文档首页/组织 Organizations/用户指南/服务控制策略管理/启用和禁用SCP功能
更新时间:2026-03-17 GMT+08:00
查看PDF
分享

启用和禁用SCP功能

本节将从以下几方面为您介绍SCP:

启用SCP

当启用SCP后,正式运行SCP自动启用,试运行SCP则需要手动开启 。

在创建SCP并将其附加到组织单元和账号之前,必须先启用SCP,且只能使用组织的管理账号启用SCP。启用SCP后,组织将自动给所有OU和账号绑定FullAccess策略,默认允许所有操作。

  1. 以组织管理员或管理账号的身份登录组织管理控制台
  2. 进入策略管理页,单击“服务控制策略”操作列的“启用”。
  3. 在弹窗中勾选确认框,然后单击“确定”,完成SCP功能启用。

    图1 启用SCP

禁用SCP

如果您不想再使用SCP管理组织权限,可以禁用SCP,且只能使用组织的管理账号禁用SCP。

  • 禁用SCP后,所有SCP会自动从组织中的所有实体解绑,包括所有OU和账号,但是策略本身不会被删除。
  • 若禁用SCP后再重新启用SCP,则组织中的所有实体将恢复到只绑定FullAccess的状态。实体与其他SCP的绑定关系将丢失,如需恢复则需要用户重新绑定。
  1. 以组织管理员或管理账号的身份登录组织管理控制台
  2. 进入策略管理页,单击“服务控制策略”操作列的“禁用”。

    图2 禁用SCP

  3. 在弹窗中单击“确定”,完成SCP功能禁用。

启用试运行SCP

  1. 进入策略管理页,单击“服务控制策略”,进入SCP管理页。

  2. 在“试运行模式”的策略页签中,单击“已中止策略试运行”按钮。

  3. 配置资源转储。

    选择OBS桶,将策略试运行日志存储至您指定的对象存储服务OBS桶中。

    • 配置当前账号下OBS桶:

      选择“您账号的桶”,然后在下拉列表中选择您账号下的OBS桶,用于将策略试运行日志存储至您指定的对象存储服务OBS桶中。如果您需要将策略试运行日志存储在OBS桶内的某个文件夹下,则在选择OBS桶后,还需输入“桶前缀”,该前缀指OBS桶内某个文件夹的名称。如您的账号下无OBS桶,则需先创建OBS桶,详见创建桶

    • 配置其他账号下OBS桶:

      选择“另一账号的桶”,并输入区域ID和桶名称,如果您需要将策略试运行日志存储在OBS桶内的某个文件夹下,则还需输入“桶前缀”,该前缀指OBS桶内某个文件夹的名称。需先使用其他账号对当前账号授予相关OBS桶的权限,具体操作请参见跨账号授权

    • 开启策略试运行时,如果指定了当前账号或其他账号下的OBS桶,Organizations会向目标OBS桶中写入一个名为OrganizationsWritabilityCheckFile的空文件,此文件仅用于验证是否能够成功写入OBS桶。
    • 开启策略试运行时,组织中的所有实体将默认绑定DryRunFullAccess。

  4. 进行自定义授权。

    创建Organizations云服务委托:您可自行在统一身份认证服务(IAM)中创建委托,并进行自定义授权,授权对象为云服务Organizations,但必须包含可以让策略试运行正常工作的权限(至少包含对象存储服务(OBS)的查询桶区域位置信息和上传对象的权限)。创建委托详见委托其他云服务管理资源

    {
  "Version": "5.0",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "obs:bucket:getBucketLocation",
        "obs:object:putObject"
      ]
    }
  ]
}
    策略试运行日志转储至OBS加密桶授权配置
    • 使用SSE-OBS方式加密的OBS桶

      如果您需要将策略试运行日志存储于使用SSE-OBS方式加密的OBS桶,无需其他操作,只需选择对应OBS桶进行存储即可。

    • 使用SSE-KMS默认密钥方式加密的OBS桶

      如果您需要将策略试运行日志存储于使用SSE-KMS默认密钥方式加密的OBS桶,则需要在Organizations的委托中新增KMS的管理员权限(KMS Administrator)。

    • 使用SSE-KMS自定义密钥方式加密的OBS桶

      如果您需要将策略试运行日志存储于使用SSE-KMS自定义密钥方式加密的OBS桶,则需要在Organizations的委托中新增KMS的管理员权限(KMS Administrator)。

      另外,如果您选择将策略试运行日志存储至其他账号的使用SSE-KMS自定义密钥方式加密的OBS桶,则除了需要在Organizations的委托中新增KMS的管理员权限(KMS Administrator),还需要在所选的OBS桶加密采用的自定义KMS密钥中设置密钥的跨账号权限。详情请参见为自定义密钥创建授权

  5. 配置完成后,单击“确定”,策略试运行配置成功。

更新试运行SCP

  1. 进入策略管理页,单击“服务控制策略”,进入SCP管理页。

  2. 在“试运行模式”的策略页签中,单击“更新”按钮。

  3. 在弹出的更新策略试运行配置窗口中,输入OBS桶和自定义授权等信息,单击“确定”,完成策略试运行更新,详情请参见配置OBS桶自定义授权

    若管理员更新了策略试运行配置中OBS桶信息或委托信息,最大生效时间为15分钟。

禁用试运行SCP

  1. 进入策略管理页,单击“服务控制策略”,进入SCP管理页。

  2. 在“试运行模式”的策略页签中,单击“已启用策略试运行”按钮。
  3. 在弹出的关闭策略试运行窗口中,输入文字“确认”,单击“确定”,策略试运行关闭成功。

    • 禁用SCP后,所有SCP会自动从组织中的所有实体解绑,包括所有OU和账号,但是策略本身不会被删除。
    • 若禁用SCP后再重新启用SCP,则组织中的所有实体将恢复到只绑定DryRunFullAccess的状态。实体与其他SCP的绑定关系将丢失,如需恢复则需要用户重新绑定。
    • 策略试运行关闭后,试运行的“更新”功能随即停止,此时试运行模式中的策略不再生成试运行日志。

跨账号授权

跨账号授予OBS桶存储策略试运行日志的权限
  1. 用授权账号登录OBS服务控制台
  2. 参考自定义创建桶策略(JSON视图)对待授权账号授予相关OBS桶的权限。
  3. 桶策略的示例如下,配置该桶策略,将允许被授权账号的策略试运行将转储文件存放至本OBS桶的指定路径内,以下参数需要您根据实际使用场景手动替换:
    • ${account_id}:需要被授权的账号的账号ID(domain_id);
    • ${agency_name}:被授权的委托名称;
    • ${bucket_name}:用于存储文件的OBS桶的桶名;
    • ${folder_name}:用于存储文件的OBS桶内文件夹的名称。如果您未设置OBS桶内文件夹,则需删除“/${folder_name}”。
    {
  "Statement": [
    {
      "Sid": "org-bucket-policy",
      "Effect": "Allow",
      "Principal": {
        "ID": [
          "domain/${account_id}:agency/${agency_name}"
        ]
      },
      "Action": [
        "PutObject",
        "GetBucketLocation"
      ]
    }
  ]
}

相关文档