服務控制政策範例 - AWS Organizations

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

服務控制政策範例

本主題中顯示的範例服務控制政策 (SCPs) 僅供參考。

使用這些範例之前

在SCPs組織中使用這些範例之前,請執行下列動作:

  • 仔細檢閱並自訂 SCPs,以符合您的獨特需求。

  • 使用SCPs您所使用的 ,在環境中徹底測試 AWS 服務 。

    本節中的範例政策示範 的實作和使用SCPs。他們並非闡述為完全如圖所示實作的官方 AWS 建議或最佳實務。您有責任仔細測試任何拒絕型政策是否適合解決您環境的商業需求。拒絕型服務控制政策可能會意外限制或封鎖您的 使用, AWS 服務 除非您將必要的例外新增至政策。如需此類例外的範例,請參閱從封鎖對不需要 存取的規則中豁免全域服務的第一個範例 AWS 區域。

  • 請記住, SCP會影響每個使用者和角色,包括其連接的每個帳戶中的根使用者。

  • 請記住, SCP 不會影響服務連結角色。服務連結角色可讓其他 與 AWS 服務 整合 AWS Organizations ,且 無法限制SCPs。

提示

您可以使用 中的服務上次存取資料IAM來更新 SCPs,以限制僅存取您需要的 AWS 服務 。如需詳細資訊,請參閱 使用者指南中的檢視 Organizations Service Last Accessed Data for OrganizationsIAM

以下每一個政策都是拒絕清單政策策略的範例。拒絕清單政策必須隨著在受影響帳戶中允許已核准動作的其他政策連接。例如,預設的 FullAWSAccess 政策會允許使用帳戶中的所有服務。此政策預設會連接至根、所有組織單位 (OUs) 和所有帳戶。它實際上不會授予許可;不會SCP。相反地,它可讓該帳戶中的管理員將標準 AWS Identity and Access Management (IAM) 許可政策連接至帳戶中的使用者、角色或群組,以委派對這些動作的存取權。然後,這些拒絕清單政策會個別藉由封鎖對指定的服務或動作的存取,來覆寫任何政策。

內容