本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
RCP 评估
注意
本节中的信息不适用于管理策略类型,包括备份策略、标签策略、聊天应用程序政策或人工智能服务退出政策。有关更多信息,请参阅 了解管理策略继承。
由于您可以在 Amazon Organizations 中的不同级别附加多个资源控制策略(RCP),了解如何评估 RCP 可以帮助您编写产生正确结果的 RCP。
使用 RCP 的策略
RCPFullAWSAccess 策略是 Amazon 托管式策略。启用资源控制策略(RCP)后,此策略会自动附加到组织根、每个 OU 和组织中的每个账户。您无法分离此策略。此默认 RCP 允许所有主体和操作访问通过 RCP 评估,这意味着在您开始创建和附加 RCP 之前,所有现有的 IAM 权限仍会继续像以前一样运行。该 Amazon 托管式策略不授予访问权限。
您可以使用 Deny 语句来屏蔽对组织中资源的访问权限。要拒绝特定账户中的资源获得权限,从根到账户直接路径中的每个 OU 的任何 RCP(包括目标账户本身)都可以拒绝该权限。
Deny 语句是实施限制的一种强大方式,应该适用于组织更广泛的部分。例如,您可以附加一项策略来帮助防止组织外部的身份访问您的资源根级别,这对组织中的所有账户均有效。Amazon 强烈建议,在没有全面测试该策略对账户中资源的影响之前,请勿将 RCP 附加到组织的根。有关更多信息,请参阅 的测试效果 RCPs。
在图 1 中,有一个 RCP 附加到生产 OU,它为给定服务指定了显式 Deny 语句。因此,账户 A 和账户 B 都将被拒绝访问该服务,因为附加到组织中任何级别的拒绝策略都会针对其下的所有 OU 和成员账户进行评估。
图 1:生产 OU 中附加了 Deny 语句的组织结构示例及其对账户 A 和账户 B 的影响