資源控制政策 (RCPs) - AWS Organizations
AWS 服務 該支援的清單 RCPs測試 的效果 RCPs的大小上限 RCPsRCPs 連接到組織中的不同層級RCP 對許可的影響資源和實體不受 限制 RCPs

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

資源控制政策 (RCPs)

資源控制政策 (RCPs) 是一種組織政策,可用來管理組織中的許可。 RCPs 提供組織中資源的可用許可上限的集中控制。 RCPs 可協助您確保帳戶中的資源保持在組織的存取控制準則內。 僅在已啟用所有功能的組織中RCPs可用。如果您的組織只啟用合併帳單功能,RCPs則 將無法使用。如需啟用 的指示RCPs,請參閱 啟用政策類型

RCPs 單獨授予許可給組織中的資源並不足夠。不會授予任何許可RCP。會針對身分可對組織中資源採取的動作,RCP定義許可護欄或設定限制。管理員仍然必須將身分型政策連接到IAM使用者或角色,或將資源型政策連接到您帳戶中的資源,以實際授予許可。如需詳細資訊,請參閱IAM《 使用者指南》中的身分型政策和資源型政策

有效許可是 RCPs和 服務控制政策 (SCPs) 允許的邏輯交集,以及身分型和資源型政策允許的交集。

重要

RCPs 不會影響 管理帳戶中的資源。它們只會影響組織中成員帳戶中的資源。不過,這也包括指定為委派管理員的成員帳戶。

主題

AWS 服務 該支援的清單 RCPs

RCPs 適用於下列資源 AWS 服務:

測試 的效果 RCPs

AWS 強烈建議您不要在未徹底測試政策對您帳戶中資源的影響的情況下RCPs,將 連接到組織的根目錄。您可以先RCPs連接到個別測試帳戶,在階層中將它們向上移動到OUs較低位置,然後視需要逐步完成組織結構。判斷影響的一種方法是檢閱存取遭拒錯誤的 AWS CloudTrail 日誌。

的大小上限 RCPs

您RCP計數中的所有字元都會與其大小上限相符。本指南中的範例顯示RCPs已格式化並具有額外的空格,以改善其可讀性。不過,若您的政策大小接近大小上限,為了節省空間,您可以刪除引號外部的任何空格,例如空格字元和換行字元。

提示

使用視覺化編輯器來建置您的 RCP。它會自動移除額外空格。

RCPs 連接到組織中的不同層級

您可以RCPs直接連接到個別帳戶、 OUs或組織根目錄。如需RCPs運作方式的詳細說明,請參閱 RCP 評估

RCP 對許可的影響

RCPs 是 AWS Identity and Access Management (IAM) 政策的類型。它們與資源型政策最密切相關。不過, RCP永遠不會授予許可。反之, RCPs是指定組織中資源可用許可上限的存取控制。如需詳細資訊,請參閱《IAM 使用者指南》中的政策評估邏輯

  • RCPs 會套用至 子集的資源 AWS 服務。如需詳細資訊,請參閱AWS 服務 該支援的清單 RCPs

  • RCPs 僅影響由屬於已連接 之組織一部分的帳戶管理的資源RCPs。它們不會影響來自組織外部帳戶的資源。例如,請考慮 組織中帳戶 A 擁有的 Amazon S3 儲存貯體。儲存貯體政策 (以資源為基礎的政策) 會授予來自組織外部帳戶 B 使用者的存取權。帳戶 A 已RCP連接 。即使由帳戶 B 的使用者存取,這也RCP適用於帳戶 A 中的 S3 儲存貯體。但是,當帳戶 A 中的使用者存取時,這RCP不適用於帳戶 B 中的資源。

  • RCP 限制成員帳戶中資源的許可。帳戶中的任何資源都只有其上方每個父系允許的那些許可。如果許可在帳戶上方的任何層級遭到封鎖,則受影響帳戶中的資源不會擁有該許可,即使資源擁有者連接以資源為基礎的政策,允許任何使用者完整存取。

  • RCPs 會套用到在 操作請求中授權的資源。您可以在服務授權參考中動作資料表的「資源類型」欄中找到這些資源。如果未在「資源類型」欄中指定資源,則會套用RCPs呼叫主體帳戶的 。例如, 會s3:GetObject授權物件資源。每當提出GetObject請求時,適用 RCP將適用於判斷請求主體是否可以叫用 GetObject操作。適用的 RCP 是RCP已連接至帳戶、組織單位 (OU) 或擁有所存取資源之組織的根目錄的 。

  • RCPs 只會影響組織中成員帳戶中的資源。它們不會影響管理帳戶中的資源。不過,這也包括指定為委派管理員的成員帳戶。如需詳細資訊,請參閱管理帳戶的最佳實務

  • 當委託人請求存取已連接 RCP(具有適用 的資源RCP) 之帳戶中的資源時, RCP 會包含在政策評估邏輯中,以判斷委託人是否被允許或拒絕存取。

  • RCPs 會影響主體嘗試存取具有適用 之成員帳戶中資源的有效許可RCP,無論主體是否屬於同一個組織。這包括根使用者。例外狀況是主體是服務連結角色,因為 RCPs 不適用於服務連結角色發出的呼叫。服務連結角色 AWS 服務 可讓 代表您執行必要的動作,且 無法限制RCPs。

  • 使用者和角色仍然必須獲得具有適當IAM許可政策的許可,包括以身分為基礎的和資源為基礎的政策。沒有任何IAM許可政策的使用者或角色無法存取,即使適用的 RCP允許所有 服務、所有動作和所有資源。

資源和實體不受 限制 RCPs

您無法使用 RCPs 來限制下列項目:

  • 管理帳戶中資源的任何動作。

  • RCPs 不會影響任何服務連結角色的有效許可。服務連結角色是直接連結至 AWS 服務的唯一IAM角色類型,包含該服務代表您呼叫其他 AWS 服務所需的所有許可。服務連結角色的許可不能受到 的限制RCPs。 RCPs 也不會影響 AWS 服務擔任服務連結角色的能力;也就是說,服務連結角色的信任政策也不會受到 的影響RCPs。

  • RCPs 不適用於 AWS 受管金鑰AWS Key Management Service。 AWS 受管金鑰 是由 代表您建立、管理和使用 AWS 服務。您無法變更或管理其許可。

  • RCPs 不會影響下列許可:

    服務 API 資源未獲 授權 RCPs
    AWS Key Management Service

    kms:RetireGrant

    		 RCPs 不會影響 kms:RetireGrant 許可。如需如何kms:RetireGrant判斷 許可的詳細資訊,請參閱《 AWS KMS 開發人員指南》中的淘汰和撤銷授予