使用限制存取 AWS Organizations 服務控制政策 - AWS 帳戶管理

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

使用限制存取 AWS Organizations 服務控制政策

本主題提供的範例說明如何在中使用服務控制原則 (SCPs) AWS Organizations 以限制組織帳號中的使用者和角色可以執行的動作。如需服務控制原則的相關資訊,請參閱下列主題 AWS Organizations 用戶指南

範例 1:防止帳戶修改自己的替代聯絡人

下列範例會拒絕獨立帳戶模式下的任何成員帳戶呼叫PutAlternateContactDeleteAlternateContactAPI作業。這樣可以防止受影響帳戶中的任何主體變更自己的替代聯絡人。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "Statement1",
            "Effect": "Deny",
            "Action": [
                "account:PutAlternateContact",
                "account:DeleteAlternateContact"
            ],
            "Resource": [ "arn:aws:account::*:account" ]
        }
    ]
}
範例 2:防止任何成員帳戶修改組織中任何其他成員帳戶的替代聯絡人

下列範例會將Resource元素概括為「*」,這表示它同時適用於獨立模式要求和組織模式要求。這表示即使是帳戶管理的委派管理員帳戶 (如果SCP適用的話) 也會遭到封鎖,無法變更組織中任何帳戶的任何替代聯絡人。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "Statement1",
            "Effect": "Deny",
            "Action": [
                "account:PutAlternateContact",
                "account:DeleteAlternateContact"
            ],
            "Resource": [ "*" ]
        }
    ]
}
範例 3:防止 OU 中的成員帳戶修改其自己的替代連絡人

下列範例SCP包含一個條件,可將帳戶的組織路徑與兩個清單進行比較OUs。這會導致阻止指定OUs帳戶中任何帳戶中的主參與者修改其自己的替代連絡人。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "Statement1",
            "Effect": "Deny",
            "Action": "account:PutAlternateContact",
            "Resource": [
                "arn:aws:account::*:account"
            ],
            "Condition": {
                "ForAnyValue:StringLike": {
                    "account:AccountResourceOrgPath": [
                        "o-aa111bb222/r-a1b2/ou-a1b2-f6g7h111/", 
                        "o-aa111bb222/r-a1b2/ou-a1b2-f6g7h222/"
                    ]
                }
            }
    ]
}