本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
服务控制策略示例
本主题中显示的示例服务控制策略 (SCPs) 仅供参考。
在使用这些示例之前
在组织SCPs中使用这些示例之前,请执行以下操作:
-
请仔细查看并根据您的独特要求SCPs进行自定义。
-
使用您使用的SCPs在您的环境中 AWS 服务 彻底测试。
本节中的示例策略演示了的实现和使用SCPs。这些示例策略并不是要完全按照所示实施的官方 AWS 建议或最佳实践。您有责任仔细测试任何基于拒绝的策略,以确定其是否适合解决环境的业务需求。除非您在策略中添加必要的例外情况, AWS 服务 否则基于拒绝的服务控制策略可能会无意中限制或阻止您的使用。有关此类异常的示例,请参阅第一个示例,该示例将全球服务排除在阻止不想要 AWS 区域访问的规则之外。
-
请记住,SCP会影响其所关联的每个账户中的每个用户和角色,包括根用户。
-
请记住,SCP不影响服务相关角色。服务相关角色允许其他角色与 AWS 服务 之集成 AWS Organizations ,并且不能受其限制。SCPs
提示
您可以使用中的服务上次访问数据IAM来更新您的数据SCPs,将访问权限限制为仅您需要 AWS 服务 的内容。有关更多信息,请参阅《IAM用户指南》中的 “查看组织服务上次访问数据”。
以下每个策略是拒绝列表策略战略的示例。附加拒绝列表策略时还必须附加在受影响账户中允许已批准的操作的其他策略。例如,默认 FullAWSAccess
策略允许在账户中使用所有服务。默认情况下,此策略会附加到根账户、所有组织单位 (OUs) 和所有账户。它实际上并没有授予权限;没SCP有。相反,它允许该账户中的管理员通过将标准 AWS Identity and Access Management (IAM) 权限策略附加到账户中的用户、角色或群组来委派对这些操作的访问权限。然后,其中每个拒绝列表策略通过阻止访问指定服务或操作来覆盖任何策略。