服务控制策略(SCP)

本章节以配置示例的方式演示SCP策略如何配置。

配置示例：禁止某账号下载的某个组织下的镜像。

下面以禁止Organizations组织下的账号下载SWR组织为test-namespace，镜像仓库为test-repo内的镜像的场景为例演示如何配置。

配置方法：

1. 以组织管理员或管理账号的身份登录管理控制台，进入Organizations控制台。
2. 进入策略管理页，依次单击“服务控制策略-创建”，进入SCP创建页面。
3. 输入策略名称和策略描述，在策略内容左侧可以复制粘贴如下JSON格式的策略内容。单击“保存”。

   {
     "Version": "5.0",
     "Statement": [
       {
         "Effect": "Deny",
         "Action": [
           "swr:repo:download"
         ],
         "Resource": [
           "swr:*:*:repo:test-namespace/test-repo"
         ]
       }
     ]
   }

4. 把此策略绑定至组织的OU或者账号上，使其生效。这样该账号就无法下载。具体方法如下：
   1. 以组织管理员或管理账号的身份登录华为云，进入华为云Organizations控制台，进入组织管理页面。
   2. 选中要绑定SCP的OU或者账号。
   3. 在右侧详情页，选择策略页签，展开“服务控制策略”列表，单击列表上方的“绑定”。
   4. 在弹窗中选择要添加的策略后，在文本框中输入“确认”，然后单击“绑定”，完成策略绑定。