本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# AWS Organizations 和资源浏览器的服务控制策略示例
AWS 资源探索器 支持服务控制策略 (SCP)。SCP 是您附加到组织中元素的策略,用于对该组织内的权限进行管理。SCP 适用于组织 AWS 账户 中[您附加 SCP 的元素下](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps_evaluation.html)的所有人。SCP 为您组织中的所有账户提供对最大可用权限的集中控制。它们可以帮助您确保 AWS 账户 遵守组织的访问控制准则。有关更多信息,请参阅 *AWS Organizations 用户指南*中的[服务控制策略](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_type-auth.html)。
## 先决条件
要使用 SCP,您必须先执行以下操作:
+ 启用组织中的所有功能。有关更多信息,请参阅《AWS Organizations 用户指南》**中的[启用企业中的所有功能](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_org_support-all-features.html)。
+ 启用 SCP 以在您的组织内使用。有关更多信息,请参阅《AWS Organizations 用户指南》**中的[启用和禁用策略类型](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_enable-disable.html)。
+ 创建您需要的 SCP。有关创建 SCP 的更多信息,请参阅《AWS Organizations 用户指南》**中的[创建和更新 SCP](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scp-create.html)。
## 示例服务控制策略
以下示例说明如何使用[基于属性的访问权限控制(ABAC)](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)来控制对资源管理器管理操作的访问权限。除非对提出请求的 IAM 主体进行了 `ResourceExplorerAdmin=TRUE` 标记,否则此示例策略拒绝访问除搜索所需的两个权限 `resource-explorer-2:Search` 和 `resource-explorer-2:GetView` 之外的所有资源管理器操作。有关在资源管理器中使用 ABAC 的更完整讨论,请参阅 [使用基于标签的授权来控制对视图的访问权限](manage-views-grant-access.md#manage-views-grant-access-abac)。
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Deny",
"Action": [
"resource-explorer-2:AssociateDefaultView",
"resource-explorer-2:BatchGetView",
"resource-explorer-2:CreateIndex",
"resource-explorer-2:CreateView",
"resource-explorer-2:DeleteIndex",
"resource-explorer-2:DeleteView",
"resource-explorer-2:DisassociateDefaultView",
"resource-explorer-2:GetDefaultView",
"resource-explorer-2:GetIndex",
"resource-explorer-2:ListIndexes",
"resource-explorer-2:ListSupportedResourceTypes",
"resource-explorer-2:ListTagsForResource",
"resource-explorer-2:ListViews",
"resource-explorer-2:TagResource",
"resource-explorer-2:UntagResource",
"resource-explorer-2:UpdateIndexType",
"resource-explorer-2:UpdateView""
],
"Resource": [
"*"
],
"Condition": {
"StringNotEqualsIgnoreCase": {"aws:PrincipalTag/ResourceExplorerAdmin": "TRUE"}
}
]
}
```