限制存取AWS Organizations服務控制政策 - AWS 帳戶管理

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

限制存取AWS Organizations服務控制政策

本主題提供的範例說明如何使用服務控制政策 (SCP) 來限制組織帳戶中的使用者和角色可以執行的動作。如需有關服務控制政策的詳細資訊,請參閱中的下列主題AWS Organizations使用者指南

範例 1:防止帳戶修改自己的替代聯絡人

下面的例子拒絕PutAlternateContactDeleteAlternateContactAPI 操作由中的任何成員帳戶調用獨立帳戶模式。這樣可以防止受影響帳戶中的任何主體變更自己的替代聯絡人。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "Statement1",
            "Effect": "Deny",
            "Action": [
                "account:PutAlternateContact",
                "account:DeleteAlternateContact"
            ],
            "Resource": [ "arn:aws:account::*:account" ]
        }
    ]
}
範例 2:防止任何成員帳戶修改組織中任何其他成員帳戶的替代聯絡人

下面的例子概括Resource元素為「*」,這意味著它適用於兩者獨立模式請求與組織模式請求。這表示即使是帳戶管理的委派管理員帳戶 (如果套用 SCP),也會遭到封鎖,無法變更組織中任何帳戶的任何替代聯絡人。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "Statement1",
            "Effect": "Deny",
            "Action": [
                "account:PutAlternateContact",
                "account:DeleteAlternateContact"
            ],
            "Resource": [ "*" ]
        }
    ]
}
範例 3:防止 OU 中的成員帳戶修改其本身的替代連絡人

下列範例 SCP 包含一個條件,可將帳戶的組織路徑與兩個 OU 清單進行比較。這會導致封鎖指定 OU 中任何帳戶中的主體,使其無法修改其本身的替代連絡人。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "Statement1",
            "Effect": "Deny",
            "Action": "account:PutAlternateContact",
            "Resource": [
                "arn:aws:account::*:account"
            ],
            "Condition": {
                "ForAnyValue:StringLike": {
                    "account:AccountResourceOrgPath": [
                        "o-aa111bb222/r-a1b2/ou-a1b2-f6g7h111/", 
                        "o-aa111bb222/r-a1b2/ou-a1b2-f6g7h222/"
                    ]
                }
            }
    ]
}