer Organisation keine Berechtigungen. Von einem SCP werden keine Berechtigungen erteilt. Ein SCP definiert eine Berechtigungsbarriere oder legt Grenzwerte für die Aktionen fest, die die IAM-Benutzer und IAM-Rollen in Ihrer Organisation ausführen können. Um Berechtigungen zu gewähren, muss der Administrator Richtlinien zur Zugriffskontrolle anhängen, z. B. identitätsbasierte Richtlinien, die IAM-Benutzern und IAM-Rollen zugewiesen sind, und ressourcenbasierte Richtlinien, die den Ressourcen in Ihren Konten zugewiesen sind. *Weitere Informationen finden Sie unter [Identitätsbasierte Richtlinien und ressourcenbasierte Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_identity-vs-resource.html) im IAM-Benutzerhandbuch.*
Bei den [effektiven Berechtigungen](#scp-effects-on-permissions) handelt es sich um die logische Überschneidung zwischen dem, was die SCP- und [Ressourcensteuerungsrichtlinien (RCPs)](orgs_manage_policies_rcps.md) zulassen, und dem, was die identitäts- und ressourcenbasierten Richtlinien zulassen.
**SCPs wirken sich nicht auf Benutzer oder Rollen im Verwaltungskonto aus**
SCPs wirken sich nicht auf Benutzer oder Rollen im Verwaltungskonto aus. Sie wirken sich nur auf die Mitgliedskonten Ihrer Organisation aus. Dies bedeutet auch, dass dies für Mitgliedskonten SCPs gilt, die als delegierte Administratoren bezeichnet wurden.
****Themen auf dieser Seite****
+ [Auswirkungen testen von SCPs](#scp-warning-testing-effect)
+ [Maximale Größe von SCPs](#scp-size-limit)
+ [Zugehörigkeit SCPs zu verschiedenen Ebenen in der Organisation](#scp-about-inheritance)
+ [SCP-Auswirkungen auf Berechtigungen](#scp-effects-on-permissions)
+ [Nutzung von Zugangsdaten zur Verbesserung SCPs](#data-from-iam)
+ [Aufgaben und Entitäten, die nicht eingeschränkt sind durch SCPs](#not-restricted-by-scp)
+ [SCP-Bewertung](orgs_manage_policies_scps_evaluation.md)
+ [SCP-Syntax](orgs_manage_policies_scps_syntax.md)
+ [Beispiele für Service-Kontrollrichtlinie](orgs_manage_policies_scps_examples.md)
+ [Fehlerbehebung bei Dienststeuerungsrichtlinien (SCPs) mit AWS Organizations](org_troubleshoot_policies.md)
## Auswirkungen testen von SCPs
AWS empfiehlt dringend, keine Verbindungen SCPs zum Stammverzeichnis Ihrer Organisation herzustellen, ohne die Auswirkungen der Richtlinie auf Konten gründlich zu testen. Erstellen Sie stattdessen eine Organisationseinheit, in die Sie Ihre Konten einzeln oder in geringer Anzahl verschieben können. So stellen Sie sicher, dass kein Benutzer versehentlich von wichtigen Services ausgesperrt wird. Ob ein Service von einem Konto verwendet wird, können Sie herausfinden, indem Sie sich die [Daten zum letzten Servicezugriff in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_access-advisor.html) ansehen. Eine andere Möglichkeit besteht darin, die [Nutzung von Diensten auf API-Ebene AWS CloudTrail zu protokollieren](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/how-cloudtrail-works.html).
**Anmerkung**
Sie sollten die **vollständige AWSAccess** Richtlinie nur entfernen, wenn Sie sie ändern oder durch eine separate Richtlinie mit zulässigen Aktionen ersetzen. Andernfalls schlagen alle AWS Aktionen von Mitgliedskonten fehl.
## Maximale Größe von SCPs
Alle Zeichen in Ihrer SCP werden auf deren [Maximalgröße](orgs_reference_limits.md#min-max-values) angerechnet. Die Beispiele in dieser Anleitung zeigen die SCPs Formatierung mit zusätzlichem Leerraum, um die Lesbarkeit zu verbessern. Um Platz zu sparen, wenn sich die Größe Ihrer Richtlinie der Maximalgröße nähert, können Sie aber alle Leerraumzeichen, wie z. B. Leerzeichen und Zeilenumbrüche, außerhalb von Anführungszeichen löschen.
**Tipp**
Verwenden Sie den visuellen Editor zum Erstellen Ihrer SCP. Hier werden zusätzliche Leerzeichen automatisch entfernt.
## Zugehörigkeit SCPs zu verschiedenen Ebenen in der Organisation
Eine ausführliche Erläuterung der SCPs Funktionsweise finden Sie unter[SCP-Bewertung](orgs_manage_policies_scps_evaluation.md).
## SCP-Auswirkungen auf Berechtigungen
SCPs ähneln AWS Identity and Access Management Berechtigungsrichtlinien und verwenden fast dieselbe Syntax. Allerdings gewährt eine SCP nie Berechtigungen. Stattdessen SCPs sind es Zugriffskontrollen, die die maximal verfügbaren Berechtigungen für die IAM-Benutzer und IAM-Rollen in Ihrer Organisation festlegen. Weitere Informationen finden Sie unter [Auswertungslogik für Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_evaluation-logic.html) im *IAM-Benutzerhandbuch*.
+ SCPs ***betreffen nur IAM-Benutzer und -Rollen***, die von Konten verwaltet werden, die Teil der Organisation sind. SCPs wirken sich nicht direkt auf ressourcenbasierte Richtlinien aus. Sie haben auch keine Auswirkungen auf Benutzer oder Rollen von Konten außerhalb der Organisation. Nehmen wir als Beispiel einen Amazon-S3-Bucket, der Konto A in einer Organisation gehört. Die Bucket-Richtlinie (eine ressourcenbasierte Richtlinie) gewährt Zugriff auf Benutzer von Konto B außerhalb der Organisation. Konto A ist eine Service-Kontrollrichtlinie zugeordnet. Diese SCP gilt nicht für externe Benutzer in Konto B. Der SCP gilt nur für Benutzer, die von Konto A in der Organisation verwaltet werden.
+ Ein SCP beschränkt die Berechtigungen für IAM-Benutzer und -Rollen in Mitgliedskonten, einschließlich des Stammverzeichnisses des Mitgliedskonten. Jedes Konto weist nur die Berechtigungen auf, die ihm durch ***jedes einzelne*** übergeordnete Element gewährt wird. Wenn eine Berechtigung auf einer Ebene oberhalb des Kontos gesperrt ist, entweder stillschweigend (d. h., sie ist nicht in der Richtlinienanweisung `Allow` enthalten) oder explizit (d. h., sie ist in der Richtlinienanweisung `Deny` enthalten), kann ein Benutzer oder eine Rolle im betreffenden Konto diese Berechtigung nicht verwenden, auch wenn der Administrator des Kontos die IAM-Richtlinie `AdministratorAccess` mit \$1/\$1-Berechtigungen an diesen Benutzer anhängt.
+ SCPs wirken sich nur auf ***Mitgliedskonten*** in der Organisation aus. Sie haben keine Auswirkungen auf Benutzer oder Rollen im Verwaltungskonto. Dies bedeutet auch, dass dies für Mitgliedskonten SCPs gilt, die als delegierte Administratoren benannt wurden. Weitere Informationen finden Sie unter [Bewährte Methoden für das Verwaltungskonto](orgs_best-practices_mgmt-acct.md).
+ Benutzer und Rollen müssen trotzdem mit Berechtigungen mit entsprechenden IAM-Berechtigungsrichtlinien ausgestattet werden. Ein Benutzer ohne IAM-Berechtigungsrichtlinien hat keinen Zugriff, auch wenn die geltenden Richtlinien alle Dienste und alle Aktionen SCPs zulassen.
+ Wenn ein Benutzer oder eine Rolle über eine IAM-Berechtigungsrichtlinie verfügt, die Zugriff auf eine Aktion gewährt, die auch von der entsprechenden Person zugelassen ist SCPs, kann der Benutzer oder die Rolle diese Aktion ausführen.
+ Wenn ein Benutzer oder eine Rolle über eine IAM-Berechtigungsrichtlinie verfügt, die Zugriff auf eine Aktion gewährt, die von der entsprechenden Person entweder nicht zugelassen oder ausdrücklich verweigert wurde SCPs, kann der Benutzer oder die Rolle diese Aktion nicht ausführen.
+ SCPs wirkt sich auf alle Benutzer und Rollen in angehängten Konten aus, ***einschließlich des Root-Benutzers***. Die einzigen Ausnahmen sind die unter [Aufgaben und Entitäten, die nicht eingeschränkt sind durch SCPs](#not-restricted-by-scp) beschriebenen.
+ SCPs wirken sich ***nicht*** auf dienstbezogene Rollen aus. Serviceverknüpfte Rollen ermöglichen AWS-Services die Integration mit anderen AWS Organizations und können nicht durch sie eingeschränkt werden. SCPs
+ Wenn Sie den SCP-Richtlinientyp in einem Stamm deaktivieren, SCPs werden alle automatisch von allen AWS Organizations Entitäten in diesem Stamm getrennt. AWS Organizations Entitäten umfassen Organisationseinheiten, Organisationen und Konten. Wenn Sie die Aktivierung SCPs in einem Stammverzeichnis erneut aktivieren, wird für dieses Stammverzeichnis nur die `FullAWSAccess` Standardrichtlinie verwendet, die automatisch allen Entitäten im Stammverzeichnis zugewiesen wird. Alle Anlagen von AWS Organizations Entitäten SCPs , die zuvor deaktiviert SCPs wurden, gehen verloren und können nicht automatisch wiederhergestellt werden. Sie können sie jedoch manuell erneut anhängen.
+ Wenn sowohl eine Berechtigungsgrenze (eine erweiterte IAM-Feature) als auch eine SCP vorhanden sind, müssen die Grenze, die SCP und die identitätsbasierte Richtlinie die Aktion zulassen.
## Nutzung von Zugangsdaten zur Verbesserung SCPs
Wenn Sie mit den Anmeldeinformationen für das Verwaltungskonto angemeldet sind, können Sie im **AWS Organizations**Bereich der IAM-Konsole die [Daten anzeigen, auf die der Dienst zuletzt zugegriffen](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_access-advisor.html) hat, für eine AWS Organizations Entität oder Richtlinie. Sie können auch die AWS Command Line Interface (AWS CLI) oder die AWS API in IAM verwenden, um die Daten des Dienstes abzurufen, auf den zuletzt zugegriffen wurde. Diese Daten enthalten Informationen darüber, auf welche zugelassenen Dienste die IAM-Benutzer und -Rollen in einem AWS Organizations Konto zuletzt zugegriffen haben und wann. Sie können diese Informationen verwenden, um ungenutzte Berechtigungen zu identifizieren, sodass Sie Ihre Berechtigungen so verfeinern können, dass SCPs sie besser dem Prinzip der [geringsten Rechte](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#grant-least-privilege) entsprechen.
Beispielsweise könnten Sie eine [Sperrliste (SCP)](orgs_manage_policies_scps_evaluation.md#how_scps_deny) haben, die den Zugriff auf drei Personen verbietet. AWS-Services Alle Services, die nicht in der SCP-Anweisung `Deny` aufgeführt sind, sind zulässig. Der Dienst gibt an, auf welche Daten in IAM zuletzt zugegriffen wurde, AWS-Services welche vom SCP zugelassen, aber nie verwendet werden. Mit diesen Informationen können Sie die SCP so aktualisieren, dass sie den Zugriff auf nicht benötigte Services verweigert.
Weitere Informationen finden Sie unter folgenden Themen im *IAM-Benutzerhandbuch*:
+ [Anzeigen der Daten zum letzten Zugriff auf den Service für Organisationen](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_access-advisor-view-data-orgs.html)
+ [ Verwenden von Daten zum Optimieren von Berechtigungen für eine Organisationseinheit](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_access-advisor-example-scenarios.html#access_policies_access-advisor-reduce-permissions-orgs)
## Aufgaben und Entitäten, die nicht eingeschränkt sind durch SCPs
Sie ***können die folgenden Aufgaben nicht*** verwenden SCPs , um sie einzuschränken:
+ Jede Aktion, die vom Verwaltungskonto ausgeführt wird
+ Jede Aktion, die unter Verwendung von Berechtigungen ausgeführt wird, die mit einer servicegebundenen Rolle verknüpft sind
+ Registrieren für den Enterprise Support-Plan als Root-Benutzer
+ Stellen Sie Funktionen für vertrauenswürdige Unterzeichner für CloudFront private Inhalte bereit
+ Konfigurieren von Reverse-DNS für einen Amazon-Lightsail-E-Mail-Server und einer Amazon-EC2-Instance als Stammbenutzer
+ Aufgaben im AWS Zusammenhang mit einigen verwandten Diensten:
+ Alexa Top Sites
+ Alexa Web Information Service
+ Amazon Mechanical Turk
+ Amazon Product Marketing API
# SCP-Bewertung
**Anmerkung**
Die Informationen in diesem Abschnitt gelten ***nicht*** für Verwaltungsrichtlinientypen, einschließlich Backup-Richtlinien, Tag-Richtlinien, Richtlinien für Chat-Anwendungen oder Opt-Out-Richtlinien für KI-Dienste. Weitere Informationen finden Sie unter [Vererbung von Verwaltungsrichtlinien verstehen](orgs_manage_policies_inheritance_mgmt.md).
Da Sie mehrere Dienststeuerungsrichtlinien (SCPs) auf unterschiedlichen Ebenen anhängen können AWS Organizations, können Sie besser verstehen, wie sie bewertet SCPs werden, um SCPs die richtigen Ergebnisse zu erstellen.
**Topics**
+ [Wie SCPs arbeiten Sie mit Allow](#how_scps_allow)
+ [Wie SCPs arbeitet man mit Deny](#how_scps_deny)
+ [Strategie für die Verwendung SCPs](#strategy_using_scps)
## Wie SCPs arbeiten Sie mit Allow
Damit eine **Berechtigung** für ein bestimmtes Konto erteilt werden kann, muss auf jeder Ebene, vom Stamm bis hin zu jeder OU, im direkten Pfad zum Konto (einschließlich des Zielkontos selbst) eine **ausdrückliche `Allow` Erklärung** vorhanden sein. Aus diesem Grund wird bei der Aktivierung SCPs eine AWS verwaltete SCP-Richtlinie mit dem Namen [Full AWS Organizations](https://console.aws.amazon.com/organizations/v2/home/policies/service-control-policy/p-FullAWSAccess) angehängtAWSAccess, die alle Dienste und Aktionen zulässt. Wenn diese Richtlinie auf keiner Organisationsebene entfernt und nicht ersetzt wird, werden alle Konten OUs und Konten unter dieser Ebene daran gehindert, Maßnahmen zu ergreifen.
Sehen wir uns zum Beispiel das in den Abbildungen 1 und 2 gezeigte Szenario an. Damit eine Berechtigung oder ein Dienst für Konto B zugelassen werden kann, muss ein SCP, der die Erlaubnis oder den Dienst gewährt, an Root, die Produktionsorganisation und an Konto B selbst angehängt werden.
Die SCP-Bewertung folgt einem deny-by-default Modell, was bedeutet, dass alle Berechtigungen, die in der nicht ausdrücklich erlaubt SCPs sind, verweigert werden. Wenn SCPs auf keiner der Ebenen, wie Root, Production OU oder Account B, eine Zulassungsanweisung vorhanden ist, wird der Zugriff verweigert.
![\[Beispiel für eine Organisationsstruktur, der eine Zulassungsanweisung an Stammverzeichnis, Produktionsorganisationseinheit und Konto B angehängt ist\]](http://docs.aws.amazon.com/de_de/organizations/latest/userguide/images/scp_allow_1.png)
*Abbildung 1: Beispiel für eine Organisationsstruktur mit einer `Allow` Erklärung, die an Root, Production OU und Account B angehängt ist*
![\[Beispiel für eine Organisationsstruktur mit fehlendem Hinweis „Zulassen“ in der Betriebseinheit Produktion und deren Auswirkung auf Konto B\]](http://docs.aws.amazon.com/de_de/organizations/latest/userguide/images/scp_allow_2.png)
*Abbildung 2: Beispiel für eine Organisationsstruktur mit fehlender `Allow` Erklärung bei Production OU und deren Auswirkung auf Account B*
## Wie SCPs arbeitet man mit Deny
Damit eine Berechtigung für ein bestimmtes Konto **verweigert** werden kann, kann **jeder SCP** vom Stamm bis zu jeder OU im direkten Pfad zum Konto (einschließlich des Zielkontos selbst) diese Berechtigung verweigern.
Nehmen wir zum Beispiel an, der Produktionsorganisation ist ein SCP zugeordnet, für den eine ausdrückliche `Deny` Anweisung für einen bestimmten Dienst angegeben ist. Zufällig ist auch ein weiterer SCP an Root und Account B angehängt, der explizit den Zugriff auf denselben Dienst ermöglicht, wie in Abbildung 3 dargestellt. Infolgedessen wird sowohl Konto A als auch Konto B der Zugriff auf den Dienst verweigert, da eine Ablehnungsrichtlinie, die einer beliebigen Ebene in der Organisation zugewiesen ist, für alle Konten OUs und Mitgliedskonten, die sich darunter befinden, geprüft wird.
![\[Beispiel für eine Organisationsstruktur mit einer Verweigerungserklärung, die der Produktionsorganisation beigefügt ist, und deren Auswirkungen auf Konto B\]](http://docs.aws.amazon.com/de_de/organizations/latest/userguide/images/scp_deny_1.png)
*Abbildung 3: Beispiel für eine Organisationsstruktur mit einer `Deny`-Anweisung, die der Produktionsorganisation beigefügt ist, und deren Auswirkungen auf Konto B*
## Strategie für die Verwendung SCPs
Beim Schreiben können SCPs Sie eine Kombination aus `Allow` und `Deny` -Anweisungen verwenden, um beabsichtigte Aktionen und Dienste in Ihrer Organisation zu ermöglichen. `Deny`Kontoauszüge sind ein wirksames Mittel zur Implementierung von Einschränkungen, die für einen größeren Teil Ihrer Organisation gelten sollten, oder OUs weil sie, wenn sie auf Stamm- oder OU-Ebene angewendet werden, sich auf alle Konten auswirken, denen das Unternehmen untersteht.
**Tipp**
Sie können die Daten des [Dienstes, auf die zuletzt zugegriffen wurde, in [IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction.html) verwenden, um Ihre Daten](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_access-advisor.html) so zu aktualisieren SCPs , AWS-Services dass der Zugriff nur auf die Daten beschränkt wird, die Sie benötigen. Weitere Informationen finden Sie unter [Anzeigen der Daten des letzten Zugriffs auf den Organizations-Service für Organizations](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_access-advisor-view-data-orgs.html) im *IAM-Benutzerhandbuch.*
AWS Organizations fügt jedem Root, jeder Organisationseinheit und jedem Konto bei der Erstellung ein AWS verwaltetes SCP mit dem Namen [https://console.aws.amazon.com/organizations/v2/home/policies/service-control-policy/p-FullAWSAccess](https://console.aws.amazon.com/organizations/v2/home/policies/service-control-policy/p-FullAWSAccess) hinzu. Diese Richtlinie lässt alle Services und Aktionen zu. Sie können **Full AWSAccess** durch eine Richtlinie ersetzen, die nur eine Reihe von Diensten zulässt, sodass neue Dienste nur zulässig AWS-Services sind, wenn sie durch eine Aktualisierung ausdrücklich zugelassen werden. SCPs Wenn Ihre Organisation beispielsweise nur die Nutzung einer Teilmenge von Diensten in Ihrer Umgebung zulassen möchte, können Sie eine `Allow`-Anweisung verwenden, um nur bestimmte Dienste zuzulassen. Sie können wählen, ob **Full** entweder AWSAccess auf der Stammebene oder auf jeder Ebene ersetzt werden soll. Wenn Sie eine dienstspezifische Zulassungsliste SCP an das Stammverzeichnis anhängen, gilt diese automatisch für alle Konten OUs und die darunter liegenden Konten. Das bedeutet, dass eine einzige Richtlinie auf Stammebene die effektive Service-Zulassungsliste für die gesamte Organisation festlegt, wie in Szenario 7 gezeigt. Alternativ können Sie **Full AWSAccess** für jede Organisationseinheit und jedes Konto entfernen und ersetzen, sodass Sie detailliertere Service-Zulassungslisten implementieren können, die sich je nach Organisationseinheit oder einzelnen Konten unterscheiden.
Hinweis: Wenn Sie sich ausschließlich auf Allow-Anweisungen und das implizite deny-by-default Modell verlassen, kann dies zu unbeabsichtigtem Zugriff führen, da umfassendere oder sich überschneidende Allow-Anweisungen restriktivere Anweisungen außer Kraft setzen können.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ec2:*",
"cloudwatch:*",
"organizations:*"
],
"Resource": "*"
}
]
}
```
------
Eine Richtlinie, die die beiden Aussagen kombiniert, könnte wie das folgende Beispiel aussehen. Sie verhindert, dass Mitgliedskonten die Organisation verlassen, und ermöglicht die Nutzung der gewünschten AWS -Dienste. Der Organisationsadministrator kann die **vollständige AWSAccess Richtlinie trennen und stattdessen diese** Richtlinie anhängen.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ec2:*",
"cloudwatch:*",
"organizations:*"
],
"Resource": "*"
},
{
"Effect": "Deny",
"Action":"organizations:LeaveOrganization",
"Resource": "*"
}
]
}
```
------
Betrachten Sie die folgende Organisationsstruktur und die folgenden Szenarien, um zu demonstrieren, wie mehrere Dienststeuerungsrichtlinien (SCPs) in einer AWS Organisation angewendet werden können.
### Szenario 1: Auswirkungen von Deny-Richtlinien
Dieses Szenario zeigt, wie sich Ablehnungsrichtlinien auf höheren Organisationsebenen auf alle unten aufgeführten Konten auswirken. Wenn für die Sandbox-Organisationseinheit sowohl die Richtlinien „ AWS Vollzugriff“ als auch „Zugriff auf S3 verweigern“ gelten und für Konto B die Richtlinie „EC2-Zugriff verweigern“ gilt, hat dies zur Folge, dass Konto B nicht auf S3 (von der Verweigerung auf OU-Ebene) und EC2 (von der Verweigerung auf Kontoebene) zugreifen kann. Konto A hat keinen S3-Zugriff (aufgrund der Sperrung auf OU-Ebene).
![\[Szenario 1: Auswirkungen von Deny-Richtlinien\]](http://docs.aws.amazon.com/de_de/organizations/latest/userguide/images/scp_scenario_1.png)
### Szenario 2: Zulassungsrichtlinien müssen auf jeder Ebene existieren
Dieses Szenario zeigt, wie Zulassungsrichtlinien in SCPs funktionieren. Damit auf einen Dienst zugegriffen werden kann, muss es auf jeder Ebene, vom Stammverzeichnis bis zum Konto, eine ausdrückliche Genehmigung geben. Da die Sandbox-Organisationseinheit über eine Richtlinie „EC2-Zugriff zulassen“ verfügt, die nur den Zugriff auf EC2-Dienste ausdrücklich erlaubt, haben Konto A und B nur EC2-Zugriff.
![\[Szenario 2: Zulassungsrichtlinien müssen auf jeder Ebene existieren\]](http://docs.aws.amazon.com/de_de/organizations/latest/userguide/images/scp_scenario_2.png)
### Szenario 3: Auswirkung des Fehlens einer Zulassungsanweisung auf Stammebene
Das Fehlen einer „Zulassen“ -Anweisung auf Stammebene in einem SCP ist eine kritische Fehlkonfiguration, die effektiv den gesamten Zugriff auf AWS Dienste und Aktionen für alle Mitgliedskonten in Ihrer Organisation blockiert.
![\[Szenario 3: Auswirkung des Fehlens einer Zulassungsanweisung auf Stammebene\]](http://docs.aws.amazon.com/de_de/organizations/latest/userguide/images/scp_scenario_3.png)
### Szenario 4: Mehrschichtige Deny-Anweisungen und daraus resultierende Berechtigungen
In diesem Szenario wird eine zweistufige Struktur der Organisationseinheit demonstriert. Sowohl die Stammorganisationseinheit als auch die Workload-Organisationseinheit haben „ AWS Vollzugriff“, die Test-OU hat „ AWS Vollzugriff“ mit „EC2-Zugriff verweigern“ und die Produktionsorganisationseinheit hat „ AWS Vollzugriff“. Somit hat Konto D alle Dienstzugriffe außer EC2 und Konto E und F haben alle Dienstzugriffe.
![\[Szenario 4: Layered Deny-Anweisungen und daraus resultierende Berechtigungen\]](http://docs.aws.amazon.com/de_de/organizations/latest/userguide/images/scp_scenario_4.png)
### Szenario 5: Erlauben Sie Richtlinien auf OU-Ebene, um den Dienstzugriff einzuschränken
Dieses Szenario zeigt, wie Zulassungsrichtlinien verwendet werden können, um den Zugriff auf bestimmte Dienste einzuschränken. Die Test-OU verfügt über eine Richtlinie „EC2-Zugriff zulassen“, was bedeutet, dass nur EC2-Dienste für Konto D zugelassen sind. Die Produktionsorganisationseinheit behält den „ AWS Vollzugriff“ bei, sodass die Konten E und F Zugriff auf alle Dienste haben. Dies zeigt, wie restriktivere Zulassungsrichtlinien auf der OU-Ebene implementiert werden können, während auf der Stammebene eine umfassendere Zulassung beibehalten werden kann.
![\[Szenario 5: Erlauben Sie Richtlinien auf OU-Ebene, um den Dienstzugriff einzuschränken\]](http://docs.aws.amazon.com/de_de/organizations/latest/userguide/images/scp_scenario_5.png)
### Szenario 6: Die Ablehnung auf Root-Ebene wirkt sich auf alle Konten aus, unabhängig von den Genehmigungen auf niedrigerer Ebene
Dieses Szenario zeigt, dass sich eine Ablehnungsrichtlinie auf Stammebene auf alle Konten in der Organisation auswirkt, unabhängig von den Zulassungsrichtlinien auf niedrigerer Ebene. Für das Stammverzeichnis gelten sowohl die Richtlinien „ AWS Vollzugriff“ als auch „Zugriff auf S3 verweigern“. Obwohl für die Test-OU die Richtlinie „S3-Zugriff zulassen“ gilt, hat die S3-Verweigerung auf Stammebene Vorrang. Konto D hat keinen Dienstzugriff, da die Test-OU nur S3-Zugriff erlaubt, S3 jedoch auf Stammebene verweigert wird. Die Konten E und F können aufgrund der ausdrücklichen Ablehnung auf Stammebene auf andere Dienste mit Ausnahme von S3 zugreifen.
![\[Szenario 6: Die Ablehnung auf Root-Ebene wirkt sich auf alle Konten aus, unabhängig von den Berechtigungen auf niedrigerer Ebene\]](http://docs.aws.amazon.com/de_de/organizations/latest/userguide/images/scp_scenario_6.png)
### Szenario 7: Benutzerdefiniert auf Stammebene ermöglichen es Richtlinien, den Zugriff auf OU-Ebene einzuschränken
Dieses Szenario zeigt, wie SCPs explizite Dienstzulassungslisten funktionieren, wenn sie auf Stammebene innerhalb eines angewendet werden. AWS Organizations Auf der Stammebene der Organisation SCPs sind zwei benutzerdefinierte „Service Allow“ angehängt, die ausdrücklich den Zugriff auf eine begrenzte Anzahl von AWS Diensten erlauben — SCP\$11 erlaubt IAM und Amazon EC2, SCP\$12 erlaubt Amazon S3 und Amazon. CloudWatch Auf der Ebene der Organisationseinheit (OU) bleibt die Standardrichtlinie „Vollständig“ erhalten. AWSAccess Aufgrund von Überschneidungen können die Konten A und B unter diesen Organisationseinheiten jedoch nur auf die Dienste zugreifen, die vom SCP auf Stammebene ausdrücklich zugelassen wurden. Die restriktivere Root-Richtlinie hat Vorrang, wodurch der Zugriff effektiv nur auf IAM, EC2, S3 und CloudWatch Dienste beschränkt wird, unabhängig von den umfassenderen Berechtigungen, die auf niedrigeren Organisationsebenen gewährt werden.
![\[Szenario 7: Benutzerdefiniert auf Stammebene ermöglichen es Richtlinien, den Zugriff auf OU-Ebene einzuschränken\]](http://docs.aws.amazon.com/de_de/organizations/latest/userguide/images/scp_scenario_7.png)
# SCP-Syntax
Service Control Policies (SCPs) verwenden eine ähnliche Syntax wie AWS Identity and Access Management (IAM) -Berechtigungsrichtlinien und [ressourcenbasierte Richtlinien (wie Amazon S3 S3-Bucket-Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#policies_resource-based)). Weitere Informationen über IAM-Richtlinien und ihre Syntax finden Sie in der [Übersicht über IAM-Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html) im *IAM-Benutzerhandbuch*.
Eine Service-Kontrollrichtlinie ist eine Textdatei, die den Regeln der [JSON-Struktur](http://json.org) folgt. Sie verwendet die Elemente, die in diesem Thema beschrieben werden.
**Anmerkung**
Alle Zeichen in Ihrer SCP werden auf deren [Maximalgröße](orgs_reference_limits.md#min-max-values) angerechnet. Die Beispiele in diesem Handbuch zeigen die SCPs Formatierung mit zusätzlichem Leerraum, um ihre Lesbarkeit zu verbessern. Um Platz zu sparen, wenn sich die Größe Ihrer Richtlinie der Maximalgröße nähert, können Sie aber alle Leerraumzeichen, wie z. B. Leerzeichen und Zeilenumbrüche, außerhalb von Anführungszeichen löschen.
Allgemeine Informationen zu finden Sie SCPs unter. [Richtlinien zur Dienstkontrolle (SCPs)](orgs_manage_policies_scps.md)
## Übersicht über die Elemente
In der folgenden Tabelle sind die Richtlinienelemente zusammengefasst, die Sie in SCPs verwenden können. Einige Richtlinienelemente sind nur in SCPs diesen Ablehnungsaktionen verfügbar. In der Spalte **Unterstützte Effekte** ist der Effekttyp aufgeführt, den Sie für jedes Richtlinienelement verwenden können SCPs.
| Element | Zweck | Unterstützte Auswirkungen |
| --- | --- | --- |
| [Action (Aktion)](#scp-syntax-action) | Gibt AWS Dienste und Aktionen an, die der SCP zulässt oder verweigert. | `Allow`, `Deny` |
| [Effect (Effekt)](#scp-syntax-effect) | Definiert, ob die SCP-Anweisung den Zugriff auf die IAM-Benutzer und -Rollen in einem Konto [erlaubt](orgs_manage_policies_scps_evaluation.md#how_scps_allow) oder [verweigert](orgs_manage_policies_scps_evaluation.md#how_scps_deny). | `Allow`, `Deny` |
| [Statement](#scp-syntax-statement) | Dient als Container für Richtlinienelemente. Sie können mehrere Anweisungen enthalten. SCPs | `Allow`, `Deny` |
| [Anweisungs-ID (SID)](#scp-syntax-sid) | (Optional) Stellt einen Anzeigenamen für die Anweisung bereit. | `Allow`, `Deny` |
| [Version](#scp-syntax-version) | Gibt die Regeln für die Sprachsyntax an, die für die Verarbeitung der Richtlinie verwendet wird. | `Allow`, `Deny` |
| [Bedingung](#scp-syntax-condition) | Gibt die Bedingungen dafür an, wann die Anweisung wirksam ist. | `Allow,``Deny` |
| [NotAction](#scp-syntax-action) | Gibt AWS Dienste und Aktionen an, die vom SCP ausgenommen sind. Wird anstelle des Elements `Action` verwendet. | `Allow,``Deny` |
| [Ressource](#scp-syntax-resource) | Gibt die AWS Ressourcen an, für die der SCP gilt. | `Allow,``Deny` |
| [NotResource](#scp-syntax-resource) | Gibt AWS Ressourcen an, die vom SCP ausgenommen sind. Wird anstelle des Elements Resource verwendet. | `Allow`, `Deny` |
Die folgenden Abschnitte enthalten weitere Informationen und Beispiele für die Verwendung von Richtlinienelementen in SCPs.
**Topics**
+ [Übersicht über die Elemente](#scp-elements-table)
+ [Elemente `Action` und `NotAction`](#scp-syntax-action)
+ [`Condition`-Element](#scp-syntax-condition)
+ [`Effect`-Element](#scp-syntax-effect)
+ [`Resource`und `NotResource` Element](#scp-syntax-resource)
+ [`Statement`-Element](#scp-syntax-statement)
+ [Element der Anweisungs-ID (`Sid`)](#scp-syntax-sid)
+ [`Version`-Element](#scp-syntax-version)
+ [Nicht unterstützte Elemente](#scp-syntax-unsupported)
## Elemente `Action` und `NotAction`
Der Wert für das `NotAction` Element `Action` or ist eine Liste (ein JSON-Array) von Zeichenfolgen, die AWS Dienste und Aktionen identifizieren, die durch die Anweisung zugelassen oder verweigert werden.
Jede Zeichenfolge besteht aus der Abkürzung für den Service (z. B. "s3", "ec2", "iam" oder "organizations"), in Kleinbuchstaben, gefolgt von einem Doppelpunkt und einer Aktion aus dem entsprechenden Service. Bei den Aktionen und Notaktionen wird nicht zwischen Groß- und Kleinschreibung unterschieden. Im Allgemeinen werden sie alle eingegeben, wobei jedes Wort mit einem Großbuchstaben und der Rest mit einem Kleinbuchstaben beginnt. Beispiel: `"s3:ListAllMyBuckets"`.
Sie können auch Platzhalterzeichen wie Sternchen (\$1) oder ein Fragezeichen (?) in einem SCP verwenden:
+ Sie können auch ein Sternchen als Platzhalter verwenden, der mit mehreren Aktionen übereinstimmt, die Teile eines Namens gemeinsam haben. Der Wert `"s3:*"` bezeichnet alle Aktionen im Amazon-S3-Service. Der Wert `"ec2:Describe*"` entspricht nur den EC2-Aktionen, die mit "Describe" beginnen.
+ Verwenden Sie das Fragezeichen (?) als Platzhalter für die Übereinstimmung mit einem einzelnen Zeichen.
Eine Liste aller Dienste und der Aktionen, die sie sowohl in den IAM-Berechtigungsrichtlinien als auch AWS Organizations SCPs in den IAM-Berechtigungsrichtlinien unterstützen, finden Sie im *IAM-Benutzerhandbuch* unter [Aktionen, Ressourcen und Bedingungsschlüssel für AWS Dienste](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_actionsconditions.html).
*Weitere Informationen finden Sie unter [IAM-JSON-Richtlinienelemente: Aktion](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_action.html) und [IAM-JSON-Richtlinienelemente: NotAction](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_notaction.html) im IAM-Benutzerhandbuch.*
### Beispiel für das `Action`-Element
Das folgende Beispiel zeigt eine SCP mit einer Anweisung, die Kontoadministratoren erlaubt, Berechtigungen für EC2-Instances zu delegieren, zu starten, zu stoppen und zu beenden. Dies ist ein Beispiel für eine [Whitelist](orgs_manage_policies_scps_evaluation.md#how_scps_allow). Es ist hilfreich, wenn die `Allow *`-Standardrichtlinien ***nicht*** zugewiesen sind, sodass Berechtigungen implizit automatisch abgelehnt werden. Wenn die `Allow *`-Standardrichtlinie nach wie vor an den Root-Benutzer, die Organisationseinheit oder das Konto angehängt ist, an die die folgende Richtlinie angehängt ist, ist die Richtlinie wirkungslos.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": {
"Effect": "Allow",
"Action": [
"ec2:DescribeInstances", "ec2:DescribeImages", "ec2:DescribeKeyPairs",
"ec2:DescribeSecurityGroups", "ec2:DescribeAvailabilityZones", "ec2:RunInstances",
"ec2:TerminateInstances", "ec2:StopInstances", "ec2:StartInstances"
],
"Resource": "*"
}
}
```
------
Das folgende Beispiel zeigt, wie Sie Services, die Sie nicht in zugewiesenen Konten verwenden möchten, in eine [Sperrliste](orgs_manage_policies_scps_evaluation.md#how_scps_deny) aufnehmen können. Es wird vorausgesetzt, dass die standardmäßigen `"Allow *"`-SCPs nach wie vor an alle Organisationseinheiten und an den Root angefügt sind. Dieses Beispielrichtlinie verhindert, dass die Kontoadministratoren in angefügten Konten Berechtigungen für die Services IAM, Amazon EC2 und Amazon RDS delegieren können. Aktionen von anderen Services können delegiert werden, solange keine Richtlinie angefügt ist, die diese abgelehnt.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": {
"Effect": "Deny",
"Action": [ "iam:*", "ec2:*", "rds:*" ],
"Resource": "*"
}
}
```
------
### Beispiel für das `NotAction`-Element
Das folgende Beispiel zeigt, wie Sie ein `NotAction` Element verwenden können, um AWS Dienste von der Wirkung der Richtlinie auszuschließen.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "LimitActionsInRegion",
"Effect": "Deny",
"NotAction": "iam:*",
"Resource": "*",
"Condition": {
"StringNotEquals": {
"aws:RequestedRegion": "us-west-1"
}
}
}
]
}
```
------
Mit dieser Aussage können die betroffenen Konten nur Aktionen in den angegebenen Fällen ausführen, es sei denn AWS-Region, sie verwenden IAM-Aktionen.
## `Condition`-Element
Sie können ein `Condition` Element in den Anweisungen „Zulassen“ und „Verweigern“ in einem SCP angeben.
Das folgende Beispiel zeigt, wie ein Condition-Element mit einer Allow-Anweisung in einem SCP verwendet wird, um bestimmten Prinzipalen den Zugriff auf Dienste zu ermöglichen. AWS
```
{
"Version":"2012-10-17",
"Statement":[
{
"Sid":"AllowServicesForSpecificPrincipal",
"Effect":"Allow",
"Action":[
"ec2:*",
"s3:*",
"rds:*",
"lambda:*",
"cloudformation:*",
"iam:*",
"cloudwatch:*"
],
"Resource":"*",
"Condition":{
"StringEquals":{
"aws:PrincipalArn":[
"arn:aws:iam::123456789012:role/specific-role"
]
}
}
}
]
}
```
Das folgende Beispiel zeigt, wie ein Condition-Element mit einer Deny-Anweisung in einem SCP verwendet wird, um den Zugriff auf alle Operationen außerhalb der `eu-west-1` Regionen `eu-central-1` und mit Ausnahme von Aktionen in den angegebenen Diensten einzuschränken.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "DenyAllOutsideEU",
"Effect": "Deny",
"NotAction": [
"cloudfront:*",
"iam:*",
"route53:*",
"support:*"
],
"Resource": "*",
"Condition": {
"StringNotEquals": {
"aws:RequestedRegion": [
"eu-central-1",
"eu-west-1"
]
}
}
}
]
}
```
------
Weitere Informationen finden Sie unter [IAM-JSON-Richtlinienelemente: Bedingung](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) im *IAM-Benutzerhandbuch*.
## `Effect`-Element
Jede Anweisung muss ein `Effect`-Element enthalten. Der Wert kann entweder `Allow` oder `Deny` sein. Dieser Wert wirkt sich auf alle in derselben Anweisung aufgeführten Aktionen aus.
Weitere Informationen finden Sie unter [IAM-JSON-Richtlinienelemente: Effect](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_effect.html) im *IAM-Benutzerhandbuch*.
### `"Effect": "Allow"`
Das folgende Beispiel zeigt eine SCP mit einer Anweisung, die ein `Effect`-Element mit dem Wert `Allow` enthält, der Kontobenutzern erlaubt, Aktionen für den Amazon-S3-Service auszuführen. Dieses Beispiel ist in einer Organisation nützlich, die die [Zulassungslistenstrategie](orgs_manage_policies_scps_evaluation.md#how_scps_allow) verwendet (wo die `FullAWSAccess`-Standardrichtlinien alle getrennt sind, sodass Berechtigungen standardmäßig implizit verweigert werden). Das Ergebnis ist, dass die Anweisung die Amazon-S3-Berechtigungen für alle angehängten Konten [erlaubt](orgs_manage_policies_scps_evaluation.md#how_scps_allow):
```
{
"Statement": {
"Effect": "Allow",
"Action": "s3:*",
"Resource": "*"
}
}
```
Trotz der Verwendung desselben `Allow`-Wertschlüsselworts der Anweisung als IAM-Berechtigungsrichtlinie werden in einer Service-Kontrollrichtlinie (SCP) nicht tatsächlich Benutzerberechtigungen für irgendeine Aktion erteilt. Sie SCPs dienen stattdessen als Filter, die die maximalen Berechtigungen für die Konten in einer Organisation, Organisationseinheit (OU) oder einem Konto angeben. Auch wenn im vorherigen Beispiel für einen Benutzer im Konto die verwaltete `AdministratorAccess`-Richtlinie angehängt wäre, beschränkt die verwaltete SCP ***alle*** Benutzer im Konto auf Amazon-S3-Aktionen.
### `"Effect": "Deny"`
In einer Anweisung, in der das `Effect` Element den Wert von hat`Deny`, können Sie auch den Zugriff auf bestimmte Ressourcen einschränken oder Bedingungen definieren, unter denen sie gültig SCPs sind.
Nachfolgend sehen Sie ein Beispiel für die Verwendung eines Bedingungsschlüssel in einer Zugriffsverweigerungsanweisung.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": {
"Effect": "Deny",
"Action": "ec2:RunInstances",
"Resource": "arn:aws:ec2:*:*:instance/*",
"Condition": {
"StringNotEquals": {
"ec2:InstanceType": "t2.micro"
}
}
}
}
```
------
Diese Anweisung in einer SCP dient als Leitlinie, um zu verhindern, dass betroffene Konten Amazon-EC2-Instances starten, wenn für die Amazon-EC2-Instance nicht `t2.micro` festgelegt ist (wobei die SCP dem Konto selbst oder dem Organisationsstamm oder der Organisationseinheit zugeordnet ist, der bzw. die das Konto enthält). Auch wenn dem Konto eine IAM-Richtlinie, die diese Aktion zulässt, zugeordnet ist, wird dies von der Leitlinie der SCP verhindert.
## `Resource`und `NotResource` Element
In Anweisungen, in denen das `Effect`-Element den Wert `Allow` hat, können Sie nur "\$1" im `Resource`-Element einer SCP angeben. Sie können keine einzelnen Amazon-Ressourcennamen (ARNs) angeben.
Sie können Platzhalterzeichen wie Sternchen (\$1) oder Fragezeichen (?) verwenden im Ressourcenelement:
+ Sie können auch ein Sternchen als Platzhalter verwenden, der mit mehreren Aktionen übereinstimmt, die Teile eines Namens gemeinsam haben.
+ Verwenden Sie das Fragezeichen (?) als Platzhalter für die Übereinstimmung mit einem einzelnen Zeichen.
In Anweisungen, in denen das `Effect` Element einen Wert von hat`Deny`, *können* Sie individual angeben ARNs, wie im folgenden Beispiel gezeigt.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "DenyAccessToAdminRole",
"Effect": "Deny",
"Action": [
"iam:AttachRolePolicy",
"iam:DeleteRole",
"iam:DeleteRolePermissionsBoundary",
"iam:DeleteRolePolicy",
"iam:DetachRolePolicy",
"iam:PutRolePermissionsBoundary",
"iam:PutRolePolicy",
"iam:UpdateAssumeRolePolicy",
"iam:UpdateRole",
"iam:UpdateRoleDescription"
],
"Resource": [
"arn:aws:iam::*:role/role-to-deny"
]
}
]
}
```
------
Dieser SCP schränkt IAM-Benutzer und -Rollen in betroffenen Konten ein, Änderungen an einer gemeinsamen administrativen IAM-Rolle vorzunehmen, die in allen Konten in Ihrer Organisation erstellt wurde.
Das folgende Beispiel zeigt, wie ein `NotResource` Element verwendet wird, um bestimmte Amazon Bedrock-Modelle von der Wirkung der Richtlinie auszuschließen.
```
{
"Version":"2012-10-17",
"Statement":[
{
"Sid":"Statement1",
"Effect":"Deny",
"Action":[
"bedrock:InvokeModel",
"bedrock:InvokeModelWithResponseStream"
],
"NotResource":[
"arn:aws:bedrock:*::foundation-model/model-to-permit"
]
}
]
}
```
Weitere Informationen finden Sie unter [IAM-JSON-Richtlinienelemente: Resource](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_resource.html) im *IAM-Benutzerhandbuch*.
## `Statement`-Element
Eine SCP besteht aus einem oder mehreren `Statement`-Elementen. Es kann nur ein `Statement`-Schlüsselwort in einer Richtlinie enthalten sein, doch der Wert kann ein JSON-Array von Anweisungen sein (in eckigen Klammern []).
Das folgende Beispiel zeigt eine einzelne Anweisung, die aus einzelnen `Effect`-, `Action`- und `Resource`-Elementen besteht.
```
"Statement": {
"Effect": "Allow",
"Action": "*",
"Resource": "*"
}
```
Das folgende Beispiel enthält zwei Anweisungen als Array-Liste innerhalb eines `Statement`-Elements. Die erste Anweisung lässt sämtliche Aktionen zu, während die zweite alle EC2-Aktionen ablehnt. Das Ergebnis ist, dass ein Administrator im Konto alle Berechtigungen *außer* denen von Amazon Elastic Compute Cloud (Amazon EC2) delegieren kann.
```
"Statement": [
{
"Effect": "Allow",
"Action": "*",
"Resource": "*"
},
{
"Effect": "Deny",
"Action": "ec2:*",
"Resource": "*"
}
]
```
Weitere Informationen finden Sie unter [IAM-JSON-Richtlinienelemente: Anweisung](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_statement.html) im *IAM-Benutzerhandbuch*.
## Element der Anweisungs-ID (`Sid`)
Die `Sid` (Anweisungs-ID) ist eine optionale ID, die Sie für die Richtlinie angeben können. Sie können jeder Anweisung in einem Statement-Array einen `Sid`-Wert zuweisen. Die folgende Beispiel-SCP zeigt eine beispielhafte `Sid`-Anweisung.
```
{
"Statement": {
"Sid": "AllowsAllActions",
"Effect": "Allow",
"Action": "*",
"Resource": "*"
}
}
```
Weitere Informationen finden Sie unter [IAM-JSON-Richtlinienelemente: Id](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_id.html) im *IAM-Benutzerhandbuch*.
## `Version`-Element
Jede SCP muss ein `Version`-Element mit dem Wert `"2012-10-17"` enthalten. Dieser Wert entspricht der aktuellen Version der IAM-Berechtigungsrichtlinien.
Weitere Informationen finden Sie unter [IAM-JSON-Richtlinienelemente: Version](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_version.html) im *IAM-Benutzerhandbuch*.
## Nicht unterstützte Elemente
Die folgenden Elemente werden in SCPs nicht unterstützt:
+ `NotPrincipal`
+ `Principal`
# Beispiele für Service-Kontrollrichtlinie
Die in diesem Thema angezeigten Beispiele für [Dienststeuerungsrichtlinien (SCPs)](orgs_manage_policies_scps.md) dienen nur zu Informationszwecken.
**Hinweise zur Verwendung dieser Beispiele**
Bevor Sie dieses Beispiel SCPs in Ihrer Organisation verwenden, sollten Sie Folgendes berücksichtigen:
[Richtlinien zur Servicesteuerung (SCPs)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html) sind als grobe Leitplanken gedacht und gewähren keinen direkten Zugriff. Der Administrator muss den IAM-Prinzipalen oder Ressourcen in Ihren Konten dennoch [identitäts- oder ressourcenbasierte Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_identity-vs-resource.html) zuordnen, um tatsächlich Berechtigungen zu erteilen. Die effektiven Berechtigungen stellen die logische Schnittstelle zwischen der policy/Resource Dienststeuerungsrichtlinie und einer Identitätsrichtlinie oder der policy/Resource Dienststeuerungsrichtlinie und einer Ressourcenrichtlinie dar. Weitere Informationen zu den Auswirkungen von SCP auf Berechtigungen [finden Sie hier.](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html#scp-effects-on-permissions)
Eine [Service Control Policy (SCP)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html) bietet, wenn sie einer Organisation, Organisationseinheit oder einem Konto zugeordnet ist, eine zentrale Kontrolle über die maximal verfügbaren Berechtigungen für alle Konten in Ihrer Organisation, Organisationseinheit oder einem Konto. Da ein SCP auf mehreren Ebenen in einer Organisation angewendet werden kann, kann es Ihnen helfen, zu wissen, wie diese [bewertet SCPs werden](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps_evaluation.html) SCPs , die richtigen Ergebnisse zu erstellen.
Die Dienststeuerungsrichtlinien in diesem Repository werden als Beispiele dargestellt. Sie sollten nichts anhängen, SCPs ohne die Auswirkungen der Richtlinie auf Konten gründlich getestet zu haben. Sobald Sie eine Richtlinie erstellt haben, die Sie implementieren möchten, empfehlen wir, sie in einer separaten Organisation oder Organisationseinheit zu testen, die Ihrer Produktionsumgebung entsprechen kann. Nach dem Testen sollten Sie die Änderungen auf spezifischere Bereiche anwenden OUs und die Änderungen dann im OUs Laufe der Zeit langsam auf breitere und umfassendere Bereiche anwenden.
Die SCP-Beispiele in diesem Repository verwenden eine [Deny-List-Strategie](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps_evaluation.html#strategy_using_scps), was bedeutet, dass Sie auch eine [vollständige AWSAccess](https://console.aws.amazon.com/organizations/?#/policies/p-FullAWSAccess) Richtlinie oder eine andere Richtlinie benötigen, die den Zugriff über die Entitäten Ihrer Organisation ermöglicht, um Aktionen zu ermöglichen. Sie müssen Ihren Prinzipalen auch weiterhin die entsprechenden Berechtigungen gewähren, indem Sie identitäts- oder ressourcenbasierte Richtlinien verwenden.
**Tipp**
Sie können die Daten des [Dienstes, auf die zuletzt zugegriffen wurde, in [IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction.html) verwenden, um Ihre Daten](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_access-advisor.html) so zu aktualisieren, dass der Zugriff nur auf die Daten SCPs beschränkt wird, die Sie benötigen. AWS-Services Weitere Informationen finden Sie unter [Anzeigen der Daten des letzten Zugriffs auf den Organizations-Service für Organizations](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_access-advisor-view-data-orgs.html) im *IAM-Benutzerhandbuch.*
## GitHub Repository
+ [Beispiele für Richtlinien zur Servicesteuerung](https://github.com/aws-samples/service-control-policy-examples) — Dieses GitHub Repository enthält Beispielrichtlinien für den Einstieg oder die Erweiterung Ihrer Nutzung von AWS SCPs
# Fehlerbehebung bei Dienststeuerungsrichtlinien (SCPs) mit AWS Organizations
Mithilfe dieser Informationen können Sie häufig auftretende Fehler in Dienststeuerungsrichtlinien diagnostizieren und beheben (SCPs).
Die Dienststeuerungsrichtlinien (SCPs) in AWS Organizations ähneln den IAM-Richtlinien und haben eine gemeinsame Syntax. Diese Syntax beginnt mit den Regeln der [JavaScript Object Notation](http://www.json.org) (JSON). JSON beschreibt ein *Objekt* über Name/Wert-Paare für das Objekt. Die [Grammatik der IAM-Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/policies-grammar.html) baut darauf auf, indem sie definiert, welche Namen und Werte für diejenigen, die Richtlinien zur Erteilung von Berechtigungen verwenden AWS-Services , eine Bedeutung haben und von ihnen verstanden werden.
AWS Organizations verwendet einen Teil der IAM-Syntax und Grammatik. Details hierzu finden Sie unter [SCP-Syntax](orgs_manage_policies_scps_syntax.md).
**Topics**
+ [Mehr als ein Richtlinienobjekt](#morethanonepolicyblock)
+ [Mehr als ein Statement-Element](#morethanonestatement)
+ [Richtliniendokument überschreitet die maximal zulässige Größe](#scptoolong)
## Mehr als ein Richtlinienobjekt
Eine SCP darf nur ein JSON-Objekt haben. Ein Objekt wird mithilfe von \$1\$1-Klammern definiert. Obwohl Sie andere Objekte innerhalb eines JSON-Objekts verschachteln können, indem Sie zusätzliche \$1 \$1-Klammern in das äußere Paar einbetten, kann eine Richtlinie nur ein äußerstes Paar von \$1 \$1-Klammern enthalten. Das folgende Beispiel ist ***falsch***, da es zwei Objekte auf der obersten Ebene (genannt out in*red*) enthält:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "ec2:Describe*",
"Resource": "*"
},
{
"Effect": "Deny",
"Action": "s3:*",
"Resource": "*"
}
]
}
```
------
Mit der richtigen Schreibweise können Sie das Beispiel jedoch in eine korrekte Richtlinie umwandeln. Statt zwei vollständige Richtlinienobjekte mit jeweils eigenen `Statement`-Elementen zu nutzen, können Sie die beiden Blöcke in einem einzelnen `Statement`-Element kombinieren. Im folgenden Beispiel hat das `Statement`-Element zwei Objekte als Wert:
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "ec2:Describe*",
"Resource": "*"
},
{
"Effect": "Deny",
"Action": "s3:*",
"Resource": "*"
}
]
}
```
Dieses Beispiel kann nicht noch weiter in ein `Statement` mit einem Element zusammengefasst werden (die beiden Elemente haben unterschiedliche Effekte). Grundsätzlich können Sie Anweisungen nur dann kombinieren, wenn die Elemente `Effect` und `Resource` der Anweisungen identisch sind.
## Mehr als ein Statement-Element
Dieser Fehler sieht möglicherweise zunächst wie eine Variante des Fehlers im vorherigen Abschnitt aus. Syntaktisch handelt es sich jedoch um einen anderen Fehler. Im folgenden Beispiel gibt es auf der obersten Ebene nur ein Richtlinienobjekt (durch die \$1\$1-Klammern definiert). Das Objekt enthält jedoch zwei `Statement`-Elemente.
Eine SCP darf nur ein `Statement`-Element enthalten. Dies setzt sich aus dem Namen (`Statement`) links vom Doppelpunkt und dem Wert auf der rechten Seite des Doppelpunktes zusammen. Der Wert eines `Statement`-Elements muss ein Objekt sein (durch \$1\$1-Klammern definiert). Es muss ein `Effect`-Element, ein `Action`-Element und ein `Resource`-Element enthalten. Das folgende Beispiel ist ***falsch***. Es enthält zwei `Statement`-Elemente in der Richtlinie:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "ec2:Describe*",
"Resource": "*"
},
{
"Effect": "Deny",
"Action": "s3:*",
"Resource": "*"
}
]
}
```
------
Da ein Wert-Objekt eine Gruppe mit mehreren Wert-Objekten sein kann, können Sie dieses Problem lösen, indem Sie die zwei `Statement`-Elemente in einem Element mit einer Objekt-Gruppe kombinieren:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "ec2:Describe*",
"Resource":"*"
},
{
"Effect": "Deny",
"Action": "s3:*",
"Resource": "*"
}
]
}
```
------
Der Wert des `Statement`-Elements ist eine Objekt-Gruppe. Die Gruppe im Beispiel besteht aus zwei Objekten. Jedes Objekt ist ein gültiger Wert für ein `Statement`-Element. Die Objekte in der Gruppe werden durch Kommas getrennt.
## Richtliniendokument überschreitet die maximal zulässige Größe
Die maximal zulässige Größe eines SCP-Dokuments ist 5.120 Bytes. Diese maximale Größe umfasst alle Zeichen einschließlich Leerzeichen. Zur Reduzierung der Größe Ihrer Service-Kontrollrichtlinie können Sie alle Leerraumzeichen (wie z. B. Leerzeichen und Zeilenumbrüche), die sich außerhalb von Anführungszeichen befinden, entfernen.
**Anmerkung**
Wenn Sie die Richtlinie mithilfe von speichern AWS-Managementkonsole, wird zusätzlicher Leerraum zwischen JSON-Elementen und außerhalb von Anführungszeichen entfernt und nicht gezählt. Wenn Sie die Richtlinie mithilfe eines SDK-Vorgangs oder des speichern AWS CLI, wird die Richtlinie genau so gespeichert, wie Sie sie angegeben haben, und es erfolgt kein automatisches Entfernen von Zeichen.