更新时间:2024-11-15 GMT+08:00
服务控制策略概述
概述
服务控制策略 (Service Control Policy,SCP) 是一种基于组织的访问控制策略。组织管理账号可以使用SCP指定组织中成员账号的权限边界,限制账号内用户的操作。SCP可以关联到组织、OU和成员账号。当SCP关联到组织或OU时,该组织或OU下所有账号均受该策略影响。
本节将从以下几方面为您介绍SCP:
测试SCP的影响
针对SCP对账号的影响,强烈建议您在生产环境应用SCP前,使用测试账号、测试环境、测试用例开展充分且彻底的系统设计和系统测试,避免对生产环境中服务资源的使用产生不必要的影响。在测试环境充分验证之后,且需要在生产环境应用时,您可以先创建一个OU,并每次移入一个账号或少量账号,以确保不会意外中断服务资源的使用。
对于系统预置的SCP系统策略“FullAccess”,解绑操作需谨慎处理,除非您将其替换为具有允许操作的自定义策略,否则不应解绑该策略。当您确定需要解绑“FullAccess”并且配置具有允许操作的自定义策略时,除配置业务需要的授权项外,必须额外配置iamToken::*和signin::*。
- 如果解绑Root的“FullAccess”策略,则整个组织内所有账号的可操作性权限都将失效。此操作风险极高,需谨慎操作。
- 如果解绑OU的“FullAccess”策略,则该OU(包含下级OU)内账号的可操作权限都将失效。
- 如果解绑成员账号的“FullAccess”策略,则该账号的可操作权限将失效。
不受SCP限制的任务
您无法使用SCP来限制以下任务:
- 组织管理账号及其IAM用户执行的任何操作。
- 使用服务关联委托执行的任何操作。
- 由不支持SCP的云服务对支持SCP的云服务发起的API调用请求,将不受SCP限制。当前支持SCP的云服务和区域请参见:支持SCP的云服务和支持SCP的区域。
- 通过API方式获取Token后,使用该Token访问支持SCP的云服务的API,在大多数场景下将不受SCP限制。
父主题: 服务控制策略介绍