服务控制策略概述

概述

服务控制策略 (Service Control Policy，SCP) 是一种基于组织的访问控制策略。组织管理账号可以使用SCP指定组织中成员账号的权限边界，限制账号内用户的操作。服务策略可以关联到组织、OU和成员账号。当服务策略关联到组织或OU时，该组织或OU下所有账号受到该策略影响。

本节将从以下几方面为您介绍SCP：

• SCP原理介绍：介绍SCP的分类，作用原理，继承规则，与IAM策略的关系。
• SCP语法介绍：介绍SCP的组成结构与策略参数。

测试SCP的影响

针对SCP对账号的影响，强烈建议您在生产环境应用SCP前，使用测试账号、测试环境、测试用例开展充分且彻底的系统设计和系统测试，避免对生产环境中服务资源的使用产生不必要的影响。在测试环境充分验证之后，且需要在生产环境应用时，您可以先创建一个OU，并每次移入一个账号或少量账号，以确保不会意外中断服务资源的使用。

对于系统预置的SCP“FullAccess”，解绑操作需谨慎处理，除非您将其替换为具有允许操作的自定义策略，否则不应解绑该策略。当您确定需要解绑“FullAccess”并且配置具有允许操作的自定义策略时，除配置业务需要的授权项外，必须额外配置iamToken::*和signin::*。

• 如果解绑Root的“FullAccess”策略，则整个组织内所有账号的可操作性权限都将失效。此操作风险极高，需谨慎操作。
• 如果解绑OU的“FullAccess”策略，则该OU（包含下级OU）内账号的可操作权限都将失效。
• 如果解绑成员账号的“FullAccess”策略，则该账号的可操作权限将失效。

不受SCP限制的任务

您无法使用SCP来限制以下任务：

• 组织管理账号及其IAM用户执行的任何操作。
• 使用服务关联委托执行的任何操作。
• 由不支持SCP的云服务对支持SCP的云服务发起的API调用请求，将不受SCP限制。当前支持SCP的云服务和区域请参见：支持SCP的云服务和支持SCP的区域。
• 通过API方式获取Token后，使用该Token访问支持SCP的云服务的API，将不受SCP限制。
• 华为云移动端APP版本低于v3.30.0，将不受SCP限制。