本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
服务控制策略示例
本主题中显示的示例服务控制策略 (SCPs) 仅供参考。
在使用这些示例之前
在组织 SCPs 中使用这些示例之前,请执行以下操作:
-
请仔细查看并根据您的独特要求 SCPs 进行自定义。
-
使用您使用的 SCPs 在您的环境中 Amazon Web Services 服务 彻底测试。
本节中的示例策略演示了的实现和使用 SCPs。这些示例策略并不是要完全按照所示实施的官方 Amazon 建议或最佳实践。您有责任仔细测试任何基于拒绝的策略,以确定其是否适合解决环境的业务需求。除非您在策略中添加必要的例外情况, Amazon Web Services 服务 否则基于拒绝的服务控制策略可能会无意中限制或阻止您的使用。有关此类异常的示例,请参阅第一个示例,该示例将全球服务排除在阻止不想要 Amazon Web Services 区域访问的规则之外。
-
请记住,SCP 影响所附加到的每个账户中的每个用户和角色以及根用户。
-
请记住,SCP 不影响服务相关角色。服务相关角色允许其他角色与 Amazon Web Services 服务 之集成 Amazon Organizations ,并且不能受其限制。 SCPs
提示
您可以在 IAM 中使用服务上次访问的数据来更新您的 SCPs ,将访问权限限制为仅您需要 Amazon Web Services 服务 的内容。有关更多信息,请参阅《IAM 用户指南》中的查看 Organizations 的 Organizations 服务上次访问的数据。
以下每个策略是拒绝列表策略战略的示例。附加拒绝列表策略时还必须附加在受影响账户中允许已批准的操作的其他策略。例如,默认 FullAWSAccess 策略允许在账户中使用所有服务。默认情况下,此策略会附加到根账户、所有组织单位 (OUs) 和所有账户。它实际上不授予权限;SCP 也不授予权限。相反,它允许该账户中的管理员通过向账户中的用户、角色或群组附加标准 Amazon Identity and Access Management (IAM) 权限策略来委派对这些操作的访问权限。然后,其中每个拒绝列表策略通过阻止访问指定服务或操作来覆盖任何策略。