服務控制政策範例

服務控制政策 (SCPs) 旨在用作粗粒護欄，它們不會直接授予存取權。管理員仍然必須將身分型或資源型政策連接到帳戶中的 IAM 主體或資源，以實際授予許可。有效許可是服務控制政策/資源控制政策與身分政策或服務控制政策/資源控制政策與資源政策之間的邏輯交集。您可以在此處取得有關 SCP 對許可影響的詳細資訊。

服務控制政策 (SCP) 連接至組織時，組織單位或帳戶會提供對組織、組織單位或帳戶中所有帳戶可用許可上限的中央控制。由於 SCP 可以在組織中的多個層級套用，因此了解 SCPs 的評估方式可協助您撰寫產生正確結果SCPs。

此儲存庫中的服務控制政策會顯示為範例。在未徹底測試政策對帳戶的影響之前，您不應連接 SCPs。準備好要實作的政策後，建議您在可代表生產環境的個別組織或 OU 中進行測試。測試完成後，您應該將變更部署到更具體OUs，然後隨著時間慢慢地將變更部署到更廣泛的 OUs。

此儲存庫中的 SCP 範例使用拒絕清單策略，這表示您也需要 FullAWSAccess 政策或其他政策，以允許連接到組織實體的存取以允許 動作。您仍然需要使用身分型或資源型政策，將適當的許可授予委託人。