Pilih preferensi cookie Anda

Kami menggunakan cookie penting serta alat serupa yang diperlukan untuk menyediakan situs dan layanan. Kami menggunakan cookie performa untuk mengumpulkan statistik anonim sehingga kami dapat memahami cara pelanggan menggunakan situs dan melakukan perbaikan. Cookie penting tidak dapat dinonaktifkan, tetapi Anda dapat mengklik “Kustom” atau “Tolak” untuk menolak cookie performa.

Jika Anda setuju, AWS dan pihak ketiga yang disetujui juga akan menggunakan cookie untuk menyediakan fitur situs yang berguna, mengingat preferensi Anda, dan menampilkan konten yang relevan, termasuk iklan yang relevan. Untuk menerima atau menolak semua cookie yang tidak penting, klik “Terima” atau “Tolak”. Untuk membuat pilihan yang lebih detail, klik “Kustomisasi”.

Preferensi
Hubungi Kami
Umpan Balik
AWS Documentation
Buat Akun AWS

RCPevaluasi

PDF
RSS
Mode fokus
RCPevaluasi - AWS Organizations
Strategi untuk menggunakan RCPs

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

catatan

Informasi di bagian ini tidak berlaku untuk jenis kebijakan manajemen, termasuk kebijakan cadangan, kebijakan tag, kebijakan chatbot, atau kebijakan opt-out layanan AI. Untuk informasi selengkapnya, lihat Memahami warisan kebijakan manajemen.

Karena Anda dapat melampirkan beberapa kebijakan kontrol sumber daya (RCPs) pada tingkat yang berbeda AWS Organizations, memahami bagaimana RCPs dievaluasi dapat membantu Anda menulis RCPs yang menghasilkan hasil yang tepat.

Strategi untuk menggunakan RCPs

RCPFullAWSAccessKebijakan tersebut adalah kebijakan yang AWS dikelola. Ini secara otomatis dilampirkan ke root organisasi, setiap OU, dan setiap akun di organisasi Anda, ketika Anda mengaktifkan kebijakan kontrol sumber daya (RCPs). Anda tidak dapat melepaskan kebijakan ini. Default ini RCP memungkinkan semua akses prinsipal dan tindakan untuk melewati RCP evaluasi, artinya sampai Anda mulai membuat dan melampirkanRCPs, semua IAM izin yang ada terus beroperasi seperti yang mereka lakukan. Kebijakan AWS terkelola ini tidak memberikan akses.

Anda dapat menggunakan Deny pernyataan untuk memblokir akses ke sumber daya di organisasi Anda. Agar izin ditolak untuk sumber daya di akun tertentu, apa pun RCP dari root melalui setiap OU di jalur langsung ke akun (termasuk akun target itu sendiri) dapat menolak izin itu.

Denypernyataan adalah cara yang ampuh untuk menerapkan pembatasan yang harus benar untuk bagian yang lebih luas dari organisasi Anda. Misalnya, Anda dapat melampirkan kebijakan untuk membantu mencegah identitas eksternal organisasi Anda mengakses tingkat akar sumber daya Anda, dan itu akan efektif untuk semua akun di organisasi. AWS sangat menyarankan agar Anda tidak melampirkan RCPs ke akar organisasi Anda tanpa menguji secara menyeluruh dampak kebijakan terhadap sumber daya di akun Anda. Untuk informasi selengkapnya, lihat Pengujian efek RCPs.

Pada Gambar 1, ada RCP lampiran pada OU Produksi yang memiliki Deny pernyataan eksplisit yang ditentukan untuk layanan tertentu. Akibatnya, baik Akun A dan Akun B akan ditolak akses ke layanan karena kebijakan penolakan yang dilampirkan ke tingkat mana pun dalam organisasi dievaluasi untuk semua akun anggota OUs dan di bawahnya.

Organizational structure showing Root, OUs, and member accounts with policy inheritance.

Gambar 1: Contoh struktur organisasi dengan Deny pernyataan terlampir di Produksi OU dan dampaknya pada Akun A dan Akun B

Di halaman ini

PrivasiSyarat situsPreferensi cookie
© 2025, Amazon Web Services, Inc. atau afiliasinya. Semua hak dilindungi undang-undang.