Service Control Policies (SCPs)

Web Development - আমাজন ওয়েব সার্ভিস (Amazon Web Services) - Advanced Security এবং Governance |
3
3

Service Control Policies (SCPs) হল AWS Organizations এর একটি ক্ষমতা, যা অ্যাকাউন্ট বা অ্যাকাউন্ট গ্রুপে (অথবা Organizational Units, OUs) AWS পরিষেবাগুলোর ব্যবহারের অনুমতি এবং নিষেধাজ্ঞা আরোপ করতে ব্যবহৃত হয়। SCPs একটি নিরাপত্তা পলিসি হিসেবে কাজ করে যা AWS Organizations এ অন্তর্ভুক্ত সকল অ্যাকাউন্টের উপর কার্যকর। এটি আপনাকে প্রতিষ্ঠানের নিরাপত্তা এবং অ্যাক্সেস কন্ট্রোল বৃদ্ধি করতে সহায়ক হয়।

SCPs আপনাকে অ্যাকাউন্টগুলিতে অনুমোদিত পরিষেবাগুলোর ব্যবহারের স্তর নিয়ন্ত্রণ করতে সক্ষম করে, যাতে আপনি অ্যাকাউন্টের ভেতরের ব্যবহারকারীদের জন্য নির্দিষ্ট AWS পরিষেবা সীমাবদ্ধ করতে পারেন।


SCPs এর মূল বৈশিষ্ট্যসমূহ

  1. এমাজন ওয়েব সার্ভিসের অ্যাক্সেস নিয়ন্ত্রণ:
    • SCPs ব্যবহার করে আপনি প্রতিষ্ঠানের এক বা একাধিক অ্যাকাউন্টে নির্দিষ্ট AWS পরিষেবার অ্যাক্সেস কনট্রোল করতে পারেন। এটি অ্যাকাউন্ট বা Organizational Unit-এর উপর নির্দিষ্ট পরিষেবাগুলি নিষিদ্ধ বা অনুমোদিত করতে সহায়ক।
  2. প্রতিষ্ঠানের পলিসি কনফিগারেশন:
    • একটি প্রতিষ্ঠান (AWS Organization) এর পলিসি তৈরি এবং নিয়ন্ত্রণ করতে SCPs ব্যবহৃত হয়। আপনি কোনও একক অ্যাকাউন্ট, Organizational Unit বা গোটা প্রতিষ্ঠানে (Organization) একটি নির্দিষ্ট সেবা নিষিদ্ধ বা অনুমোদিত করতে পারেন।
  3. রুট অ্যাকাউন্টের নিরাপত্তা:
    • SCPs সর্বোচ্চ অ্যাকাউন্ট পর্যায়ে (যেমন root বা মাস্টার অ্যাকাউন্ট) প্রয়োগ হয়, তবে SCPs প্রয়োগের মাধ্যমে আপনি অন্য অ্যাকাউন্টগুলিতে কিছু সেবা নিষিদ্ধ করতে পারেন, যেমন ভুলবশত root অ্যাকাউন্ট থেকে গুরুত্বপূর্ণ সেবা বন্ধ করা।
  4. সেন্ডিং এবং রিসিভিং API কলস:
    • SCPs আপনাকে API কলগুলো অনুমোদিত করার বা নিষিদ্ধ করার সক্ষমতা প্রদান করে। যেটি বিশেষভাবে গুরুত্বপূর্ণ যখন আপনি সংস্থার বিভিন্ন অ্যাকাউন্টের মধ্যে নিরাপদ অ্যাক্সেস ও কনফিগারেশন মান বজায় রাখতে চান।

SCPs কিভাবে কাজ করে?

  • SCPs-এর প্রভাব: SCPs কোনও নির্দিষ্ট অ্যাকাউন্টে পরিষেবা ব্যবহারের সীমাবদ্ধতা আরোপ করে, তবে এটি AWS IAM (Identity and Access Management) পলিসির মতো কাজ করে না। SCPs কোনও একক ব্যবহারকারীর অনুমতিতে পরিবর্তন করবে না, তবে Organizational Units (OUs) এবং AWS অ্যাকাউন্ট-এর উপর কার্যকর হবে।
  • ইনহেরিটেন্স: যখন একটি SCP মূল Organizational Unit বা AWS অ্যাকাউন্টে প্রয়োগ করা হয়, তখন এটি সেই অ্যাকাউন্টের বা OUs-এর অধীন সব সাবঅ্যাকাউন্টে বা সাব-OU-তে প্রয়োগ হবে। SCP গুলি ইনহেরিটেড, অর্থাৎ একটি পলিসি যে কোনো অ্যাকাউন্টের মাধ্যমে প্রভাবিত হতে পারে যেটি সেই অ্যাকাউন্টের আওতায়।
  • Allow and Deny: SCPs একটি "Allow" (অনুমোদিত) বা "Deny" (নিষিদ্ধ) পলিসি নির্ধারণ করে। "Deny" পলিসি সর্বোচ্চ প্রাধান্য পায়, অর্থাৎ আপনি যে পরিষেবাটি নিষিদ্ধ করেছেন, সেটি সবসময় নিষিদ্ধ থাকবে।
  • Root Permission: একবার SCP কার্যকর হলে, Root অ্যাকাউন্টের জন্যও এই পলিসি প্রযোজ্য হবে, যাতে সংগঠনটির প্রশাসকরা নিষিদ্ধ সেবা অ্যাক্সেস করতে না পারেন।

SCPs এর উদাহরণ

১. নির্দিষ্ট অ্যাকাউন্টের জন্য S3 ব্যবহার নিষিদ্ধ করা

একটি SCP তৈরি করতে পারেন যাতে কিছু অ্যাকাউন্টে Amazon S3 ব্যবহারের অনুমতি নেই। উদাহরণস্বরূপ, নিম্নলিখিত SCP S3 এর জন্য অ্যাক্সেস নিষিদ্ধ করবে:

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Deny",
      "Action": "s3:*",
      "Resource": "*"
    }
  ]
}

এটি নিশ্চিত করবে যে, এই SCP প্রয়োগ করা অ্যাকাউন্টগুলির মাধ্যমে S3 এর কোনও অ্যাকশনই কার্যকর হবে না।


২. শুধু নির্দিষ্ট পরিষেবার অ্যাক্সেস অনুমোদিত করা

আপনি যদি নিশ্চিত করতে চান যে একটি অ্যাকাউন্ট শুধুমাত্র কিছু নির্দিষ্ট AWS পরিষেবা অ্যাক্সেস করতে পারে, তাহলে SCP এর মাধ্যমে সেই পরিষেবাগুলির অনুমোদন দেওয়া যেতে পারে। উদাহরণ:

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "ec2:*",
        "s3:*"
      ],
      "Resource": "*"
    },
    {
      "Effect": "Deny",
      "Action": "*",
      "Resource": "*"
    }
  ]
}

এটি অ্যাকাউন্টগুলিকে শুধুমাত্র EC2 এবং S3 অ্যাক্সেস করতে দেবে এবং অন্য কোনও সেবা অ্যাক্সেস নিষিদ্ধ করবে।


SCPs এবং IAM পলিসি মধ্যে পার্থক্য

বৈশিষ্ট্যSCP (Service Control Policy)IAM Policy
প্রভাবঅ্যাকাউন্ট এবং Organizational Unit (OU) এর উপর প্রভাব ফেলেএকক ব্যবহারকারী, গ্রুপ বা রোলের উপর প্রভাব ফেলে
বিন্যাসJSON পলিসি যা অনুমতি এবং নিষেধাজ্ঞা নির্ধারণ করেJSON পলিসি যা IAM রোল বা ব্যবহারকারীর জন্য অনুমতি নির্ধারণ করে
প্রাধান্যDeny পলিসি Always Override প্রাধান্য পায়Allow পলিসি প্রাধান্য পায়, কিন্তু Deny পলিসি রুল অগ্রাধিকার পায়
ব্যবহারকারী বা রোলের উপর প্রভাবঅ্যাকাউন্ট এবং OUs-এর উপর প্রভাবএকক ব্যবহারকারী বা রোলের উপর প্রভাব

সারাংশ

Service Control Policies (SCPs) AWS Organizations-এর একটি গুরুত্বপূর্ণ অংশ, যা অ্যাকাউন্ট এবং Organizational Unit (OU)-এর উপর অ্যাক্সেস নিয়ন্ত্রণ এবং নিরাপত্তা নিশ্চিত করতে ব্যবহৃত হয়। SCPs ব্যবহার করে আপনি নির্দিষ্ট পরিষেবার অ্যাক্সেস অনুমোদিত বা নিষিদ্ধ করতে পারেন, যেটি পুরো প্রতিষ্ঠান বা নির্দিষ্ট অ্যাকাউন্টের জন্য কার্যকর হবে। SCPs আপনাকে Least Privilege নীতি অনুসরণ করতে এবং নিরাপত্তার দৃষ্টিকোণ থেকে সঠিক অ্যাক্সেস কন্ট্রোল পরিচালনা করতে সহায়তা করে।

Content added By
Promotion