本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# 使用服务控制策略限制 Amazon 快速注册选项
如果您是中的管理员 Amazon Organizations,则可以使用服务控制策略 (SCPs) 来限制组织中的个人注册 Amazon Quick 的方式。你可以限制他们可以注册的 Quick 版本,也可以限制他们可以注册的用户类型。
Amazon Organizations 是一项用户帐户管理服务,可用于将多个 Amazon 账户整合到一个由您创建和集中管理的组织中。您可以在 SCPs中使用 Amazon Organizations 来管理组织中的权限。有关更多信息,请参阅[什么是 Amazon Organizations?](https://docs.amazonaws.cn//organizations/latest/userguide/orgs_introduction.html) 和《*Amazon Organizations 用户指南》*中的[服务控制策略](https://docs.amazonaws.cn//organizations/latest/userguide/orgs_manage_policies_scps.html)。
在以下主题中,您可以了解使用 SCPs 中的 Amazon Organizations两种限制快速注册选项的方法。该主题包括一个示例 SCP。要了解有关创建的更多信息 SCPs,请参阅《*Amazon Organizations 用户指南*》中的以下主题:
+ [创建、更新和删除服务控制策略](https://docs.amazonaws.cn//organizations/latest/userguide/orgs_manage_policies_scps_create.html)
+ [SCP 语法](https://docs.amazonaws.cn//organizations/latest/userguide/orgs_manage_policies_scps_syntax.html)
+ [使用策略 SCPs](https://docs.amazonaws.cn//organizations/latest/userguide/orgs_manage_policies_scps_strategies.html)
**Topics**
+ [
## 限制快捷版
](#security-scp-edition)
+ [
## 限制用户管理选项
](#security-scp-user)
+ [
## 示例 SCP
](#security-scp-example)
## 限制快捷版
要限制您的托管账户可以注册的 Quick 版本,请使用您的 SCP 中的`quicksight:Edition`条件密钥。下表列出并描述了该密钥的值。
| 密钥名称 | 键值 | 说明 |
| --- | --- | --- |
| `quicksight:Edition` | `standard` | Amazon Quick 标准版 |
| | `enterprise` | Amazon Quick 企业版 |
## 限制用户管理选项
要限制组织中的个人可用于注册 Quick 的用户管理选项,请使用 SCP 中的`quicksight:DirectoryType`条件密钥。下表列出并描述了该密钥的值。
| 密钥名称 | 键值 | 说明 |
| --- | --- | --- |
| `quicksight:DirectoryType` | `quicksight` | IAM 联合身份和 Amazon Quick 管理的用户 |
| | `iam` | 仅 IAM 联合身份 |
| | `microsoft_ad` | 在 Microsoft 活动目录中管理的用户 Amazon Directory Service for Microsoft Active Directory |
| | `ad_connector` | 用户在本地活动目录中进行管理并通过 AD\$1Connector 连接到 Amazon Directory Service for Microsoft Active Directory |
| | `iam_identity_center` | 在与 IAM 身份中心集成的 Amazon Quick 账户中管理的用户。 |
## 示例 SCP
以下 Quick 示例显示了一个服务控制策略,该策略拒绝注册 Amazon Quick 标准版,并禁止使用 IAM Identity Center 身份验证进行注册。除了前面描述的条件键外,该策略还使用 `quicksight:Subscribe` 操作。有关用于 IAM 权限策略的 Amazon Quick 专用密钥列表,请参阅《*服务授权参考*》中的 “[快速操作、资源和条件密钥](https://docs.amazonaws.cn//service-authorization/latest/reference/list_amazonquicksight.html)”。
```
{
"Version": "2012-10-17" ,
"Statement": [
{
"Sid": "Statement1",
"Effect": "Deny",
"Action": [
"quicksight:Subscribe"
],
"Resource": [
"*"
],
"Condition": {
"ForAnyValue:StringEquals": {
"quicksight:DirectoryType": [
"iam_identity_center"
]
}
}
},
{
"Sid": "Statement2",
"Effect": "Deny",
"Action": [
"quicksight:Subscribe"
],
"Resource": [
"*"
],
"Condition": {
"StringEquals": {
"quicksight:Edition": "standard"
}
}
}
]
}
```
此政策生效后,组织中的个人只能注册 Amazon Quick Enterprise 版,并且必须使用 IAM Identity Center 以外的身份验证方法。如果他们尝试注册 Amazon Quick 标准版或尝试使用 IAM Identity Center 身份验证,他们将被限制注册并收到一条说明他们没有适当权限的消息。