更新时间:2024-11-15 GMT+08:00

服务控制策略概述

概述

服务控制策略 (Service Control Policy,SCP) 是一种基于组织的访问控制策略。组织管理账号可以使用SCP指定组织中成员账号的权限边界,限制账号内用户的操作。SCP可以关联到组织、OU和成员账号。当SCP关联到组织或OU时,该组织或OU下所有账号均受该策略影响。

本节将从以下几方面为您介绍SCP:

  • SCP原理介绍:介绍SCP的分类,作用原理,继承规则,与IAM策略的关系。
  • SCP语法介绍:介绍SCP的组成结构与策略参数。

测试SCP的影响

针对SCP对账号的影响,强烈建议您在生产环境应用SCP前,使用测试账号、测试环境、测试用例开展充分且彻底的系统设计和系统测试,避免对生产环境中服务资源的使用产生不必要的影响。在测试环境充分验证之后,且需要在生产环境应用时,您可以先创建一个OU,并每次移入一个账号或少量账号,以确保不会意外中断服务资源的使用。

对于系统预置的SCP系统策略“FullAccess”,解绑操作需谨慎处理,除非您将其替换为具有允许操作的自定义策略,否则不应解绑该策略。当您确定需要解绑“FullAccess”并且配置具有允许操作的自定义策略时,除配置业务需要的授权项外,必须额外配置iamToken::*和signin::*。

  • 如果解绑Root的“FullAccess”策略,则整个组织内所有账号的可操作性权限都将失效。此操作风险极高,需谨慎操作。
  • 如果解绑OU的“FullAccess”策略,则该OU(包含下级OU)内账号的可操作权限都将失效。
  • 如果解绑成员账号的“FullAccess”策略,则该账号的可操作权限将失效。

不受SCP限制的任务

您无法使用SCP来限制以下任务:

  • 组织管理账号及其IAM用户执行的任何操作。
  • 使用服务关联委托执行的任何操作。
  • 由不支持SCP的云服务对支持SCP的云服务发起的API调用请求,将不受SCP限制。当前支持SCP的云服务和区域请参见:支持SCP的云服务支持SCP的区域
  • 通过API方式获取Token后,使用该Token访问支持SCP的云服务的API,在大多数场景下将不受SCP限制。