Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Políticas de autorización en AWS Organizations

Las políticas de autorización le AWS Organizations permiten configurar y administrar de forma centralizada el acceso a los principales y los recursos de las cuentas de sus miembros. La forma en que esas políticas afectan a las unidades organizativas (OUs) y a las cuentas a las que se aplican depende del tipo de política de autorización que se aplique.

Existen dos tipos diferentes de políticas de autorización AWS Organizations: políticas de control de servicios (SCPs) y políticas de control de recursos (RCPs).

Diferencias entre SCPs y RCPs

SCPs son controles centrados en el principal. SCPs cree una barrera de permisos o establezca límites a los permisos máximos disponibles para los directores en sus cuentas de miembros. Estas políticas se pueden utilizar cuando se desea aplicar de forma centralizada controles de acceso coherentes con las entidades principales de su organización. Por ejemplo, especificar los servicios a los que pueden acceder sus usuarios y roles de IAM, los recursos a los que pueden acceder o las condiciones en las que pueden realizar solicitudes (desde regiones o redes específicas).

RCPs son controles centrados en los recursos. RCPs cree una barrera de permisos o establezca límites a los permisos máximos disponibles para los recursos en sus cuentas de miembros. Estas políticas se pueden utilizar cuando se desea aplicar de forma centralizada controles de acceso coherentes con todos los recursos de su organización. Esto puede restringir el acceso a sus recursos para que solo puedan acceder a ellos las identidades que pertenezcan a su organización, o especificar las condiciones en las que las identidades externas a su organización pueden acceder a los recursos.

Algunos controles se pueden aplicar de forma similar mediante SCPs y. RCPs Por ejemplo, puede impedir que sus usuarios carguen objetos no cifrados en S3, los cuales pueden escribirse como una SCP para controlar las acciones que sus entidades principales pueden realizar en los buckets de S3. Este control también se puede escribir como una RCP para requerir el cifrado siempre que una entidad principal cargue objetos en el bucket de S3. Es posible que prefiera la segunda opción si su bucket permite que entidades principales ajenas a su organización, como proveedores externos, carguen objetos a su bucket de S3. Sin embargo, algunos controles solo se pueden implementar en una RCP y otros solo se pueden implementar en una SCP. Para obtener más información, consulte Casos de uso generales para y SCPs RCPs.

Usando SCPs y RCPs

SCPs y RCPs son controles independientes. Puede optar por habilitar solo SCPs o RCPs usar ambos tipos de políticas a la vez. Al usar ambas SCPs y RCPs, puede crear un perímetro de datos en torno a sus identidades y sus recursos.

SCPs proporcionan la capacidad de controlar a qué recursos pueden acceder sus identidades. Por ejemplo, es posible que desee permitir que sus identidades accedan a los recursos de su AWS organización. Pero también deberá evitar que sus identidades accedan a los recursos externos a su organización. Puede hacer cumplir este control mediante SCPs.

RCPs proporcionan la posibilidad de controlar qué identidades pueden acceder a sus recursos. Por ejemplo, debe permitir que las identidades de su organización accedan a los recursos de su organización. Pero también deberá evitar que las identidades externas a su organización accedan a sus recursos. Puede hacer cumplir este control mediante RCPs. RCPs permiten influir en los permisos efectivos de los directores externos a su organización que acceden a sus recursos. SCPs solo puede afectar a los permisos efectivos de los directores de su AWS organización.

Casos de uso generales para y SCPs RCPs

La siguiente tabla detalla los casos de uso generales para usar un SCP y RCPs