本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 资源控制策略示例
<a name="orgs_manage_policies_rcps_examples"></a>

本主题中显示的[资源控制策略示例 (RCPs)](orgs_manage_policies_rcps.md) 仅供参考。

**在使用这些示例之前**  
在组织 RCPs 中使用这些示例之前，请考虑以下几点：  
[资源控制策略 (RCPs)](https://docs.amazonaws.cn/organizations/latest/userguide/orgs_manage_policies_rcps.html) 旨在用作粗粒度的预防性控制，它们不授予访问权限。您仍必须将[基于身份或基于资源的策略](https://docs.amazonaws.cn/IAM/latest/UserGuide/access_policies_identity-vs-resource.html)附加到账户中的 IAM 委托人或资源才能实际授予权限。有效权限是和身份策略或 SCP/RCP 和资源策略之间的逻辑交叉点。 SCP/RCP 您可以[在此处](https://docs.amazonaws.cn/organizations/latest/userguide/orgs_manage_policies_rcps.html#rcp-effects-on-permissions)获取有关 RCP 对权限影响的更多详细信息。
此存储库中的资源控制策略如下所示。在 RCPs 未彻底测试该政策对您账户中资源的影响之前，您不应附加。在您准备好要实施的策略后，我们建议在可以代表您的生产环境的单独组织或 OU 中进行测试。测试完成后，您应该部署更改进行测试， OUs 然后随着 OUs 时间的推移逐步将更改部署到更广泛的范围中。
启用资源控制[RCPFullAWSAccess](https://console.amazonaws.cn/organizations/v2/home/policies/resource-control-policy/p-RCPFullAWSAccess)策略后，该策略将自动附加到组织根目录、每个 OU 和组织中的每个账户 (RCPs)。此默认 RCP 允许所有委托人和操作访问权限通过 RCP 评估。您可以使用 “拒绝” 语句来限制对组织中资源的访问权限。您还需要使用基于身份或基于资源的策略向委托人授予适当的权限。
[资源控制策略 (RCP)](https://docs.amazonaws.cn/organizations/latest/userguide/orgs_manage_policies_rcps.html) 附加到组织根目录、组织单位或账户时，可以集中控制组织、组织单位或账户中资源的最大可用权限。由于 RCP 可以应用于组织的多个级别，因此了解[评估](https://docs.amazonaws.cn/organizations/latest/userguide/orgs_manage_policies_rcps_evaluation.html)方式RCPs 可以帮助你写出 RCPs 能产生预期结果的文章。
本节中的示例策略演示了的实现和使用 RCPs。这些示例策略并***不***是要完全按照所示实施的官方 Amazon 建议或最佳实践。您有责任仔细测试任何策略，以确定其是否适合解决环境的业务需求。除非您在策略中添加必要的例外情况，否则基于拒绝的资源控制策略可能会无意中限制或阻止您对 Amazon 服务的使用。

**提示**  
在实施之前 RCPs，除了查看[Amazon CloudTrail 日志](https://www.amazonaws.cn/cloudtrail/)外，评估 [IAM Access Analyzer 外部访问结果](https://docs.amazonaws.cn/IAM/latest/UserGuide/access-analyzer-findings-view.html#access-analyzer-findings-view-external)还可以帮助了解哪些资源当前是公开的或在外部共享的。

## GitHub 存储库
<a name="rcp-github-repositories"></a>
+ [资源控制策略示例](https://github.com/aws-samples/resource-control-policy-examples)-此 GitHub 存储库包含用于开始使用或完善您的使用方法的示例策略 Amazon RCPs