Jak wykorzystać Service Control Policies (SCP) do ochrony organizacji?

Bezpieczeństwo  w chmurze z AWS

10 minute read
28 Lip 2025

Nowoczesne środowiska chmurowe stoją przed ogromnymi wyzwaniami w zakresie bezpieczeństwa. Coraz bardziej rygorystyczne regulacje, takie jak GDPR, HIPAA czy PCI DSS, stawiają administracjom trudne do spełnienia wymagania. Poleganie wyłącznie na zaufaniu wobec pracowników to ryzykowne podejście — nawet jeden nieprzemyślany ruch lub celowe działanie nieuprawnionego członka zespołu może doprowadzić do poważnego w skutkach incydentu. Amazon Web Services (AWS) wychodzi naprzeciw tym problemom, oferując Service Control Policies (SCP) — mechanizm pozwalający na wprowadzenie dodatkowej warstwy zabezpieczeń, która działa niezależnie od standardowych uprawnień IAM.

Zarządzanie organizacją w AWS

Każda firma funkcjonuje w oparciu o wyraźnie wyodrębnione działy, takie jak IT, marketing, HR czy finanse. Ich zadania i odpowiedzialności znacząco się różnią, dlatego nie powinny korzystać z tych samych zasobów, ani posiadać identycznych uprawnień. Podobny podział należy zachować również w środowisku chmurowym. Brak jasnego rozgraniczenia na role może prowadzić do niekontrolowanego dostępu i zagrożeń bezpieczeństwa.

AWS Organizations to serwis umożliwiający odwzorowanie tej struktury w chmurze poprzez tworzenie jednostek organizacyjnych (OU), które odpowiadają poszczególnym zespołom lub działom.

Pozwala to na logiczne grupowanie kont i zasobów zgodnie z organizacyjnym układem firmy. Jednak samo pogrupowanie nie rozwiązuje problemu właściwego ograniczenia kompetencji — przypisanie odpowiednich uprawnień wymaga zastosowania dodatkowych mechanizmów. Jednym z nich są Service Control Policies (SCP), które pozwalają na precyzyjne definiowanie ograniczeń dostępu na poziomie całej organizacji lub wybranych jednostek.

Czym są Service Control Policies (SCP)?

SCP są jednym z typów polityk dostępnych w AWS Organizations, które działają jak niewidzialna warstwa bezpieczeństwa dla infrastruktury chmurowej. W przeciwieństwie do znanych polityk IAM, które nadają uprawnienia użytkownikom oraz rolom w obrębie wybranego konta AWS, Service Control Policies ograniczają uprawnienia na wyższym poziomie. Określają one maksymalny zakres dostępu dla kont, poszczególnych jednostek organizacyjnych (OU), lub całej organizacji AWS. Ponadto, SCP mają wyższy priorytet niż polityki IAM, co oznacza, że mogą (i będą) one blokować operacje, nawet jeśli IAM na nie zezwala.

Jak to działa w praktyce?

Wyobraźmy sobie, że nasz zespół deweloperski posiada rolę IAM, która zezwala na przeglądanie, uruchamianie, zatrzymywanie i usuwanie instancji EC2. To typowy scenariusz, gdy programiści potrzebują swobody w zarządzaniu swoim środowiskiem developerskim.

Jednak w naszej organizacji AWS obowiązuje polityka SCP, która stanowi absolutny zakaz usuwania jakichkolwiek instancji EC2, aby zapobiec utracie potencjalnie krytycznych zasobów.

IAM
{
"Version": "2012-10-17",
"Statement": [
    {
      "Effect": "Allow",
      "Action": [
      "ec2:DescribeInstances",
      "ec2:StartInstance",
        "ec2:StopInstances",
        "ec2:TerminateInstances"
      ],
      "Resource": "*"
    }
]
}

SCP
{
"Version": "2012-10-17",
"Statement": [
    {
      "Effect": "Deny",
      "Action": [
        "ec2:TerminateInstances"
      ],
      "Resource": "*"
    }
]
}

Gdy deweloper zaloguje się do konsoli AWS i spróbuje usunąć instancję, mimo że jego rola IAM wyraźnie na to zezwala, system zablokuje tę operację i zwróci komunikat informujący o braku uprawnień. To właśnie potęga SCP - są one ostatecznym filtrem bezpieczeństwa, który nadpisuje nawet najbardziej liberalne uprawnienia użytkowników.

Dlaczego warto stosować SCP?

Service Control Policies to nie tylko narzędzie do ograniczania uprawnień, lecz potężny mechanizm umożliwiający świadome i bezpieczne zarządzanie środowiskiem chmurowym w całej organizacji AWS. Odpowiednio napisane i umieszczone polityki przynoszą szereg korzyści – od poprawy bezpieczeństwa, przez kontrolę kosztów, aż po zapewnienie zgodności z wymaganiami regulacyjnymi. SCP pomagają wdrażać dobre praktyki w sposób spójny i przewidywalny, a co za tym idzie – stanowią fundament dobrze zarządzanej przestrzeni chmurowej, niezależnie od skali czy złożoności środowiska.

W wielu branżach, szczególnie w bankowości, konieczne jest spełnienie wymogów regulacyjnych, takich jak PCI DSS, ISO 27001 czy HIPAA. SCP dają możliwość odgórnego wymuszania określonych reguł i zachowań, takich jak zakaz tworzenia zasobów poza określonym regionem, wymóg szyfrowania danych lub konieczność używania uwierzytelniania wieloskładnikowego (MFA). Wszystkie wymogi są egzekwowane automatycznie, więc pracownicy nie muszą martwić się o ich manualne stosowanie – zasady są narzucane bezpośrednio przez system. Dzięki temu organizacja może skutecznie wykazać zgodność podczas audytów, minimalizując ryzyko kar i sankcji. Automatyzacja egzekwowania zasad pozwala również na zwiększenie efektywności pracy, eliminując błędy wynikające z ręcznego nadzorowania polityk bezpieczeństwa.

Brak odpowiednich ograniczeń w środowisku chmurowym daje użytkownikom zbyt dużą swobodę, co często prowadzi do krytycznych incydentów, takich jak usunięcie kluczowych zasobów lub danych. Działania wykonywane bez pełnej świadomości lub pod presją czasu mogą nieumyślnie spowodować poważne problemy operacyjne, narażając organizację na ryzyko przestojów i strat. Ponadto, każde dozwolone w przestrzeni chmurowej działanie może zostać wykorzystane, co stwarza ryzyko wygenerowania nieoczekiwanych, wysokich opłat. Usługi AWS bywają bardzo drogie, a brak kontroli może prowadzić do sytuacji, w której testy lub eksperymenty przekładają się na znaczne koszty, które na koniec miesiąca obciążają budżet firmy. Service Control Policies umożliwiają skuteczne ograniczenie takich ryzyk, blokując nieautoryzowane operacje i kontrolując dostęp do zasobów o wysokich kosztach, co pozwala zachować bezpieczeństwo i przewidywalność wydatków.

Brak spójnych zasad zarządzania zasobami chmurowymi może prowadzić do chaosu i utrudniać kontrolę nad środowiskiem. Service Control Policies umożliwiają ustanowienie jednolitych reguł obowiązujących we wszystkich jednostkach organizacyjnych, co znacząco ułatwia utrzymanie porządku. Dzięki standaryzacji zarządzanie konfiguracjami staje prostsze, a ryzyko błędów wynikających z różnorodnych praktyk jest ograniczone. Spójne polityki nie tylko ułatwiają audyty i raportowanie, ale także pozwalają na szybszą identyfikację oraz reakcję na potencjalne problemy. W rezultacie organizacja zyskuje większą przejrzystość i kontrolę nad infrastrukturą chmurową, co przekłada się na wyższą efektywność pracy.

Zarządzanie środowiskiem chmurowym bywa rozproszone, co utrudnia utrzymanie jednolitej kontroli. Zamiast konfigurować dostęp oddzielnie na każdym koncie, SCP pozwalają egzekwować zasady globalnie – niezależnie od lokalnych ról IAM. Dzięki temu kontrola dostępu jest scentralizowana, a nawet najbardziej uprzywilejowani użytkownicy podlegają ograniczeniom. Centralizacja upraszcza monitorowanie zgodności, koordynację działań, a także modyfikację polityk w miarę rozwoju środowiska.

Brak wyraźnego oddzielenia środowisk i zespołów może prowadzić do zamieszania i niespójnego stosowania zasad bezpieczeństwa. W konsekwencji środowiska produkcyjne, które wymagają najwyższego poziomu ochrony, mogą być narażone na ryzyko, podczas gdy środowiska testowe i deweloperskie bywają nadmiernie ograniczone, co utrudnia swobodę eksperymentowania i szybki rozwój. Service Control Policies przypisane do jednostek organizacyjnych umożliwiają precyzyjne określenie różnych poziomów dostępu – zapewniając restrykcyjne reguły dla środowisk krytycznych oraz większą elastyczność w obszarach rozwoju i testów. Taka izolacja minimalizuje ryzyko incydentów bezpieczeństwa oraz pozwala na bezpieczne przeprowadzanie eksperymentów bez wpływu na działanie kluczowych systemów.

Jak pracować z SCP?

Aby móc korzystać z Service Control Policies, należy najpierw spełnić kilka podstawowych wymagań:

Aktywna organizacja AWS utworzona w ramach AWS Organizations,
Organizacja musi działać w trybie pełnej funkcjonalności,
Funkcja Service Control Policies musi być włączona w ustawieniach organizacji.

^{Fig 1. Widok ustawień organizacji w konsoli AWS Organizations}

Po spełnieniu tych warunków można zacząć projektować i przypisywać polityki SCP do jednostek organizacyjnych (OU) lub kont członkowskich.

Limitacje Service Control Policies

Choć Service Control Policies zapewniają dużą elastyczność w definiowaniu dostępu w ramach AWS Organizations, ich możliwości są ograniczone przez kilka sztywnych limitów. Warto uwzględnić je już na etapie projektowania struktury organizacyjnej oraz planowania polityk, ponieważ mogą bezpośrednio wpłynąć na skalowalność środowiska i sposób zarządzania uprawnieniami.

Maksymalnie 5 polityk SCP przypisanych do jednego elementu organizacji – dotyczy to zarówno kont członkowskich, jednostek organizacyjnych, jak i samej organizacji. Limit ten odnosi się wyłącznie do polityk przypisanych bezpośrednio (nie dotyczy polityk dziedziczonych z wyższych poziomów)

Maksymalna długość jednej polityki SCP to 5 120 znaków – limit ten obejmuje całą zawartość polityki w formacie JSON, w tym spacje, znaki nowej linii oraz tabulatory.

Maksymalna głębokość hierarchii jednostek organizacyjnych to 5 poziomów – liczonych od poziomu organizacji do najniżej położonego OU.

Łączna liczba polityk SCP w organizacji nie może przekroczyć 2 000 – limit obejmuje wszystkie polityki, niezależnie od tego, czy są aktywne, przypisane, czy też nie.

Ograniczenia te nie powinny stanowić problemu, o ile struktura organizacji i polityki są starannie zaplanowane od samego początku. Dobre przygotowanie pozwala efektywnie zarządzać dostępem i utrzymać elastyczność nawet w rozbudowanych środowiskach.

Mechanizm dziedziczenia SCP

Service Control Policies działają w oparciu o mechanizm dziedziczenia. W praktyce oznacza to, że polityki przypisane do wyższych poziomów w hierarchii organizacji mają wpływ na wszystkie podrzędne jednostki i konta. Ostateczny zestaw uprawnień na koncie to wynik zsumowania wszystkich polityk przypisanych na ścieżce od organizacji głównej, przez jednostki organizacyjne, aż do konkretnego konta. Oznacza to, że nawet jeśli polityka na poziomie konta coś zezwala, ale wyższy poziom tego nie dopuszcza, operacja i tak zostanie zablokowana. Skuteczne wykorzystanie dziedziczenia pozwala unikać powielania tych samych polityk na różnych poziomach organizacji, co zwiększa efektywność zarządzania i sprawia, że wymienione wcześniej ograniczenia są mniej uciążliwe, nawet w rozbudowanych środowiskach.

Proces wdrażania SCP w organizacji

Projektując SCP, można przyjąć jedno z dwóch głównych podejść – każde z nich opiera się na innej strategii i pociąga za sobą inne konsekwencje:

Podejście 1: Pełny dostęp i stopniowe ograniczanie
Podejście 2: Brak dostępu i stopniowe jego nadawanie

Podejście 1: Pełny dostęp i stopniowe ograniczanie

Podczas tworzenia jednostek organizacyjnych lub kont w organizacji, AWS automatycznie przypisuje do nich politykę FullAWSAccess, która pozwala na pełen dostęp do wszystkich usług. W tym wariancie polityka ta pozostaje aktywna, a dostęp jest ograniczany stopniowo poprzez dodawanie kolejnych polityk typu Deny – najpierw na poziomie organizacji, następnie na poziomie jednostek organizacyjnych, a w razie potrzeby również bezpośrednio na kontach.

To podejście opiera się na domyślnym zezwoleniu i selektywnym odbieraniu dostępu do wybranych usług, operacji lub regionów. Dzięki temu minimalizuje się ryzyko przypadkowego zablokowania kluczowych funkcji. W AWS dostępnych jest tysiące możliwych akcji w ramach poszczególnych usług — od oczywistych, jak s3:PutObject, po bardzo szczegółowe i rzadko spotykane. Trudno znać je wszystkie, dlatego strategia ograniczania dostępu dopiero wtedy, gdy wiadomo, co dokładnie trzeba zablokować, pozwala uniknąć pomyłek.

Podejście 2: Brak dostępu i stopniowe jego nadawanie

W tym modelu domyślna polityka FullAWSAccess jest usuwana na poziomie organizacji, co oznacza, że na start żadne konto nie ma uprawnień do korzystania z usług AWS. Dostęp jest nadawany stopniowo, poprzez przypisywanie polityk typu Allow — najpierw na poziomie organizacji, następnie jednostek organizacyjnych, a na końcu kont członkowskich.

Ważne jest to, że każda operacja wymaga bezpośredniego zezwolenia — jeśli na którymkolwiek poziomie hierarchii organizacji (organizacja główna, jednostka organizacyjna, konto) brak jest takiego zezwolenia, operacja zostanie zablokowana.

To podejście zapewnia maksymalną kontrolę nad uprawnieniami i bezpieczeństwem opierając się na zasadzie “domyślnie brak dostępu” (”deny by default”), ale wymaga precyzyjnego zarządzania politykami i dobrej znajomości dostępnych usług, aby uniknąć niezamierzonych blokad.

Kryterium	Podejście 1: Pełny dostęp i stopniowe ograniczanie	Podejście 2: Brak dostępu i stopniowe nadawanie
Domyślna polityka	FullAWSAccess pozostaje aktywna	FullAWSAccess usuwana
Strategia	Odbieranie uprawnień (Deny)	Nadawanie uprawnień (Allow)
Ryzyko przypadkowego zablokowania	Niskie – mniej restrykcyjne	Wysokie – wymaga precyzyjnego zarządzania
Kontrola nad dostępem	Dobra, ale mniej precyzyjna	Bardzo wysoka, ale wymaga pełnej znajomości uprawnień
Trudność wdrożenia	Niska – łatwiejsze do szybkiego startu	Bardzo wysoka – wymaga dogłębnej analizy i planowania

^{Tab 1: porównanie wdrażania SCP w organizacji według wybranych kryteriów}

Podejście z pełnym dostępem i stopniowym ograniczaniem jest prostsze do wdrożenia i zmniejsza ryzyko przerw w działaniu, natomiast model z brakiem dostępu i stopniowym nadawaniem uprawnień zapewnia większą kontrolę i bezpieczeństwo, choć wymaga dokładniejszego planowania i lepszego zrozumienia potrzeb organizacji.

Ostateczny wybór zależy od doświadczenia zespołu oraz tego, czy ważniejsza jest elastyczność, czy ścisłe przestrzeganie zasad bezpieczeństwa.

Konkluzja

Service Control Policies to fundament bezpieczeństwa i zarządzania dostępem w AWS. Bez nich brak kontroli na poziomie całej organizacji prowadzi do incydentów bezpieczeństwa, wzrostu kosztów oraz ryzyka niespełnienia wymogów compliance. Centralne zarządzanie politykami za pomocą SCP pozwala zachować pełną kontrolę nad środowiskiem i minimalizuje ryzyko nieautoryzowanych działań. To kluczowe narzędzie do ochrony organizacji przed konsekwencjami niekontrolowanego dostępu oraz do utrzymania porządku i bezpieczeństwa.