创建、更新和删除服务控制策略
当登录到您组织的管理账户时,您可以创建和更新服务控制策略(SCP)。您可以通过构建拒绝或允许访问您指定的服务和操作的语句来创建 SCP。
SCP 的默认配置是使用“阻止列表”策略,在该策略中,除了通过创建拒绝访问的语句阻止的操作之外,它会隐式允许所有操作。对于拒绝语句,您可以为该语句指定资源和条件并使用 NotAction 元素。对于允许语句,您只能指定服务和操作。有关拒绝访问和允许访问的语句的更多信息,请参阅 有关使用 SCP 的策略。
提示
您可以使用 IAM 中服务上次访问的数据作为更新 SCP 的数据点,以限制仅访问您需要的Amazon服务。有关更多信息,请参阅《IAM 用户指南》中的查看 Organizations 的 Organizations 服务上次访问的数据。
创建 SCP
最小权限
要创建 SCP,您需要运行以下操作的权限:
-
organizations:CreatePolicy
注意
SCP 在管理账户和其他部分情况中不会生效。有关更多信息,请参阅不受 SCP 限制的任务和实体。
更新 SCP
当登录到您组织的管理账户后,您可以重命名或更改策略内容。更改 SCP 的内容会立即影响所有附加账户中的任何用户、组和角色。
最小权限
若要更新 SCP,您需要运行以下操作的权限:
-
organizations:UpdatePolicy
,且同一条策略语句中有一个Resource
元素包含所指定策略的 ARN(或“*”)。 -
organizations:DescribePolicy
,且同一条策略语句中有一个Resource
元素包含所指定策略的 ARN(或“*”)。
有关更多信息
有关创建 SCP 的更多信息,请参阅以下主题:
编辑附加到 SCP 的标签
当您登录到组织的管理账户时,您可以添加或删除附加到 SCP 的标签。有关标记的更多信息,请参阅为 Amazon Organizations 资源添加标签。
最小权限
要编辑附加到Amazon组织中 SCP 的标签,您必须拥有以下权限:
-
organizations:DescribeOrganization
– 仅当使用 Organizations 控制台时才需要 -
organizations:DescribePolicy
– 仅当使用 Organizations 控制台时才需要 -
organizations:TagResource
-
organizations:UntagResource
删除 SCP
当登录到您组织的管理账户时,您可以删除您的组织中不再需要的策略。
注意
-
必须先将某个策略从所有附加实体中分离,然后才能删除该策略。
-
您无法删除任何Amazon托管的 SCP,例如名为
FullAWSAccess
的 SCP。
最小权限
若要删除 SCP,您需要运行以下操作的权限:
-
organizations:DeletePolicy