Amazon Route 53 应用程序恢复控制器 SCP 示例 - Amazon Organizations
防止用户更新 Route 53 ARC 路由控制状态
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

Amazon Route 53 应用程序恢复控制器 SCP 示例

防止用户更新 Route 53 ARC 路由控制状态

低级别 Route 53 ARC 操作员需要监控控制面板并查看 Route 53 ARC 信息。但是,操作员不得更新路由控制以将应用程序从一个 Amazon Web Services 区域 故障转移到另一个,而高级操作员可能允许进行此操作。此 SCP 阻止任何受影响账户中的用户或角色运行可更新 Route 53 ARC 路由控制的 Route 53 ARC 操作。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "DenyAll",
            "Effect": "Deny",
            "Action": [
                "route53-recovery-cluster:UpdateRoutingControlState",
                "route53-recovery-cluster:UpdateRoutingControlStates"
            ],
            "Resource": "*",
            "Condition": {
                "ArnNotLike": {
                    "aws:PrincipalARN": [
                        "arn:aws:iam::*:role/Role1AllowedToBypassThisSCP",
                        "arn:aws:iam::*:role/Role2AllowedToBypassThisSCP"
                    ]
                }
            }
        }
    ]
}