本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
資源控制政策範例
本主題中顯示的範例資源控制政策 (RCPs) 僅供參考。
使用這些範例之前
在組織中使用這些範例 RCPs之前,請考慮下列事項:
-
資源控制政策 RCPs) 旨在用作粗略的預防性控制,而且不會授予存取權。您仍然必須將身分型或資源型政策連接到帳戶中的 IAM 主體或資源,以實際授予許可。有效許可是 SCP/RCP 與身分政策或 SCP/RCP 與資源政策之間的邏輯交集。您可以在此處取得有關 RCP 對許可影響的詳細資訊。
-
此儲存庫中的資源控制政策會顯示為範例。如果未徹底測試政策對您帳戶中資源的影響,則不應連接 RCPs。準備好要實作的政策後,建議您在可代表生產環境的個別組織或 OU 中進行測試。測試完成後,您應該部署變更以測試 OUs,然後逐步將變更部署到更廣泛的 OUs 集。
-
當您啟用資源控制政策 (RCPs) 時,RCPFullAWSAccess
政策會自動連接到組織根目錄、每個 OU,以及您組織中的每個帳戶。此預設 RCP 允許所有主體和動作存取通過 RCP 評估。您可以使用拒絕陳述式來限制對組織中資源的存取。您仍然需要使用身分型或資源型政策,將適當的許可授予委託人。 -
當連接至組織根目錄、組織單位或帳戶時,資源控制政策 (RCP) 可讓您集中控制組織、組織單位或帳戶中資源的可用許可上限。由於 RCP 可在組織中的多個層級套用,因此了解 RCPs的評估方式可協助您撰寫可產生預期結果的 RCPs。
本節中的範例政策示範 RCPs的實作和使用。他們並非闡述為完全如圖所示實作的官方 AWS 建議或最佳實務。您有責任仔細測試任何政策是否適合解決您環境的業務需求。拒絕型資源控制政策可能會意外限制或封鎖您使用 AWS服務,除非您將必要的例外狀況新增至政策。
提示
在實作 RCPs之前,除了檢閱 AWSCloudTrail 日誌
GitHub 儲存庫
-
資源控制政策範例
- 此 GitHub 儲存庫包含開始使用或使 AWSRCPs 用量成熟的範例政策
