了解管理策略继承
重要
本节中的信息不适用于服务控制策略(SCP),因为 SCP 同时管理允许和拒绝 IAM 操作。尽管 SCP 附加到根、OU 和账户,但在从根到账户直接路径中的每个 OU(包括目标账户本身),允许操作在每个级别的 SCP 中都需要显式 allow
语句。有关 SCP 如何在 Amazon Organizations 层次结构中工作的详细信息,请参阅 SCP 评估。
您可以将某个管理策略附加到组织中的组织实体(组织根、组织部门 (OU) 或账户):
-
当您将某个管理策略附加到组织根时,组织中的所有 OU 和账户都将继承该策略。
-
当您将某个管理策略附加到特定 OU 时,直接位于该 OU 下的账户或任何子 OU 都将继承该策略。
-
当您将某个管理策略附加到特定账户时,它仅影响该账户。
由于您可以将管理策略附加到组织中的多个级别,因此账户可以继承多个策略。
本主题介绍如何将父策略和子策略转换为账户的有效策略。