本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
资源控制策略示例
本主题中显示的资源控制策略示例 (RCPs) 仅供参考。
在使用这些示例之前
在组织 RCPs 中使用这些示例之前,请考虑以下几点:
-
资源控制策略 (RCPs) 旨在用作粗粒度的预防性控制,它们不授予访问权限。您仍必须将基于身份或基于资源的策略附加到账户中的 IAM 委托人或资源才能实际授予权限。有效权限是和身份策略或 SCP/RCP 和资源策略之间的逻辑交叉点。 SCP/RCP 您可以在此处获取有关 RCP 对权限影响的更多详细信息。
-
此存储库中的资源控制策略如下所示。在 RCPs 未彻底测试该政策对您账户中资源的影响之前,您不应附加。在您准备好要实施的策略后,我们建议在可以代表您的生产环境的单独组织或 OU 中进行测试。测试完成后,您应该部署更改进行测试, OUs 然后随着 OUs 时间的推移逐步将更改部署到更广泛的范围中。
-
启用资源控制RCPFullAWSAccess
策略后,该策略将自动附加到组织根目录、每个 OU 和组织中的每个账户 (RCPs)。此默认 RCP 允许所有委托人和操作访问权限通过 RCP 评估。您可以使用 “拒绝” 语句来限制对组织中资源的访问权限。您还需要使用基于身份或基于资源的策略向委托人授予适当的权限。 -
资源控制策略 (RCP) 附加到组织根目录、组织单位或账户时,可以集中控制组织、组织单位或账户中资源的最大可用权限。由于 RCP 可以应用于组织的多个级别,因此了解评估方式RCPs 可以帮助你写出 RCPs 能产生预期结果的文章。
本节中的示例策略演示了的实现和使用 RCPs。这些示例策略并不是要完全按照所示实施的官方AWS建议或最佳实践。您有责任仔细测试任何策略,以确定其是否适合解决环境的业务需求。除非您在策略中添加必要的例外情况,否则基于拒绝的资源控制策略可能会无意中限制或阻止您对AWS服务的使用。
提示
在实施之前 RCPs,除了查看AWSCloudTrail 日志
GitHub 存储库
-
资源控制策略示例
-此 GitHub 存储库包含用于开始使用或完善您的使用方法的示例策略 AWS RCPs
