Amazon 应用程序恢复控制器示例 SCPs (ARC) - AWS Organizations
防止用户更新ARC路由控制状态

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

Amazon 应用程序恢复控制器示例 SCPs (ARC)

防止用户更新ARC路由控制状态

较低级别的ARC操作员需要监控仪表板并查看ARC信息。但是,操作员不得像高级运营商那样更新路由控制 AWS 区域 以将应用程序从一个故障转移到另一个应用程序。这SCP可以防止任何受影响账户中的用户或角色运行更新ARC路由控制的ARC操作。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "DenyAll",
            "Effect": "Deny",
            "Action": [
                "route53-recovery-cluster:UpdateRoutingControlState",
                "route53-recovery-cluster:UpdateRoutingControlStates"
            ],
            "Resource": "*",
            "Condition": {
                "ArnNotLike": {
                    "aws:PrincipalARN": [
                        "arn:aws:iam::*:role/Role1AllowedToBypassThisSCP",
                        "arn:aws:iam::*:role/Role2AllowedToBypassThisSCP"
                    ]
                }
            }
        }
    ]
}