- Tác giả
- Name
- Nguyễn Đức Xinh
- Ngày xuất bản
- Ngày xuất bản
AWS Service Control Policies (SCP) là gì? Quản lý quyền truy cập tập trung trong AWS Organizations
🏛️ AWS Service Control Policies (SCP) là gì?
AWS Service Control Policies (SCP) là một tính năng của AWS Organizations cho phép bạn quản lý và kiểm soát quyền truy cập vào các dịch vụ và hành động của AWS trên nhiều tài khoản trong một tổ chức (organization). SCP hoạt động như một lớp chính sách cấp cao, giúp bạn đảm bảo rằng các tài khoản chỉ có thể thực hiện những hành động được cho phép — ngay cả khi người dùng hoặc vai trò IAM trong tài khoản đó có quyền cao hơn.
⚙️ Cách hoạt động của AWS SCP
Khi bạn gán SCP cho một Organizational Unit (OU) hoặc một tài khoản, SCP sẽ xác định giới hạn quyền tối đa mà người dùng và vai trò IAM có thể thực hiện trong phạm vi đó. Điều quan trọng cần lưu ý là SCP không cấp quyền, mà chỉ giới hạn quyền — quyền thực sự vẫn được xác định bởi IAM policies trong từng tài khoản.
Ví dụ minh họa:
Giả sử bạn tạo một SCP để chỉ cho phép sử dụng dịch vụ Amazon S3. Khi đó:
- Ngay cả khi một người dùng có IAM policy cho phép tạo EC2 instance,
- SCP sẽ ngăn không cho hành động đó xảy ra, vì EC2 không nằm trong phạm vi cho phép của SCP.
🧩 Cấu trúc của một SCP Policy
Một SCP được viết dưới dạng JSON tương tự như IAM policy:
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Deny",
"Action": "ec2:*",
"Resource": "*"
}
]
}
Ví dụ trên từ chối tất cả các hành động (*) đối với dịch vụ EC2 trên toàn bộ tài nguyên (*).
🏗️ Các loại chính sách trong AWS Organizations
Trong AWS Organizations, có nhiều loại chính sách khác nhau ngoài SCP, nhưng SCP là loại phổ biến nhất để quản lý quyền. Dưới đây là các loại chính sách chính:
| Loại chính sách | Mục đích |
|---|---|
| Service Control Policies (SCP) | Giới hạn quyền tối đa mà tài khoản có thể thực hiện. |
| Tag Policies | Chuẩn hóa việc gắn thẻ (tagging) tài nguyên. |
| Backup Policies | Tự động hóa và chuẩn hóa quy tắc sao lưu tài nguyên AWS. |
| AI Services Opt-Out Policies | Quản lý việc sử dụng dữ liệu khách hàng trong dịch vụ AI của AWS. |
🔒 So sánh SCP với IAM Policy
| Tiêu chí | SCP | IAM Policy |
|---|---|---|
| Phạm vi áp dụng | Toàn bộ tài khoản hoặc OU trong AWS Organizations | Người dùng, nhóm, hoặc vai trò trong một tài khoản |
| Chức năng chính | Giới hạn quyền tối đa (permission guardrail) | Cấp quyền cụ thể cho người dùng |
| Cấp độ quản lý | Cấp tổ chức (organization-wide) | Cấp tài khoản (account-level) |
| Có thể cấp quyền? | ❌ Không | ✅ Có |
| Tác động đến root account? | ✅ Có thể giới hạn root account | ❌ Không ảnh hưởng đến root account |
🧠 Khi nào nên sử dụng AWS Service Control Policies?
SCP rất hữu ích trong các trường hợp sau:
- Tổ chức có nhiều tài khoản AWS và muốn kiểm soát quyền truy cập tập trung.
- Đảm bảo tuân thủ quy định bảo mật (ví dụ: cấm xóa log trong CloudTrail hoặc cấm tắt AWS Config).
- Giới hạn sử dụng dịch vụ nhất định để giảm chi phí hoặc tránh lỗi do người dùng gây ra.
- Tạo "guardrail" bảo vệ môi trường sản xuất khỏi những hành động nguy hiểm.
✅ Lợi ích khi sử dụng SCP
- Kiểm soát tập trung: Quản lý quyền truy cập trên hàng chục hoặc hàng trăm tài khoản từ một nơi.
- Đảm bảo tuân thủ: Duy trì chính sách bảo mật nhất quán trong toàn tổ chức.
- Giảm rủi ro vận hành: Ngăn người dùng vô tình hoặc cố ý thực hiện hành động vượt quyền.
- Hỗ trợ cấu trúc đa môi trường: Dễ dàng phân tách quyền giữa môi trường development, staging, và production.
🚀 Kết luận
AWS Service Control Policies (SCP) là công cụ mạnh mẽ giúp bạn thiết lập giới hạn bảo mật tập trung trong AWS Organizations. Việc kết hợp SCP với IAM, AWS Control Tower, và AWS CloudTrail sẽ giúp doanh nghiệp duy trì một môi trường AWS an toàn, tuân thủ và có khả năng mở rộng cao.
Từ khóa liên quan: AWS Organizations, IAM, SCP Policy, Multi-Account Management, Security Governance, Compliance