RCP原理介绍

RCP分类

RCP按照策略创建者可分为两类，分别是系统策略和自定义策略。

• 系统策略

华为云服务在组织预置了RCPFullAccess，称为系统策略。组织管理员给组织单元或账号绑定RCP时，可以直接使用系统策略。系统策略只能使用，不能修改。现有的RCP系统策略请参见：RCP系统策略列表。

• 自定义策略

如果系统策略无法满足授权要求，管理账号可以根据各服务支持的授权项，自行创建和修改自定义策略。自定义策略是对系统策略的扩展和补充。目前Organizations云服务支持策略编辑器和JSON视图两种自定义策略配置方式。

权限控制原理

• 划定权限边界

  RCP不直接进行授权，只划定权限边界。将RCP绑定到组织单元或者成员账号时，并没有直接对组织单元或成员账号授予操作权限，而是规定了成员账号或组织单元包含的成员账号的授权范围。IAM策略授予权限的有效性受RCP限制，只有在RCP允许范围内的权限才能生效。RCP禁止的权限操作，即便授予IAM用户权限，用户也不能执行相关操作。

  比如成员账号A绑定了某一条RCP，RCP允许操作A的权限，拒绝操作B的权限。那么成员账号A可以给自己名下的IAM用户授予操作A的权限，不能授予操作B的权限，即便授予了操作B的权限，也无法生效。

• 逐层检查权限

  如果要允许成员账号使用某个云服务的操作，在从组织的Root到账号直接路径中的每个OU（包括目标账号本身），每个层级都必须有显示允许该操作。

  图1 在Root、OU 和账号y 处附加 Allow 语句的组织结构示例
  

  如果要拒绝特定账号获取权限，在从组织的Root到账号直接路径中的每个OU（包括目标账号本身），任何RCP都可以拒绝该权限。

  图2 OU 中附加了 Deny 语句的组织结构示例及其对账号 y 的影响
  

• 默认允许

  组织启用RCP时，默认会为所有OU和账号附加全部权限（RCPFullAccess策略），默认允许所有操作。除非您为OU或账号附加其他的明确拒绝策略。