了解管理策略继承 - Amazon Organizations
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

了解管理策略继承

重要

本节中的信息适用于服务控制策略(SCP),因为 SCP 同时管理允许和拒绝 IAM 操作。尽管 SCP 附加到根、OU 和账户,但在从根到账户直接路径中的每个 OU(包括目标账户本身),允许操作在每个级别的 SCP 中都需要显式 allow 语句。有关 SCP 如何在 Amazon Organizations 层次结构中工作的详细信息,请参阅 SCP 评估

您可以将某个管理策略附加到组织中的组织实体(组织根、组织部门 (OU) 或账户):

  • 当您将某个管理策略附加到组织根时,组织中的所有 OU 和账户都将继承该策略。

  • 当您将某个管理策略附加到特定 OU 时,直接位于该 OU 下的账户或任何子 OU 都将继承该策略。

  • 当您将某个管理策略附加到特定账户时,它仅影响该账户。

由于您可以将管理策略附加到组织中的多个级别,因此账户可以继承多个策略。

本主题介绍如何将父策略和子策略转换为账户的有效策略。