服務控制政策 (SCP)

服務控制政策 (SCP) 是一種組織政策類型，可用來管理您的組織中的許可。SCP 可集中控制組織中 IAM 使用者和 IAM 角色的最大可用許可。SCP 可協助您確保您的帳戶符合組織的存取控制指導方針。SCP 只有在啟用所有功能的組織中才能使用。若您的組織只啟用了合併帳單功能，便無法使用 SCP。如需啟用 SCP 的說明，請參閱 啟用和停用政策類型。

SCP 不會將許可授予組織中的 IAM 使用者和 IAM 角色。SCP 沒有授予與任何許可。SCP 會針對您組織中的 IAM 使用者和 IAM 角色可執行的動作，定義權限保護或設定限制。若要授予許可，管理員必須附加政策以控制存取權限，例如附加到 IAM 使用者和 IAM 角色的身分型政策，以及附加至帳戶中資源的資源型政策。有效權限是 SCP 允許的項目與身分識別和以資源為基礎的原則所允許的項目之間的邏輯交集。

重要

SCP 不會影響管理帳戶中的使用者或角色。它們只會影響組織中的成員帳戶。

主題

• 測試 SCP 的效果
• SCP 的大小上限
• 將 SCP 連接至組織中的不同層級
• SCP 對許可的影響
• 使用存取資料來改進 SCP
• 任務和實體不受 SCP 的限制
• 建立、更新和刪除服務控制政策
• 連接和分離服務控制政策
• SCP 評估
• SCP 語法
• 服務控制政策範例

測試 SCP 的效果

AWS 強烈建議您不要在未徹底測試政策對帳戶的影響之前，將 SCP 附加到組織的根目錄。而是建立一個 OU，讓您一次將一個帳戶 (或至少為少量帳戶) 移至其中，確保您不會不慎將使用者鎖在重要服務之外。判斷服務是否正由帳戶使用的其中一種方法是檢查 IAM 中上次存取資料的服務。另一種方法是使 AWS CloudTrail 用在 API 級別記錄服務使用情況。

注意

您不應移除「完整」AWSAccess 策略，除非您使用允許的動作將其修改或取代為單獨的策略，否則來自成員帳號的所有 AWS 動作都將失敗。

SCP 的大小上限

您 SCP 中所有的字元都會計入其大小上限。本指南中範例顯示的 SCP 格式具有額外的空格，以改善其可讀性。不過，若您的政策大小接近大小上限，為了節省空間，您可以刪除引號外部的任何空格，例如空格字元和換行字元。

提示

使用視覺化編輯器建置您的 SCP。它會自動移除額外空格。

將 SCP 連接至組織中的不同層級

如需 SCP 運作方式的詳細說明，請參閱 SCP 評估。

SCP 對許可的影響

SCP 與 AWS Identity and Access Management (IAM) 權限政策類似，且使用幾乎相同的語法。但是，SCP 永遠不會授予許可。SCP 是 JSON 政策，可為組織中的 IAM 使用者和 IAM 角色指定最大許可。如需詳細資訊，請參閱 IAM 使用者指南中的政策評估邏輯。

• SCP 只會影響由屬於組織一部分的帳戶管理的 IAM 使用者和角色。SCP 不會直接影響資源型政策。也不會影響來自組織外部帳戶的使用者或角色。例如，假設組織中的帳戶 A 擁有一個 Amazon S3 儲存貯體。儲存貯體政策 (資源型政策) 會授予來自組織外部帳戶 B 的使用者存取。帳戶 A 有連接一個 SCP。SCP 不會套用至帳戶 B 中的外部使用者。SCP 僅會套用至組織中帳戶 A 管理的使用者。

• SCP 會限制 IAM 使用者和成員帳戶中 IAM 使用者和角色的許可，包括成員帳戶的根使用者。任何帳戶只會擁有其上「每個」父系允許的許可。如果帳戶上方的任何層級封鎖了許可，無論是隱含 (不包含在 Allow 政策陳述式中) 或是明確 (包含在 Deny 政策陳述式中)，受影響的帳戶中的使用者或角色都將無法使用該許可，即使帳戶管理員將具備 */* 許可的 AdministratorAccess IAM 政策連接到使用者也一樣。

• SCP 僅影響組織中的成員帳戶。它們對管理帳戶中的使用者或角色沒有影響。

• 使用者和角色仍必須使用適當的 IAM 許可政策授予許可。沒有任何 IAM 許可政策的使用者將不具備存取權，即使適用的 SCP 允許所有服務和動作。

• 如果使用者或角色擁有的 IAM 許可政策，會授予存取適用 SCP 也允許的動作，使用者或角色即可執行該動作。

• 如果使用者或角色擁有的 IAM 許可政策，會授予存取權給適用的 SCP 不允許或明確拒絕的動作，使用者或角色即無法執行該動作。

• SCP 會影響連接的帳戶中的所有使用者和角色，包括根帳戶使用者。唯一的例外狀況，詳述於 任務和實體不受 SCP 的限制。

• SCP 不會影響任何服務連結角色。服務連結角色可讓其他 AWS 服務與 SCP 整合， AWS Organizations 且不受 SCP 限制。

• 當您停用根目錄中的 SCP 原則類型時，所有 SCP 都會自動從該根目錄中的所有 AWS Organizations 實體中斷連結。 AWS Organizations 實體包括組織單位、組織和帳戶。如果您在根帳戶重新啟用 SCP，該根帳戶只會還原為根帳戶中自動連接到所有實體的預設 FullAWSAccess 政策。停用 SCP 之前對 AWS Organizations 實體的任何 SCP 連接都會遺失，並且無法自動復原，雖然您可以手動重新連接他們。

• 若許可邊界 (進階 IAM 功能) 和 SCP 同時存在，則邊界、SCP 和身分類型政策必須全部允許動作。

使用存取資料來改進 SCP

使用管理帳戶登入資料登入後，您可以在 IAM 主控台的AWS Organizations區段中檢視 AWS Organizations 實體或政策上次存取的服務資料。您也可以在 IAM 中使用 AWS Command Line Interface (AWS CLI) 或 AWS API 擷取上次存取的服務資料。此資料包括有關 AWS Organizations 帳戶中 IAM 使用者和角色最後嘗試存取哪些服務以及何時允許存取的服務的資訊。您可以使用此資訊來找出未使用的許可，以便微調您的 SCP，使其更完善地遵循最低權限的原則。

例如，您可能有一個禁止存取三個 AWS 服務的拒絕清單 SCP。未列在 SCP Deny 陳述式中的所有服務都可獲允。IAM 中最後存取的服務資料會告訴您 SCP 允許哪些 AWS 服務，但從未使用過。有了該資訊，您可以更新 SCP 以拒絕存取您不需要的服務。

如需詳細資訊，請參閱《IAM 使用者指南》中的以下主題：

• 檢視 Organizations 的 Organizations 服務上次存取資料

• 使用資料來調整組織單位的許可

任務和實體不受 SCP 的限制

您無法使用 SCP 限制下列任務：

• 管理帳戶執行的任何動作

• 任何使用連接到服務連結角色之許可所執行的動作

• 以根帳戶使用者身分註冊企業支援計劃

• 以 root 使用者身分變更 AWS 支援層級

• 為 CloudFront 私人內容提供受信任的簽署者功能

• 以根使用者身分為 Amazon Lightsail 電子郵件伺服器和 Amazon EC2 執行個體設定反向 DNS

• 部分 AWS相關服務的工作：

  • Alexa Top Sites

  • Alexa Web Information Service

  • Amazon Mechanical Turk

  • Amazon 產品行銷 API