服务控制策略示例

服务控制策略 (SCPs) 本应用作粗粒度的护栏，它们不直接授予访问权限。管理员仍必须将基于身份或基于资源的策略附加到您账户中的 IAM 委托人或资源才能实际授予权限。有效权限是服务控制策略与身份策略或服务 policy/Resource 控制策略与资源策略之间的逻辑交叉点。 policy/Resource 您可以在此处获取有关 SCP 对权限影响的更多详细信息。

服务控制策略 (SCP) 附加到组织、组织单位或账户时，可以集中控制组织、组织单位或账户中所有账户的最大可用权限。由于 SCP 可以应用于组织的多个级别，因此了解评估方式SCPs 可以帮助你撰写 SCPs 得出正确结果的文章。

此存储库中的服务控制策略如示例所示。在 SCPs 未彻底测试该政策对账户的影响之前，您不应附加。在您准备好要实施的策略后，我们建议在可以代表您的生产环境的单独组织或 OU 中进行测试。测试完成后，您应该将更改部署到更具体的范围， OUs 然后 OUs 随着时间的推移慢将更改部署到更广泛和更广泛的范围。

此存储库中的 SCP 示例使用拒绝列表策略，这意味着您还需要一个完整AWSAccess策略或其他策略，允许附加到组织实体的访问权限以允许操作。您还需要使用基于身份或基于资源的策略向委托人授予适当的权限。