限制访问Amazon Organizations服务控制策略 - Amazon账户管理
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

限制访问Amazon Organizations服务控制策略

本主题提供的示例展示如何使用服务控制策略 (SCP) 限制组织中账户中的用户和角色可以执行的操作。有关服务控制策略的更多信息,请参阅中的以下主题。Amazon Organizations用户指南

例 示例 1:防止帐户修改自己的备用联系人

以下示例拒绝PutAlternateContactDeleteAlternateContactAPI 操作不会被中的任何成员账户调用单独账户模式. 这可以防止受影响账户中的任何委托人更改自己的备用联系人。

{ "Version": "2012-10-17", "Statement": [ { "Sid": "Statement1", "Effect": "Deny", "Action": [ "account:PutAlternateContact", "account:DeleteAlternateContact" ], "Resource": [ "arn:aws:account::*:account" ] } ] }

例 示例 2:防止任何成员帐户修改组织中任何其他成员账户的备用联系人

下面的示例概括了Resource元素改为 “*”,这意味着它适用于两者独立模式请求和组织模式请求. 这意味着,即使是账户管理的委派管理员帐户,如果 SCP 适用于它,也无法更改组织中任何账户的任何备用联系人。

{ "Version": "2012-10-17", "Statement": [ { "Sid": "Statement1", "Effect": "Deny", "Action": [ "account:PutAlternateContact", "account:DeleteAlternateContact" ], "Resource": [ "*" ] } ] }

例 示例 3:防止 OU 中的成员账户修改自己的备用联系人

以下示例 SCP 包含一个条件,将账户的组织路径与两个 OU 的列表进行比较。这会导致指定 OU 中任何账户中的委托人无法修改自己的备用联系人。

{ "Version": "2012-10-17", "Statement": [ { "Sid": "Statement1", "Effect": "Deny", "Action": "account:PutAlternateContact", "Resource": [ "arn:aws:account::*:account" ], "Condition": { "ForAnyValue:StringLike": { "account:AccountResourceOrgPath": [ "o-aa111bb222/r-a1b2/ou-a1b2-f6g7h111/", "o-aa111bb222/r-a1b2/ou-a1b2-f6g7h222/" ] } } ] }