本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
Amazon Organizations 中的授权策略
借助 Amazon Organizations 中的授权策略,您能够集中配置和管理成员账户中主体和资源的访问权限。这些策略对您所应用的组织单元(OU)和账户产生何种影响,取决于您应用的授权策略类型。
Amazon Organizations 中存在两种不同类型的授权策略:服务控制策略(SCP)和资源控制策略(RCP)。
SCP 和 RCP 之间的差异
SCP 是以主体为中心的控制措施。SCP 针对成员账户中主体可用的最大权限创建权限护栏或设置限制。如果您想要对组织中的主体集中强制执行一致的访问控制,可以使用 SCP。这可包括指定您的 IAM 用户和 IAM 角色可以访问哪些服务和资源,或指定可以发出请求的条件(例如,来自特定区域或网络)。
RCP 是以资源为中心的控制措施。RCP 针对成员账户中资源可用的最大权限创建权限护栏或设置限制。如果您想要对组织中的资源集中强制执行一致的访问控制,可以使用 RCP。这可以限制对资源的访问权限,这样只有属于您组织的身份才能访问这些资源,或者指定组织外部的身份在何种条件下可以访问您的资源。
可以通过 SCP 和 RCP 以类似的方式应用某些控制措施。例如,您可能希望阻止用户将未加密的对象上传到 S3,这可以编写为一个 SCP,强制控制主体可以在 S3 存储桶上执行的操作。此控制措施也可以编写为一个 RCP,要求任何主体将对象上传到您的 S3 存储桶时都需要加密。如果您的存储桶允许组织外部的主体(例如第三方供应商)将对象上传到您的 S3 存储桶,则第二种选项可能是更好的选择。但是,有些控制措施只能在 RCP 中实现,而有些控制措施则只能在 SCP 中实现。有关更多信息,请参阅 SCP 和 RCP 的一般使用案例。
使用 SCP 和 RCP
SCP 和 RCP 是独立的控制措施。您可以选择仅启用 SCP 或 RCP,也可以同时使用这两种策略类型。同时使用 SCP 和 RCP,可以围绕您的身份和资源创建数据边界
SCP 能够控制您的身份可以访问哪些资源。例如,您可能希望允许您的身份访问 Amazon 组织中的资源。但是,您可能想要阻止您的身份访问组织外部的资源。您可以使用 SCP 强制执行此控制措施。
RCP 能够控制哪些身份可以访问您的资源。例如,您可能希望允许组织中的身份能够访问组织中的资源。但是,您可能想要阻止组织外部的身份访问您的资源。您可以使用 RCP 强制执行此控制措施。RCP 能够影响组织外部正在访问您资源的主体的有效权限。SCP 只能影响 Amazon 组织内主体的有效权限。
SCP 和 RCP 的一般使用案例
下表详细介绍了使用 SCP 和 RCP 的一般使用案例
| 影响 | |||||
|---|---|---|---|---|---|
| 应用场景 | 策略类型 | 您的标识 | 外部身份 | 您的资源 | 外部资源(请求目标) |
| Restrict which services or actions your identities can use | SCP | X | X | X | |
| Restrict which resources your identities can access | SCP | X | X | X | |
| Enforce requirements on how your identities can access resources | SCP | X | X | X | |
| Restrict which identities can access your resources | RCP | X | X | X | |
| Protect sensitive resources in your organization | RCP | X | X | X | |
| Enforce requirements on how your resources can be accessed | RCP | X | X | X | |