资源控制策略 (RCPs) - Amazon Organizations
Amazon Web Services 服务 该支持清单 RCPs的测试效果 RCPs最大大小为 RCPs隶 RCPs 属于组织中的不同级别RCP 对权限的影响不受限制的资源和实体 RCPs
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

资源控制策略 (RCPs)

资源控制策略 (RCPs) 是一种组织策略,可用于管理组织中的权限。 RCPs 提供对组织中资源的最大可用权限的集中控制。 RCPs 帮助您确保账户中的资源符合组织的访问控制准则。 RCPs 仅在启用了所有功能的组织中可用。 RCPs 如果您的组织仅启用了整合账单功能,则不可用。有关启用的说明 RCPs,请参阅启用策略类型

RCPs 仅凭对组织中的资源授予权限是不够的。RCP 不授予任何权限。RCP 为身份可以对组织中的资源采取的操作定义权限护栏或设置限制。管理员仍必须向 IAM 用户或角色附加基于身份的策略,或者将基于资源的策略附加到您账户中的资源才能实际授予权限。有关更多信息,请参见《IAM 用户指南》中的基于身份的策略和基于资源的策略

有效权限是 RCPs 和服务控制策略 (SCPs) 所允许的权限与基于身份和基于资源的策略所允许的权限之间的逻辑交集。

RCPs 不要影响管理账户中的资源

RCPs 不要影响管理账户中的资源。它们仅影响组织内成员账户中的资源。这也意味着这 RCPs 适用于被指定为授权管理员的成员账户。

主题

Amazon Web Services 服务 该支持清单 RCPs

RCPs 适用于以下操作 Amazon Web Services 服务:

的测试效果 RCPs

Amazon 强烈建议您在未彻底测试该政策对您账户中资源的影响之前,不要将其附加 RCPs 到组织的根目录。首先,您可以附加 RCPs 到单个测试账户,将它们向上移动到层次结构的 OUs 下层,然后根据需要在组织结构中向上移动。确定影响的一种方法是查看 Amazon CloudTrail 日志中是否存在拒绝访问的错误。

最大大小为 RCPs

你的 RCP 中的所有角色都将计入其最大大小。本指南中的示例显示了带有额外空格以提高其可读性的 RCPs 格式化内容。但是,在您的策略大小接近最大大小时,可以删除任何空格(例如,引号之外的空格字符和换行符)来节省空间。

提示

使用可视化编辑器来构建 RCP。它会自动删除额外的空格。

隶 RCPs 属于组织中的不同级别

您可以 RCPs 直接关联到个人账户或组织根帐户。 OUs有关 RCPs 工作原理的详细说明,请参阅RCP 评估

RCP 对权限的影响

RCPs 是一种 Amazon Identity and Access Management (IAM) 策略。它们与基于资源的政策关系最为密切。但是,RCP 从不授予权限。取而代之 RCPs 的是访问控制,用于指定组织中资源的最大可用权限。有关更多信息,请参阅《 IAM 用户指南》中的策略评估逻辑

  • RCPs 适用于其子集的资源 Amazon Web Services 服务。有关更多信息,请参阅 Amazon Web Services 服务 该支持清单 RCPs

  • RCPs 仅影响由关联的组织中的账户管理的资源 RCPs。它们不会影响来自组织外部账户的资源。例如,假设组织中的账户 A 拥有的 Amazon S3 存储桶。存储桶策略(基于资源的策略)向组织外部账户 B 的用户授予访问权限。账户 A 已绑定 RCP。即使账户 B 的用户访问该存储桶,该 RCP 也适用于账户 A 中的 S3 存储桶。但是,当账户 A 中的用户访问时,该 RCP 不适用于账户 B 中的资源。

  • RCP 限制成员账户中资源的权限。账户中的任何资源都只能拥有该账户上每个家长所允许的权限。如果某个权限在账户以上的任何级别被阻止,则受影响账户中的资源没有该权限,即使资源所有者附加了允许任何用户完全访问权限的基于资源的策略。

  • RCPs 适用于作为操作请求的一部分获得授权的资源。这些资源可以在《服务授权参考》的 “操作” 表的 “资源类型” 列中找到。如果在 “资源类型” 列中指定了资源,则应用调用主账户 RCPs 的资源。例如,对对象资源s3:GetObject进行授权。每当GetObject提出请求时,都将适用适用的 RCP 来确定提出请求的委托人是否可以调用该GetObject操作。适用的 RCP 是指已附加到账户、组织单位 (OU) 或拥有所访问资源的组织根目录的 RCP。

  • RCPs 仅影响组织中成员账户中的资源。它们对管理账户中的资源没有影响。这也意味着这 RCPs 适用于被指定为授权管理员的成员账户。有关更多信息,请参阅 管理账户的最佳实践

  • 当委托人请求访问已连接 RCP(带有适用 RCP 的资源)的账户中的资源时,RCP 将包含在策略评估逻辑中,以确定是允许还是拒绝委托人访问。

  • RCPs 影响使用适用 RCP 访问成员账户中资源的委托人的有效权限,无论委托人是否属于同一个组织。这包括根用户。唯一的例外情况是委托人是服务相关角色,因为 RCPs 不适用于服务相关角色发出的呼叫。服务相关角色可以代表您执行必要的操作,并且不受 RCPs限制。 Amazon Web Services 服务

  • 仍必须向用户和角色授予相应的 IAM 权限策略(包括基于身份和基于资源的策略)的权限。没有任何 IAM 权限策略的用户或角色没有访问权限,即使适用的 RCP 允许所有服务、所有操作和所有资源。

不受限制的资源和实体 RCPs

不能使用 RCPs 来限制以下内容:

  • 对管理账户中的资源的任何操作。

  • RCPs 不影响任何服务相关角色的有效权限。服务相关角色是一种独特的 IAM 角色,它直接链接到 Amazon 服务,包括该服务代表您调用其他 Amazon 服务所需的所有权限。服务相关角色的权限不能受限制。 RCPs RCPs 也不会影响 Amazon 服务担任服务相关角色的能力;也就是说,服务相关角色的信任策略也不会受到影响。 RCPs

  • RCPs 不适用Amazon 托管式密钥 于 Amazon Key Management Service。 Amazon 托管式密钥 由一个人代表您创建、管理和使用 Amazon Web Services 服务。您无法更改或管理他们的权限。

  • RCPs 不要影响以下权限:

    服务 API 未经授权的资源 RCPs
    Amazon Key Management Service

    kms:RetireGrant

    		 RCPs 不要影响kms:RetireGrant权限。有关如何确定权限的更多信息,请参阅《Amazon KMS 开发者指南》中的停用和撤销授权。kms:RetireGrant