本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
服务控制策略示例
本主题中显示的示例服务控制策略 (SCP) 仅供参考。
在使用这些示例之前
在组织中使用这些示例 SCP 之前,请执行以下操作:
-
仔细检查并根据您的独特需求定制 SCP。
-
使用您所用的Amazon服务彻底测试您环境中的 SCP。
本部分中的示例策略演示 SCP 的实施和使用。这些示例策略并不是要完全按照所示实施的官方Amazon建议或最佳实践。您有责任仔细测试任何基于拒绝的策略,以确定其是否适合解决环境的业务需求。基于拒绝的服务控制策略可能会无意中限制或阻止您使用Amazon服务,除非您在策略中添加了必要的例外情况。有关此类例外情况的示例,请参阅第一个示例,该示例从阻止访问不需要的Amazon Web Services 区域规则中将全球服务豁免。
-
请记住,SCP 影响所附加到的每个账户中的每个用户和角色以及根用户。
提示
您可以使用 IAM 中服务上次访问的数据来更新您的 SCP,以限制仅访问您需要的Amazon服务。有关更多信息,请参阅《IAM 用户指南》中的查看 Organizations 的 Organizations 服务上次访问的数据。
以下每个策略是拒绝列表策略战略的示例。附加拒绝列表策略时还必须附加在受影响账户中允许已批准的操作的其他策略。例如,默认 FullAWSAccess 策略允许在账户中使用所有服务。此策略默认附加到根、所有组织部门 (OU) 和所有账户。它实际上不授予权限;SCP 也不授予权限。相反,它使该账户中的管理员能够委派对这些操作的访问权限,方法是将标准 Amazon Identity and Access Management(IAM)权限策略附加到账户中的用户、角色或组。然后,其中每个拒绝列表策略通过阻止访问指定服务或操作来覆盖任何策略。