服务控制策略(SCP)

操作场景

服务控制策略 (Service Control Policy，SCP) 是一种基于组织的访问控制策略。组织管理账号可以使用SCP指定组织中成员账号的权限边界，限制账号内用户的操作。SCP可以关联到组织、OU和成员账号。当SCP关联到组织或OU时，该组织或OU下所有账号均受该策略影响。

前提条件

获取组织ID：以组织管理员、管理账号或成员账号的身份登录组织管理控制台，进入控制面板页，即可查看组织ID、组织的URN、管理账号名称及管理账号ID等信息。

权限控制原理

• 允许类权限的生效规则

  如果要在成员账号级别允许使用某个云服务的操作，则必须在账号和根组织单元之间的每个层级上允许该操作。这意味着，必须在根组织单元和账号之间的每个层级，附加允许该操作的SCP。

  因此，组织启用SCP时，默认会为所有OU和账号绑定全部权限（FullAccess策略），默认允许所有操作，默认开放全部云服务与操作权限。如果任意层级删除该默认策略且未配置替代的策略，则该层级下的所有组织单元和成员账号，将会被禁止所有云资源操作。

  如图1所示：如需让指定成员账号正常使用某个云服务，根组织单元、下层组织单元和目标成员账号自身，三个层级都必须绑定对应的允许该操作的SCP。

  图1 三个层级都必须绑定对应的允许该操作的SCP
  

  SCP整体遵循默认拒绝原则：所有未在各层级SCP中明确允许的操作，都会被自动拦截。只要根组织单元、下层组织单元、目标账号任意一层缺少允许配置，对应操作将无法执行。

• 拒绝类权限的生效规则

  在根节点到目标成员账号的完整链路里，只要任意一个层级的SCP设置了禁止规则，该操作权限就会被统一限制。

  如图2所示：某业务组织单元中配置了禁止操作某个云服务的策略，即便根组织单元和下层的目标成员账号单独设置了允许该云服务操作的SCP，该组织单元下所有成员账号依然无法使用该云服务。上层配置的拒绝规则，会统一约束其管辖范围内全部下级组织单元与成员账号。

  图2 拒绝类权限生效规则
  

策略语法示例

本章节以配置示例的方式演示SCP策略如何配置。

配置示例：禁止某账号下载的某个组织下的镜像。

下面以禁止Organizations组织下的账号下载SWR组织为test-namespace，镜像仓库为test-repo内的镜像的场景为例演示如何配置。

配置方法：

1. 以组织管理员或管理账号的身份登录组织控制台组织控制台，进入组织 Organizations控制台。
2. 进入策略管理页，依次单击“服务控制策略-创建”，进入SCP创建页面。
3. 输入策略名称和策略描述，在策略内容左侧可以复制粘贴如下JSON格式的策略内容。单击“保存”。

   {
     "Version": "5.0",
     "Statement": [
       {
         "Effect": "Deny",
         "Action": [
           "swr:repo:download"
         ],
         "Resource": [
           "swr:*:*:repo:test-namespace/test-repo"
         ]
       }
     ]
   }

4. 把此策略绑定至组织的OU或者账号上，使其生效。这样该账号就无法下载。具体方法如下：
   1. 以组织管理员或管理账号的身份登录组织控制台组织控制台，进入组织管理页面。
   2. 选中要绑定SCP的OU或者账号。
   3. 在右侧详情页，选择策略页签，展开“服务控制策略”列表，单击列表上方的“绑定”。
   4. 在弹窗中选择要添加的策略后，在文本框中输入“确认”，然后单击“绑定”，完成策略绑定。

策略参数说明

相关文档：

scp原理介绍

SCP语法介绍

使用标签控制对华为云资源的访问