本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# 中的授权策略 Amazon Organizations
中的授权策略 Amazon Organizations 使您能够集中配置和管理成员账户中委托人和资源的访问权限。这些策略如何影响您应用这些策略的组织单位 (OUs) 和账户取决于您所应用的授权策略的类型。
中有两种不同类型的授权策略 Amazon Organizations:服务控制策略 (SCPs) 和资源控制策略 (RCPs)。
**Topics**
+ [SCPs 和之间的区别 RCPs](#understanding-scps-and-rcps)
+ [使用 SCPs 和 RCPs](#when-to-use-scps-and-rcps)
+ [服务控制策略](orgs_manage_policies_scps.md)
+ [资源控制策略](orgs_manage_policies_rcps.md)
## SCPs 和之间的区别 RCPs
SCPs 是以校长为中心的控件。 SCPs 针对成员账户中委托人可用的最大权限创建权限护栏或设置限制。如果您想要对组织中的主体集中强制执行一致的访问控制,可以使用 SCP。这可包括指定您的 IAM 用户和 IAM 角色可以访问哪些服务和资源,或指定可以发出请求的条件(例如,来自特定区域或网络)。
RCPs 是以资源为中心的控制措施。 RCPs 为成员账户中的资源的最大可用权限创建权限护栏或设置限制。如果您想要对组织中的资源集中强制执行一致的访问控制,可以使用 RCP。这可以限制对资源的访问权限,这样只有属于您组织的身份才能访问这些资源,或者指定组织外部的身份在何种条件下可以访问您的资源。
有些控件可以通过 SCPs 和以类似的方式应用 RCPs。例如,您可能希望[阻止用户将未加密的对象上传到 S3](https://docs.amazonaws.cn/organizations/latest/userguide/orgs_manage_policies_scps_examples_s3.html#example-s3-1),这可以编写为一个 SCP,强制控制主体可以在 S3 存储桶上执行的操作。此控制措施也可以编写为一个 RCP,要求任何主体将对象上传到您的 S3 存储桶时都需要加密。如果您的存储桶允许组织外部的主体(例如第三方供应商)将对象上传到您的 S3 存储桶,则第二种选项可能是更好的选择。但是,有些控制措施只能在 RCP 中实现,而有些控制措施则只能在 SCP 中实现。有关更多信息,请参阅 [和的一般用 SCPs 例 RCPs](#scps-rcps-general-use-cases)。
## 使用 SCPs 和 RCPs
SCPs 并且 RCPs 是独立的控制机构。您可以选择仅启用 SCPs 或 RCPs,或者同时使用这两种策略类型。通过同时使用 SCPs 和 RCPs,您可以[围绕您的身份和资源创建数据](https://www.amazonaws.cn/identity/data-perimeters-on-aws/)边界。
SCPs 提供控制您的身份可以访问哪些资源的功能。例如,您可能希望允许您的身份访问 Amazon 组织中的资源。但是,您可能想要阻止您的身份访问组织外部的资源。您可以使用强制执行此控制 SCPs。
RCPs 提供控制哪些身份可以访问您的资源的功能。例如,您可能希望允许组织中的身份能够访问组织中的资源。但是,您可能想要阻止组织外部的身份访问您的资源。您可以使用强制执行此控制 RCPs。 RCPs 提供影响组织外部委托人访问您的资源的有效权限的能力。 SCPs 只能影响 Amazon 组织内委托人的有效权限。
### 和的一般用 SCPs 例 RCPs
下表详细介绍了使用 SCP 的一般用例以及 RCPs
****
| | **影响** |
| --- |--- |
| **使用案例** | **策略类型** | **你的身份** | **外部身份** | **您的资源** | **外部资源(请求目标)** |
| --- |--- |--- |--- |--- |--- |
| 限制您的身份可以使用的服务或操作 | SCP | X | | X | X |
| 限制您的身份可以访问哪些资源 | SCP | X | | X | X |
| 强制要求您的身份如何访问资源 | SCP | X | | X | X |
| 限制哪些身份可以访问您的资源 | RCP | X | X | X | |
| 保护组织中的敏感资源 | RCP | X | X | X | |
| 强制要求如何访问您的资源 | RCP | X | X | X | |