创建SCP

约束与限制

• 自定义SCP策略中的Effect仅支持使用Deny，不支持使用Allow。
• 自定义SCP策略中的关键字仅支持使用Action，不支持使用NotAction。
• Action前缀仅支持使用已对接IAM5.0的云服务名称，例如Action="ram:*:*"，不支持使用通配符，比如Action="*" 或 Action="*:*:*"。
• 自定义SCP策略中的授权项必须包含3个字段并包含以下结构:

  "service-name:type-name:action-name"

• 无法为组织管理员绑定SCP。

操作步骤

1. 以组织管理员或管理账号的身份登录组织管理控制台。
2. 进入策略管理页，单击“服务控制策略”，进入SCP管理页。
   图1 进入SCP管理页
   

3. 选择“正式运行模式”或“试运行模式”的策略，单击“创建”，进入SCP创建页面。
   图2 创建SCP

   

4. 输入策略名称。新创建的策略名称不能与已有策略名称重复。

   （可选）输入策略描述。

   

5. 在策略内容左侧可以直接编写JSON格式的策略内容。

   关于如何编写JSON格式的策略语句可参考SCP语法介绍和SCP配置示例。

   

   

   自定义策略版本号（Version）固定为5.0，不可修改。

6. 将光标置于策略内容左侧的statement语句中，即可在策略内容右侧使用策略编辑器进行编辑自定义策略的操作、资源和条件。
   

   • 添加操作：单击号，选择或搜索要添加的服务及相应操作项，添加成功的操作项会自动显示在策略内容左侧的Action元素下。如图3所示。
     图3 添加操作
     
   • 添加资源：仅支持资源级授权的服务可添加。单击号，选择操作对应的服务，在选择资源类型，根据实际情况填写URN。如图4所示。
     图4 添加资源
     
   • 添加条件（可选）：单击号，添加条件键和运算符，规定策略生效的条件。如图5所示。
     图5 添加条件
     

7. （可选）单击“添加新语句”，可添加Statement元素的对象。

   Statement元素的值可以是多个对象组成的数组，表示不同的权限约束。

   图6 添加新语句
   

8. （可选）为策略添加标签。在标签栏目下，单击“添加标签”，输入标签键和标签值。
   图7 为SCP添加标签

   

9. 单击右下角“保存”后，系统会自动校验语法，如跳转到策略列表，则SCP创建成功；如系统提示策略内容有误，则请按照语法规范进行修改。
   

   • 在试运行模式下，通过实施策略可以模拟服务控制策略实际生效时对组织内所有成员账户可用权限的管控，并生成试运行日志以供分析。
   • 试运行模式下的策略对所有账号可操作权限无实际影响。