本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
了解管理策略继承
注意
此部分中的信息不适用于 SCP,因为 SCP 同时管理允许和拒绝 IAM 操作。尽管 SCP 附加到根、OU 和账户,但在从根到账户直接路径中的每个 OU(包括目标账户本身),允许操作在每个级别的 SCP 中都需要显式 allow
语句。有关 SCP 如何在 Amazon Organizations 层次结构中工作的详细信息,请参阅 SCP 评估。
您可以将某个管理策略附加到组织中的组织实体(组织根、组织部门 (OU) 或账户):
-
当您将某个管理策略附加到组织根时,组织中的所有 OU 和账户都将继承该策略。
-
当您将某个管理策略附加到特定 OU 时,直接位于该 OU 下的账户或任何子 OU 都将继承该策略。
-
当您将某个管理策略附加到特定账户时,它仅影响该账户。
由于您可以将管理策略附加到组织中的多个级别,因此账户可以继承多个策略。
此部分介绍如何将父策略和子策略转换为账户的有效策略。