本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# RCP 评估
<a name="orgs_manage_policies_rcps_evaluation"></a>

**注意**  
本节中的信息***不***适用于管理策略类型，包括备份策略、标签策略、聊天应用程序政策或人工智能服务退出政策。有关更多信息，请参阅 [了解管理策略继承](orgs_manage_policies_inheritance_mgmt.md)。

由于您可以在中附加不同级别的多个资源控制策略 (RCPs) Amazon Organizations，因此了解评估 RCPs 方式可以帮助您编写 RCPs 得出正确结果的文章。

## 使用策略 RCPs
<a name="how_rcps_deny"></a>

该`RCPFullAWSAccess`策略是一个 Amazon 托管策略。启用资源控制策略后，它会自动附加到组织根目录、每个 OU 和组织中的每个账户 (RCPs)。您无法分离此策略。此默认 RCP 允许所有委托人和操作访问权限通过 RCP 评估，这意味着在您开始创建和附加之前 RCPs，您的所有现有 IAM 权限将继续按原样运行。此 Amazon 托管策略不授予访问权限。

您可以使用 `Deny` 语句来屏蔽对组织中资源的访问权限。要**拒绝**特定账户中的资源获得权限，从根到账户直接路径中的每个 OU 的**任何 RCP**（包括目标账户本身）都可以拒绝该权限。

`Deny` 语句是实施限制的一种强大方式，应该适用于组织更广泛的部分。例如，您可以附加一个策略来帮助防止组织外部的身份访问您的资源根级别，该策略将对组织中的所有账户都生效。 Amazon 强烈建议您在未彻底测试该政策对您账户中资源的影响之前，不要将其附加 RCPs 到组织的根目录。有关更多信息，请参阅 [的测试效果 RCPs](orgs_manage_policies_rcps.md#rcp-warning-testing-effect)。

在图 1 中，有一个 RCP 附加到生产 OU，它为给定服务指定了显式 `Deny` 语句。因此，账户 A 和账户 B 都将被拒绝访问该服务，因为将针对组织下的所有账户 OUs 和成员账户评估附加到组织中任何级别的拒绝策略。

![\[生产 OU 中附加了 Deny 语句的组织结构示例及其对账户 A 和账户 B 的影响\]](http://docs.amazonaws.cn/organizations/latest/userguide/images/rcp_deny_1.png)


*图 1：生产 OU 中附加了 `Deny` 语句的组织结构示例及其对账户 A 和账户 B 的影响*