RCP 語法 - AWS Organizations
元素摘要Version 元素Statement 元素Statement ID (Sid) 元素Effect 元素Principal 元素Action 元素Resource 和 NotResource 元素Condition 元素不支援的元素

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

RCP 語法

資源控制政策 (RCPs) 使用的語法與資源型政策使用的語法類似。如需 IAM 政策及其語法的詳細資訊,請參閱 IAM 使用者指南中的 https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html指南中的 IAM 政策概觀。

RCP 是根據 JSON 規則建構的。本主題描述它使用的元素。

注意

RCP 中的所有字元都會計入其大小上限。本指南中的範例顯示以額外空格格式化RCPs,以改善其可讀性。不過,若您的政策大小接近大小上限,為了節省空間,您可以刪除引號外部的任何空格,例如空格字元和換行字元。

如需 RCPs一般資訊,請參閱 資源控制政策 (RCP)

元素摘要

下表摘要說明您可以在 RCPs 中使用的政策元素。

注意

只有RCPFullAWSAccess政策Allow支援 的效果

只有RCPFullAWSAccess政策Allow支援 的效果。當您啟用資源控制政策 (RCPs) 時,此政策會自動連接到組織根目錄、每個 OU,以及您組織中的每個帳戶。您無法分離此政策。此預設 RCP 允許所有主體和動作存取通過 RCP 評估,這表示在您開始建立和連接 RCPs 之前,您所有現有的 IAM 許可都會繼續如預期般運作。這不會授予存取權。

Element 用途
版本 指定用於處理政策的語言語法規則。
Statement 做為政策元素的容器。您可以在 RCPs中擁有多個陳述式。
Statement ID (Sid) (選用) 提供陳述式的易記名稱。
效果 定義 RCP 陳述式是否拒絕存取 帳戶中的資源。
Principal 指定允許或拒絕存取 帳戶中資源的委託人。

Action

指定 RCP 允許或拒絕 AWS 的服務和動作。
Resource 指定 RCP 套用 AWS 的資源。
NotResource

指定 RCP 豁免 AWS 的資源。使用此項目以取代 Resource 元素。
Condition 指定決定陳述式生效時機的條件。

Version 元素

每個 RCP 必須包含值為 的Version元素"2012-10-17"。這是與 IAM 許可政策的最新版本相同的版本值。

如需詳細資訊,請參閱 IAM 使用者指南中的 IAM JSON 政策元素︰版本

Statement 元素

RCP 包含一或多個Statement元素。您在政策中只能有一個 Statement 關鍵字,但其值可以是 JSON 陣列的陳述式 (加上 [ ] 字元)。

下列範例顯示由單一 EffectActionPrincipalResource元素組成的單一陳述式。

 {
    "Statement": {
        "Effect": "Deny",
        "Principal": "*",
        "Action": "s3:PutBucketPublicAccessBlock",
        "Resource": "*"
    }
}

如需詳細資訊,請參閱 IAM 使用者指南中的 IAM JSON 政策元素︰陳述式

Statement ID (Sid) 元素

Sid 是一種您可以為政策陳述式提供的選用識別符。您可以將 Sid 值指派給陳述式陣列中的每個陳述式。下列範例 RCP 顯示範例Sid陳述式。

{
    "Statement": {
        "Sid": "DenyBPAConfigurations",
        "Effect": "Deny",
        "Principal": "*",
        "Action": "s3:PutBucketPublicAccessBlock",
        "Resource": "*"
    }
}

如需詳細資訊,請參閱《IAM 使用者指南》中的 IAM JSON 政策元素:Sid

Effect 元素

每個陳述式必須包含一個 Effect 元素。使用 Effect元素Deny中的 值,您可以限制對特定資源的存取,或定義 RCPs 何時生效的條件。對於您建立RCPs,值必須是 Deny。如需詳細資訊,請參閱《IAM 使用者指南》中的 RCP 評估和 IAM JSON 政策元素:效果。 https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_effect.html

Principal 元素

每個陳述式必須包含 Principal元素。您只能在 RCP 的 Principal元素中指定「*」。使用 Conditions元素來限制特定委託人。

如需詳細資訊,請參閱《IAM 使用者指南》中的 IAM JSON 政策元素:主體

Action 元素

每個陳述式必須包含 Action元素。

Action 元素的值是字串或字串清單 (JSON 陣列),可識別陳述式允許或拒絕 AWS 的服務和動作。

每個字串都包含服務 (例如 "s3"、"sqs" 或 "sts") 的縮寫,全部小寫,後面接著冒號,然後是該服務的動作。一般而言,它們都會以每個字輸入,以大寫字母開頭,其餘小寫。例如:"s3:ListAllMyBuckets"

您也可以在 RCP 中使用萬用字元,例如星號 (*) 或問號 (?):

  • 使用星號 (*) 作為萬用字元,以比對部分名稱相同的多個動作。值 "s3:*" 表示 Amazon S3 服務中的所有動作。此值僅"sts:Get*"比對以「取得」開頭 AWS STS 的動作。

  • 使用問號 (?) 萬用字元來比對單一字元。

注意

萬用字元 (*) 和問號 (?) 可用於動作名稱中的任何位置

您無法在客戶受管 RCP 的動作元素中使用 "*",而且必須指定您要限制存取之服務的縮寫 (例如 "s3"、"sqs" 或 "sts")。

如需支援 RCPs的服務清單,請參閱 AWS 服務 支援 RCPs 清單。如需 AWS 服務 支援的動作清單,請參閱AWS 《服務授權參考》中的 服務的動作、資源和條件金鑰

如需詳細資訊,請參閱 IAM 使用者指南中的 IAM JSON 原則元素︰動作

ResourceNotResource 元素

每個陳述式必須包含 ResourceNotResource元素。

您可以在資源元素中使用萬用字元,例如星號 (*) 或問號 (?):

  • 使用星號 (*) 做為萬用字元,以符合共用部分名稱的多個資源。

  • 使用問號 (?) 萬用字元來比對單一字元。

如需詳細資訊,請參閱《IAM 使用者指南》中的 IAM JSON 政策元素:資源IAM JSON 政策元素:NotResource

Condition 元素

您可以在 RCP 的拒絕陳述式中指定Condition元素。

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Deny",
            "Principal": "*",
            "Action": "s3:*",
            "Resource": "*",
            "Condition": {
                "BoolIfExists": {
                    "aws:SecureTransport": "false"
                }
            }
        }
    ]
}

此 RCP 拒絕存取 Amazon S3 操作和資源,除非請求是透過安全傳輸發生 (請求是透過 TLS 傳送)。

如需詳細資訊,請參閱 IAM 使用者指南中的 IAM JSON 政策元素︰條件

不支援的元素

RCPs 不支援下列元素:

  • NotPrincipal

  • NotAction