资源控制策略 (RCPs) - Amazon Organizations
Amazon Web Services 服务 该支持清单 RCPs的测试效果 RCPs最大大小为 RCPs隶 RCPs 属于组织中的不同级别RCP 对权限的影响不受限制的资源和实体 RCPs
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

资源控制策略 (RCPs)

注意

服务控制策略 (SCPs) 和资源控制策略 (RCPs)

需要限制组织成员账户中 IAM 主体的权限时,请使用 SCP。

需要限制组织账户外部的 IAM 主体请求访问组织成员账户内的资源时,请使用 RCP。

有关更多信息,请参阅了解 SCPs 和 RCPs

资源控制策略 (RCPs) 是一种组织策略,可用于管理组织中的权限。 RCPs 提供对组织中资源的最大可用权限的集中控制。 RCPs 帮助您确保账户中的资源符合组织的访问控制准则。 RCPs 仅在启用了所有功能的组织中可用。 RCPs 如果您的组织仅启用了整合账单功能,则不可用。有关启用的说明 RCPs,请参阅启用策略类型

RCPs 仅凭对组织中的资源授予权限是不够的。RCP 不授予任何权限。RCP 针对各种身份可对组织的资源执行的操作定义权限护栏或设置限制。管理员仍然必须将基于身份的策略附加到 IAM 用户或角色,或者将基于资源的策略附加到您账户中的资源,以实际授予权限。有关更多信息,请参见《IAM 用户指南》中的基于身份的策略和基于资源的策略

有效权限是 RCPs 和服务控制策略 (SCPs) 所允许的权限与基于身份和基于资源的策略所允许的权限之间的逻辑交集。

RCPs 不要影响管理账户中的资源

RCPs 不要影响管理账户中的资源。它们仅影响组织内成员账户中的资源。这也意味着这 RCPs 适用于被指定为授权管理员的成员账户。

主题

Amazon Web Services 服务 该支持清单 RCPs

RCPs 适用于以下操作 Amazon Web Services 服务:

的测试效果 RCPs

Amazon 强烈建议您在未彻底测试该政策对您账户中资源的影响之前,不要将其附加 RCPs 到组织的根目录。首先,您可以附加 RCPs 到单个测试账户,将它们向上移动到层次结构的 OUs 下层,然后根据需要在组织结构中向上移动。确定影响的一种方法是查看 Amazon CloudTrail 日志中是否存在拒绝访问的错误。

最大大小为 RCPs

RCP 中的所有字符都将计入其最大大小。本指南中的示例显示了带有额外空格以提高其可读性的 RCPs 格式化内容。但是,在您的策略大小接近最大大小时,可以删除任何空格(例如,引号之外的空格字符和换行符)来节省空间。

提示

使用可视化编辑器构建您的 RCP。它会自动删除额外的空格。

隶 RCPs 属于组织中的不同级别

您可以 RCPs 直接关联到个人账户或组织根帐户。 OUs有关 RCPs 工作原理的详细说明,请参阅RCP 评估

RCP 对权限的影响

RCPs 是一种 Amazon Identity and Access Management (IAM) 策略。与基于资源的策略关系最为密切。但是,RCP 永远不会授予权限。取而代之 RCPs 的是访问控制,用于指定组织中资源的最大可用权限。有关更多信息,请参阅《IAM 用户指南》中的策略评估逻辑

  • RCPs 适用于其子集的资源 Amazon Web Services 服务。有关更多信息,请参阅 Amazon Web Services 服务 该支持清单 RCPs

  • RCPs 仅影响由关联的组织中的账户管理的资源 RCPs。它们不会影响组织外部账户的资源。例如,假设有一个由组织中的账户 A 拥有的 Amazon S3 存储桶。存储桶策略(一种基于资源的策略)会向来自组织外账户 B 的用户授予访问权限。账户 A 附加了一个 RCP。即使账户 B 的用户进行访问,该 RCP 也适用于账户 A 中的 S3 存储桶。但是,当账户 A 的用户进行访问时,该 RCP 就不适用于账户 B 中的资源。

  • RCP 会限制成员账户中资源的权限。账户中的任何资源都只拥有其上方的每个父级资源允许的那些权限。如果在账户级别以上的任何级别阻止了某权限,则受影响账户中的资源就无法获得该权限,即使资源所有者附加了允许对任何用户进行完全访问的基于资源的策略也是如此。

  • RCPs 适用于作为操作请求的一部分获得授权的资源。这些资源可以在《Service Authorization Reference》中操作表的“资源类型”列中找到。如果在 “资源类型” 列中指定了资源,则应用调用主账户 RCPs 的资源。例如,s3:GetObject 会授权对象资源。每次发出 GetObject 请求时,都会应用适用的 RCP 来确定请求主体是否可以调用 GetObject 操作。适用的 RCP 是指已附加到账户、组织单元(OU)或拥有所访问资源的组织根的 RCP。

  • RCPs 仅影响组织中成员账户中的资源。对管理账户中的资源没有任何影响。这也意味着这 RCPs 适用于被指定为授权管理员的成员账户。有关更多信息,请参阅 管理账户的最佳实践

  • 当主体请求访问已附加 RCP 的账户中的资源(具有适用 RCP 的资源)时,RCP 将包含在策略评估逻辑中,以确定是允许还是拒绝该主体访问。

  • RCPs 影响使用适用 RCP 访问成员账户中资源的委托人的有效权限,无论委托人是否属于同一个组织。这包括根用户。唯一的例外情况是委托人是服务相关角色,因为 RCPs 不适用于服务相关角色发出的呼叫。服务相关角色可以代表您执行必要的操作,并且不受 RCPs限制。 Amazon Web Services 服务

  • 仍必须通过适当的 IAM 权限策略(包括基于身份和基于资源的策略)向用户和角色授予权限。即使适用的 RCP 允许所有服务、所有操作和所有资源,没有任何 IAM 权限策略的用户或角色也不会拥有访问权限。

不受限制的资源和实体 RCPs

不能使用 RCPs 来限制以下内容:

  • 对管理账户中的资源执行的任何操作。

  • RCPs 不影响任何服务相关角色的有效权限。服务相关角色是一种独特的 IAM 角色,直接链接到 Amazon 服务,包括该服务代表您调用其他 Amazon 服务所需的所有权限。服务相关角色的权限不能受限制。 RCPs RCPs 也不会影响 Amazon 服务担任服务相关角色的能力;也就是说,服务相关角色的信任策略也不会受到影响。 RCPs

  • RCPs 不适用Amazon 托管式密钥 于 Amazon Key Management Service。 Amazon 托管式密钥 由一个人代表您创建、管理和使用 Amazon Web Services 服务。您无法更改或管理其权限。

  • RCPs 不要影响以下权限:

    服务 API 未经授权的资源 RCPs
    Amazon Key Management Service

    kms:RetireGrant

    		 RCPs 不要影响kms:RetireGrant权限。有关如何确定 kms:RetireGrant 权限的更多信息,请参阅《Amazon KMS Developer Guide》中的 Retiring and revoking grants