本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。 # 使用 AWS Organizations 服務控制政策限制存取 本主題提供範例,示範如何在 中使用服務控制政策 (SCPs) AWS Organizations 來限制組織中帳戶中的使用者和角色可執行的操作。如需服務控制政策的詳細資訊,請參閱*AWS Organizations 《 使用者指南*》中的下列主題: + [建立 SCPs](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps_create.html) + [將 SCPs 連接至 OUs和帳戶](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps_attach.html) + [SCPs 的策略](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps_strategies.html) + [SCP 政策語法](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps_syntax.html) **Example 範例 1:防止帳戶修改自己的替代聯絡人** 下列範例會拒絕任何成員帳戶在[獨立帳戶模式下](manage-acct-api-modes-of-operation.md)呼叫 `PutAlternateContact`和 `DeleteAlternateContact` API 操作。這可防止受影響帳戶中的任何主體變更自己的替代聯絡人。 **** ``` { "Version":"2012-10-17", "Statement": [ { "Sid": "Statement1", "Effect": "Deny", "Action": [ "account:PutAlternateContact", "account:DeleteAlternateContact" ], "Resource": [ "arn:aws:account::*:account" ] } ] } ``` **Example 範例 2:防止任何成員帳戶修改組織中任何其他成員帳戶的替代聯絡人** 下列範例會將 `Resource`元素一般化為「\$1」,這表示它同時適用於[獨立模式請求和組織模式請求](manage-acct-api-modes-of-operation.md)。這表示即使帳戶管理的委派管理員帳戶適用,如果 SCP 也無法變更組織中任何帳戶的任何替代聯絡人。 **** ``` { "Version":"2012-10-17", "Statement": [ { "Sid": "Statement1", "Effect": "Deny", "Action": [ "account:PutAlternateContact", "account:DeleteAlternateContact" ], "Resource": [ "*" ] } ] } ``` **Example 範例 3:防止 OU 中的成員帳戶修改自己的替代聯絡人** 下列範例 SCP 包含的條件會將帳戶的組織路徑與兩個 OUs 的清單進行比較。這會導致封鎖指定 OUs 中任何帳戶中的委託人修改自己的替代聯絡人。