资源控制策略 (RCPs) - Amazon Organizations
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

资源控制策略 (RCPs)

资源控制策略 (RCPs) 是一种组织策略,可用于管理组织中的权限。 RCPs提供对组织中资源的最大可用权限的集中控制。 RCPs帮助您确保账户中的资源符合组织的访问控制准则。 RCPs仅在启用了所有功能的组织中可用。 RCPs如果您的组织仅启用了整合账单功能,则不可用。有关启用 RCPs 的说明,请参阅启用策略类型

RCPs仅凭对组织中的资源授予权限是不够的。不授予任何权限RCP。对身份可以对组织中的资源采取的操作RCP定义权限护栏或设置限制。管理员仍必须将基于身份的策略附加到IAM用户或角色,或者将基于资源的策略附加到您账户中的资源才能实际授予权限。有关更多信息,请参阅《用户指南》中的基于身份的策略和基于资源的策略。IAM

有效权限是RCPs和服务控制策略 (SCPs) 所允许的权限与基于身份和基于资源的策略所允许的权限之间的逻辑交集。

重要

RCPs不要影响管理账户中的资源。它们仅影响组织内成员账户中的资源。但是,这也包括被指定为授权管理员的成员账户。

Amazon Web Services 服务 该支持清单 RCPs

RCPs适用于以下资源 Amazon Web Services 服务:

的测试效果 RCPs

Amazon 强烈建议您在未彻底测试该政策对您账户中资源的影响之前,不要将其附加RCPs到组织的根目录。首先,您可以附加RCPs到单个测试账户,将它们向上移动到层次结构的OUs下层,然后根据需要在组织结构中向上移动。确定影响的一种方法是查看 Amazon CloudTrail 日志中是否存在拒绝访问的错误。

最大大小为 RCPs

你中的所有字符都按其最大大小进行RCP计数。本指南中的示例显示了带有额外空格以提高其可读性的RCPs格式化内容。但是,在您的策略大小接近最大大小时,可以删除任何空格(例如,引号之外的空格字符和换行符)来节省空间。

提示

使用可视化编辑器来构建RCP. 它会自动删除额外的空格。

隶RCPs属于组织中的不同级别

您可以RCPs直接关联到个人账户或组织根帐户。OUs有关RCPs工作原理的详细说明,请参阅RCP评估

RCP对权限的影响

RCPs是一种 Amazon Identity and Access Management (IAM) 策略。它们与基于资源的政策关系最为密切。但是,RCP从不授予权限。取而代之RCPs的是访问控制,用于指定组织中资源的最大可用权限。有关更多信息,请参阅《IAM 用户指南》中的策略评估逻辑

  • RCPs适用于其子集的资源 Amazon Web Services 服务。有关更多信息,请参阅 Amazon Web Services 服务 该支持清单 RCPs

  • RCPs仅影响由关联的组织中的账户管理的资源RCPs。它们不会影响来自组织外部账户的资源。例如,假设组织中的账户 A 拥有的 Amazon S3 存储桶。存储桶策略(基于资源的策略)向组织外部账户 B 的用户授予访问权限。账户 A 已RCP附加。这RCP适用于账户 A 中的 S3 存储桶,即使账户 B 中的用户访问也是如此。但是,当账户 A 中的用户访问时,这RCP不适用于账户 B 中的资源。

  • RCP限制成员账户中资源的权限。账户中的任何资源都只能拥有该账户上每个家长所允许的权限。如果某个权限在账户以上的任何级别被阻止,则受影响账户中的资源没有该权限,即使资源所有者附加了允许任何用户完全访问权限的基于资源的策略。

  • RCPs适用于作为操作请求的一部分获得授权的资源。这些资源可以在《服务授权参考》的 “操作” 表的 “资源类型” 列中找到。如果在 “资源类型” 列中未指定任何资源,则应用调用主账户RCPs的资源。例如,s3:GetObject授权对象资源。每当GetObject提出请求时,都RCP将适用一个适用条款来确定提出请求的委托人是否可以调用该GetObject操作。适用的RCPRCP是指已附加到帐户、组织单位 (OU) 或拥有所访问资源的组织根目录的。

  • RCPs仅影响组织中成员账户中的资源。它们对管理账户中的资源没有影响。但是,这也包括被指定为授权管理员的成员账户。有关更多信息,请参阅 管理账户的最佳实践

  • 当委托人请求访问已关联的账户RCP(带有适用的资源RCP)中的资源时,策略评估逻辑中将包含该资源,以确定是允许还是拒绝委托人访问。RCP

  • RCPs无论委托人是否属于同一个组织RCP,都会影响委托人尝试使用适用的成员账户访问资源的有效权限。这包括根用户。唯一的例外情况是委托人是服务相关角色,因为RCPs不适用于服务相关角色发出的呼叫。服务相关角色可以代表您执行必要的操作,并且不受RCPs限制。 Amazon Web Services 服务

  • 用户和角色仍必须通过适当的IAM权限策略获得权限,包括基于身份的策略和基于资源的策略。没有任何IAM权限策略的用户或角色没有访问权限,即使适用的权限策略RCP允许所有服务、所有操作和所有资源。

不受限制的资源和实体 RCPs

不能使用RCPs来限制以下内容:

  • 对管理账户中的资源的任何操作。

  • RCPs不影响任何服务相关角色的有效权限。服务相关角色是一种独特的IAM角色类型,直接链接到 Amazon 服务,包括该服务代表您调用其他 Amazon 服务所需的所有权限。服务相关角色的权限不能受限制。RCPs RCPs也不会影响 Amazon 服务担任服务相关角色的能力;也就是说,服务相关角色的信任策略也不会受到影响。RCPs

  • RCPs不适用Amazon 托管式密钥 于 Amazon Key Management Service。 Amazon 托管式密钥 由代表您创建、管理和使用 Amazon Web Services 服务。您无法更改或管理他们的权限。

  • RCPs不要影响以下权限:

    服务 API 未经授权的资源 RCPs
    Amazon Key Management Service

    kms:RetireGrant

    RCPs不要影响kms:RetireGrant权限。有关如何确定权限的更多信息,请参阅《Amazon KMS 开发者指南》中的停用和撤销授权。kms:RetireGrant