本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 服务控制策略 (SCPs)
<a name="orgs_manage_policies_scps"></a>

服务控制策略 (SCPs) 是一种组织策略，可用于管理组织中的权限。 SCPs 集中控制组织中 IAM 用户和 IAM 角色的最大可用权限。 SCPs 帮助您确保您的帐户符合组织的访问控制准则。 SCPs仅在[启用了所有功能的组织中可用](orgs_manage_org_support-all-features.md)。 SCPs 如果您的组织仅启用了整合账单功能，则不可用。有关启用的说明 SCPs，请参阅[启用策略类型](enable-policy-type.md)。

SCPs 请勿向组织中的 IAM 用户和 IAM 角色授予权限。SCP 不授予任何权限。SCP 针对组织中的 IAM 用户和 IAM 角色可以执行的操作定义了权限护栏或设置了限制。要授予权限，管理员必须附加相关策略来控制访问权限，例如，将基于身份的策略附加到 IAM 用户和 IAM 角色，以及将基于资源的策略附加到您账户中的资源。有关更多信息，请参见《IAM 用户指南》**中的[基于身份的策略和基于资源的策略](https://docs.amazonaws.cn/IAM/latest/UserGuide/access_policies_identity-vs-resource.html)。

[有效权限](#scp-effects-on-permissions)是 SCP 和[资源控制策略 (RCPs) 所允许的权限与基于身份和基于资源的策略](orgs_manage_policies_rcps.md)所允许的权限之间的逻辑交集。

**SCPs 不影响管理账户中的用户或角色**  
SCPs 不要影响管理账户中的用户或角色。它们仅影响组织中的成员账户。这也意味着这 SCPs 适用于被指定为授权管理员的成员账户。

****本页面上的主题****
+ [的测试效果 SCPs](#scp-warning-testing-effect)
+ [最大大小为 SCPs](#scp-size-limit)
+ [隶 SCPs 属于组织中的不同级别](#scp-about-inheritance)
+ [SCP 对权限的影响](#scp-effects-on-permissions)
+ [使用访问数据进行改进 SCPs](#data-from-iam)
+ [不受限制的任务和实体 SCPs](#not-restricted-by-scp)
+ [SCP 评估](orgs_manage_policies_scps_evaluation.md)
+ [SCP 语法](orgs_manage_policies_scps_syntax.md)
+ [服务控制策略示例](orgs_manage_policies_scps_examples.md)
+ [使用对服务控制策略 (SCPs) 进行故障排除 Amazon Organizations](org_troubleshoot_policies.md)

## 的测试效果 SCPs
<a name="scp-warning-testing-effect"></a>

Amazon 强烈建议您在未彻底测试该政策对账户的影响之前，不要将其附加 SCPs 到组织的根目录上。您可以改为创建一个 OU，并将您的账户一次移入一个，或至少每次以少量移入，以确保您不会无意中阻止用户使用关键服务。确定账户是否使用服务的一种方法是检查 [IAM 中服务上次访问的数据](https://docs.amazonaws.cn/IAM/latest/UserGuide/access_policies_access-advisor.html)。另一种方法是[Amazon CloudTrail 使用在 API 级别记录服务使用情况](https://docs.amazonaws.cn/awscloudtrail/latest/userguide/how-cloudtrail-works.html)。

**注意**  
除非您修改**完整版AWSAccess**策略或将其替换为包含允许操作的单独策略，否则成员账户的所有操作都将失败，否则所有来自成员账户的 Amazon 操作都将失败。

## 最大大小为 SCPs
<a name="scp-size-limit"></a>

SCP 中的所有字符将计入其[最大大小](orgs_reference_limits.md#min-max-values)。本指南中的示例显示了带有额外空格以提高其可读性的 SCPs 格式化内容。但是，在您的策略大小接近最大大小时，可以删除任何空格（例如，引号之外的空格字符和换行符）来节省空间。

**提示**  
使用可视化编辑器构建您的 SCP。它会自动删除额外的空格。

## 隶 SCPs 属于组织中的不同级别
<a name="scp-about-inheritance"></a>

有关 SCPs 工作原理的详细说明，请参阅[SCP 评估](orgs_manage_policies_scps_evaluation.md)。

## SCP 对权限的影响
<a name="scp-effects-on-permissions"></a>

SCPs 与 Amazon Identity and Access Management 权限策略类似，使用几乎相同的语法。但是，SCP 永远不会授予权限。取而代之 SCPs 的是访问控制，用于指定组织中 IAM 用户和 IAM 角色的最大可用权限。有关更多信息，请参阅《IAM 用户指南》**中的[策略评估逻辑](https://docs.amazonaws.cn/IAM/latest/UserGuide/reference_policies_evaluation-logic.html)。
+ SCPs ***仅影响由属于该组织的账户管理的 IAM 用户和角色***。 SCPs 不要直接影响基于资源的策略。也不会影响组织外的账户的用户或角色。例如，请考虑一个 Amazon S3 存储桶，它由组织中的账户“A”所有。存储桶策略（一种基于资源的策略）会向来自组织外账户 B 的用户授予访问权限。账户 A 附加了一个 SCP。SCP 不适用于账户 B 中的那些外部用户。SCP 仅适用于由该组织内的账户 A 所管理的用户。
+ SCP 会限制成员账户中的 IAM 用户和角色的权限，包括成员账户的根用户。任何账户都只有上方的***每个*** 父级允许的那些权限。如果权限在账户上面的任何级别被隐式阻止（通过不包括在 `Allow` 策略语句中）或明确阻止（通过包括在 `Deny` 策略语句中），则受影响账户中的用户或角色不能使用该权限，即使账户管理员将带有 \$1/\$1 权限的 `AdministratorAccess` IAM policy 附加到用户也是如此。
+ SCPs 仅影响组织中的***成员***帐户。它们对管理账户中的用户或角色没有任何影响。这也意味着这 SCPs 适用于被指定为授权管理员的成员账户。有关更多信息，请参阅 [管理账户的最佳实践](orgs_best-practices_mgmt-acct.md)。
+ 仍然必须通过适当的 IAM 权限策略将权限授予用户和角色。没有任何 IAM 权限策略的用户没有访问权限，即使适用的策略 SCPs 允许所有服务和所有操作。
+ 如果用户或角色具有授予访问权限的 IAM 权限策略，该策略也被适用用户允许 SCPs，则该用户或角色可以执行该操作。
+ 如果用户或角色的 IAM 权限策略允许访问相应用户不允许或明确拒绝的操作 SCPs，则该用户或角色将无法执行该操作。
+ SCPs 影响关联账户中的所有用户和角色，***包括 root 用户***。唯一例外在 [不受限制的任务和实体 SCPs](#not-restricted-by-scp)中介绍。
+ SCPs ***不***影响任何服务相关角色。服务相关角色允许其他角色与 Amazon Web Services 服务 之集成 Amazon Organizations ，并且不能受其限制。 SCPs
+ 在根目录中禁用 SCP 策略类型时，所有 SCPs 策略类型将自动与该根目录中的所有 Amazon Organizations 实体分离。 Amazon Organizations 实体包括组织单位、组织和账户。如果您在根目录 SCPs 中重新启用，则该根目录将恢复为仅自动附加到根目录中所有实体的默认`FullAWSAccess`策略。之前 SCPs 被禁用的 Amazon Organizations 实体的所有附件都将丢失且无法自动恢复，但您可以手动重新连接它们。 SCPs 
+ 如果权限边界（高级 IAM 功能）和 SCP 同时存在，则边界、SCP 以及基于身份的策略必须全部允许操作。

## 使用访问数据进行改进 SCPs
<a name="data-from-iam"></a>

使用管理账户证书登录后，您可以在 IAM 控制台的**Amazon Organizations**部分中查看 Amazon Organizations 实体或策略的[上次访问服务数据](https://docs.amazonaws.cn/IAM/latest/UserGuide/access_policies_access-advisor.html)。您还可以在 IAM 中使用 Amazon Command Line Interface (Amazon CLI) 或 Amazon API 来检索上次访问的服务数据。这些数据包括 Amazon Organizations 账户中的 IAM 用户和角色上次尝试访问哪些允许的服务以及何时访问的信息。您可以使用此信息来识别未使用的权限，以便可以完善您的权限， SCPs 以更好地遵守[最低权限](https://docs.amazonaws.cn/IAM/latest/UserGuide/best-practices.html#grant-least-privilege)原则。

例如，您可能有一个[拒绝列表 SCP](orgs_manage_policies_scps_evaluation.md#how_scps_deny)，禁止访问三个 Amazon Web Services 服务。SCP 的 `Deny` 语句中未列出的所有服务均允许访问。IAM 中服务上次访问的数据会告诉您 SCP 允许但从未使用过 Amazon Web Services 服务 哪些数据。借助该信息，您可以更新 SCP 以拒绝对不需要服务的访问权限。

有关更多信息，请参阅 *IAM 用户指南*中的以下主题：
+ [查看 Organizations 的 Organizations 服务上次的访问数据](https://docs.amazonaws.cn/IAM/latest/UserGuide/access_policies_access-advisor-view-data-orgs.html)
+ [使用数据来细化组织部门的权限](https://docs.amazonaws.cn/IAM/latest/UserGuide/access_policies_access-advisor-example-scenarios.html#access_policies_access-advisor-reduce-permissions-orgs) 

## 不受限制的任务和实体 SCPs
<a name="not-restricted-by-scp"></a>

您***不能***使用 SCPs 来限制以下任务：
+ 管理账户执行的任何操作
+ 使用附加到服务相关角色的权限执行的任何操作
+ 以根用户身份注册企业支持计划
+ 为 CloudFront 私有内容提供可信签名者功能
+ 为 Amazon Lightsail 电子邮件服务器和作为根用户的 Amazon EC2 实例配置反向 DNS
+ 一些 Amazon相关服务的任务：
  + Alexa Top Sites
  + Alexa Web Information Service
  + Amazon Mechanical Turk
  + Amazon Product Marketing API