本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 使用服務控制政策來限制 Amazon Quick 註冊選項
<a name="security-scp-admin"></a>

如果您是 中的管理員 AWS Organizations，您可以使用服務控制政策 (SCPs) 來限制組織中的個人如何註冊 Amazon Quick。您可以限制他們可以註冊的 Quick 版本，以及他們可以註冊的使用者類型。

AWS Organizations 是一種使用者帳戶管理服務，可用來將多個 AWS 帳戶合併到您建立並集中管理的組織。您可以在 中使用 SCPs AWS Organizations 來管理組織中的許可。如需詳細資訊，請參閱*AWS Organizations 《 使用者指南*》中的[什麼是 AWS Organizations？](https://docs.aws.amazon.com//organizations/latest/userguide/orgs_introduction.html)[和服務控制政策](https://docs.aws.amazon.com//organizations/latest/userguide/orgs_manage_policies_scps.html)。

在下列主題中，您可以了解使用 SCPs兩種方式 AWS Organizations。主題包括範例 SCP。若要進一步了解建立 SCP，請參閱《AWS Organizations 使用者指南》中的下列主題：**
+ [建立、更新和刪除服務控制政策](https://docs.aws.amazon.com//organizations/latest/userguide/orgs_manage_policies_scps_create.html)
+ [SCP 語法](https://docs.aws.amazon.com//organizations/latest/userguide/orgs_manage_policies_scps_syntax.html)
+ [使用 SCP 的策略](https://docs.aws.amazon.com//organizations/latest/userguide/orgs_manage_policies_scps_strategies.html)

**Topics**
+ [限制 Quick Edition](#security-scp-edition)
+ [限制使用者管理選項](#security-scp-user)
+ [SCP 範例](#security-scp-example)

## 限制 Quick Edition
<a name="security-scp-edition"></a>

若要限制受管帳戶可以註冊的 Quick 版本，請使用 SCP 中的 `quicksight:Edition`條件金鑰。下表列出並說明了此金鑰的值。


| 鍵值名稱 | 索引鍵值 | Description | 
| --- | --- | --- | 
|  `quicksight:Edition`  |  `standard`  |  Amazon Quick Standard Edition  | 
|  |  `enterprise`  |  Amazon Quick Enterprise Edition  | 

## 限制使用者管理選項
<a name="security-scp-user"></a>

若要限制組織中的個人可用來註冊 Quick 的使用者管理選項，請使用 SCP 中的 `quicksight:DirectoryType`條件索引鍵。下表列出並說明了此金鑰的值。


| 鍵值名稱 | 索引鍵值 | Description | 
| --- | --- | --- | 
|  `quicksight:DirectoryType`  |  `quicksight`  |  IAM 聯合身分和 Amazon Quick 受管使用者  | 
|  |  `iam`  |  僅限 IAM 聯合身分  | 
|  |  `microsoft_ad`  |  在 上在 Microsoft Active Directory 中管理的使用者 AWS Directory Service for Microsoft Active Directory   | 
|  |  `ad_connector`  |  在內部部署 Active Directory 中管理並透過 AD\$1Connector 連線至 的使用者 AWS Directory Service for Microsoft Active Directory  | 
|  |  `iam_identity_center`  |  在與 IAM Identity Center 整合的 Amazon Quick 帳戶中管理的使用者。  | 

## SCP 範例
<a name="security-scp-example"></a>

下列 Quick 範例顯示拒絕註冊 Amazon Quick Standard Edition 的服務控制政策，並阻止使用 IAM Identity Center 身分驗證進行註冊。除了先前描述的條件金鑰之外，此政策還會使用 `quicksight:Subscribe` 動作。如需用於 IAM 許可政策的 Amazon Quick-specific 金鑰清單，請參閱*《服務授權參考*》中的 [Quick 的動作、資源和條件金鑰](https://docs.aws.amazon.com//service-authorization/latest/reference/list_amazonquicksight.html)。

```
{
    "Version": "2012-10-17"		 	 	 ,
    "Statement": [
        {
            "Sid": "Statement1",
            "Effect": "Deny",
            "Action": [
                "quicksight:Subscribe"
            ],
            "Resource": [
                "*"
            ],
            "Condition": {
                "ForAnyValue:StringEquals": {
                    "quicksight:DirectoryType": [
                        "iam_identity_center"
                    ]
                }
            }
        },
        {
            "Sid": "Statement2",
            "Effect": "Deny",
            "Action": [
                "quicksight:Subscribe"
            ],
            "Resource": [
                "*"
            ],
            "Condition": {
                "StringEquals": {
                    "quicksight:Edition": "standard"
                }
            }
        }
    ]
}
```

此政策生效後，組織中的個人只能註冊 Amazon Quick Enterprise Edition，而且必須使用 IAM Identity Center 以外的身分驗證方法。如果他們嘗試註冊 Amazon Quick Standard Edition 或嘗試使用 IAM Identity Center 身分驗證，則會受到限制，無法註冊並收到訊息，說明他們沒有適當的許可。