发布于: Mar 25, 2019
从今天开始,您可以使用服务控制策略 (SCP) 来设置权限护栏,并在 AWS Identity and Access Management (IAM) 策略中使用的精细控制。这样可以更轻松地满足组织管理规则的特定要求。AWS Organizations 控制台中的新策略编辑器可以指导您添加操作、资源和条件,从而更轻松地创建 SCP。
当在 AWS 上增长和扩展工作负载时,AWS Organizations 可帮助您集中管理环境。中央安全管理员使用 AWS Organizations 中的 SCP 建立所有 IAM 主体(用户和角色)遵守的访问控制。现在,使用 SCP,您可以指定条件、资源和 NotAction,以拒绝组织或组织单元中的账户访问。例如,您可以使用 SCP 限制对指定 AWS 区域的访问,或阻止删除公共资源,例如用于中央管理员的 IAM 角色。
要开始使用 SCP,请访问 AWS Organizations 控制台。您可以在支持 AWS Organizations 的任何 AWS 区域中使用 SCP。要了解有关 SCP 的更多信息,请访问服务控制策略文档。