本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
中的授权策略 Amazon Organizations
中的授权策略 Amazon Organizations 使您能够集中配置和管理成员账户中委托人和资源的访问权限。这些策略如何影响您应用这些策略的组织单位 (OUs) 和账户取决于您所应用的授权策略的类型。
中有两种不同类型的授权策略 Amazon Organizations:服务控制策略 (SCPs) 和资源控制策略 (RCPs)。
SCPs与RCPs的区别
SCPs是以校长为中心的控件。 SCPs针对成员账户中委托人可用的最大权限创建权限护栏或设置限制。SCP当你想对组织中的委托人集中实施一致的访问控制时,你可以使用。这可能包括指定您的IAM用户和IAM角色可以访问哪些服务,他们可以访问哪些资源,或者他们可以在什么条件下提出请求(例如,来自特定区域或网络)。
RCPs是以资源为中心的控制措施。 RCPs为成员账户中的资源的最大可用权限创建权限护栏或设置限制。RCP当你想对组织中的资源集中实施一致的访问控制时,你可以使用。这可以限制对您的资源的访问权限,使它们只能由属于您的组织的身份进行访问,或者指定组织外部身份可以访问您的资源的条件。
有些控件可以通过SCPs和以类似的方式应用RCPs。例如,您可能希望阻止用户将未加密的对象上传到 S3,这些对象可以写成,SCP以强制控制您的委托人可以对您的 S3 存储桶执行的操作。当任何委托人将对象上传RCP到您的 S3 存储桶时,也可以将此控件写成要求加密。如果您的存储桶允许组织外部的委托人(例如第三方供应商)将对象上传到您的 S3 存储桶,则第二种选择可能是首选。但是,有些控件只能在中实现RCP,而有些控件只能在中实现SCP。有关更多信息,请参阅 和的一般用SCPs例 RCPs。
使用 SCPs 和 RCPs
SCPs并且RCPs是独立的控制机构。您可以选择仅启用SCPs或RCPs,或者同时使用这两种策略类型。通过同时使用SCPs和RCPs,您可以围绕您的身份和资源创建数据
SCPs提供控制您的身份可以访问哪些资源的功能。例如,您可能希望允许您的身份访问 Amazon 组织中的资源。但是,您可能需要防止自己的身份访问组织外部的资源。您可以使用强制执行此控制SCPs。
RCPs提供控制哪些身份可以访问您的资源的功能。例如,您可能希望允许组织中的身份访问组织中的资源。但是,您可能需要防止组织外部的身份访问您的资源。您可以使用强制执行此控制RCPs。 RCPs提供影响组织外部委托人访问您的资源的有效权限的能力。 SCPs只能影响 Amazon 组织内委托人的有效权限。
和的一般用SCPs例 RCPs
下表详细介绍了使用SCP和的一般用例 RCPs
影响 | |||||
---|---|---|---|---|---|
使用案例 | 策略类型 | 你的身份 | 外部身份 | 你的资源 | 外部资源(请求的目标) |
限制您的身份可以使用的服务或操作 | SCP | X 形 | X 形 | X 形 | |
限制您的身份可以访问哪些资源 | SCP | X 形 | X 形 | X 形 | |
强制要求您的身份如何访问资源 | SCP | X 形 | X 形 | X 形 | |
限制哪些身份可以访问您的资源 | RCP | X 形 | X 形 | X 形 | |
保护组织中的敏感资源 | RCP | X 形 | X 形 | X 形 | |
强制要求如何访问您的资源 | RCP | X 形 | X 形 | X 形 |