更新时间:2025-10-22 GMT+08:00
使用服务控制策略控制成员账号内IAM身份的权限边界
操作场景
服务控制策略 (Service Control Policy,SCP) 是一种基于组织的访问控制策略。组织管理账号可以使用SCP指定组织中成员账号的权限边界,限制账号内用户的操作。SCP可以关联到组织、OU和成员账号。当SCP关联到组织或OU时,该组织或OU下所有账号均受该策略影响。
本章节以创建一个简单的SCP并将其绑定至成员账号为例,帮助您快速了解和使用SCP。
操作流程
|
操作步骤 |
说明 |
|---|---|
|
|
|
启用并创建自定义SCP。 |
|
|
为成员账号绑定SCP。 |
|
|
使用成员账号验证SCP是否生效。 |
准备工作
- 已创建组织,且组织中至少已加入一个成员账号。具体操作请参见使用Organizations管理多账号。
- 为账号充值。
Organizations服务为免费服务,使用Organizations服务的相关功能不收取任何费用。
但当您的账号因欠费受限冻结后,将无法在Organizations控制台执行任何写操作,因此您需要确保账号有足够的余额,避免因账号欠费冻结而无法使用Organizations服务的相关功能,如何充值请参见账户充值。
步骤一:启用并创建SCP
例如您希望组织内的某一成员账号无法删除RAM服务的资源共享实例,可以参考如下示例创建SCP。
如下步骤仅针对示例中的关键参数进行设置和介绍,其他参数保存默认,更多SCP的详细信息请参见创建SCP。
- 以组织管理员或管理账号的身份登录组织管理控制台。
- 在左侧导航中选择“策略管理”,单击“服务控制策略”操作列的“启用”。
- 在弹窗中勾选确认框,然后单击“确定”,完成SCP功能启用。
- 单击“服务控制策略”,进入SCP管理页。
- 单击“创建”,进入创建策略页面。
- 在策略内容左侧单击策略语句中的“Effect”或“Action”,然后在右侧的策略编辑器中单击“添加操作”后的“+”号。
- 在弹窗中选择RAM服务的“ram:resourceShares:delete”操作,单击“确定”。
- 单击“添加资源”后的“+”号,在弹窗中选择RAM服务的“所有资源”,单击“确定”。
最终的策略内容如下,表示禁止删除RAM服务的资源共享实例:
{ "Version": "5.0", "Statement": [ { "Effect": "Deny", "Action": [ "ram:resourceShares:delete" ], "Resource": [ "*" ] } ] } - 单击页面右下角的“保存”,自定义SCP创建完成。
