


 简短描述
-----



SCP 可用于管理企业中的权限，但不能用于授予权限。有关更多信息，请参阅[服务控制策略 (SCP)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html#orgs_manage_policies_scp)。


标签策略可用于为拥有企业的账户维护具有 AWS 资源的标准化标签。如需更多信息，请参阅[标签策略](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_tag-policies.html)。



 解决方法
-----



根据您的使用案例使用以下 SCP 或标签策略。



###  使用标签策略来防止标记现有资源



当您执行影响现有资源标签的操作时，会检查标签策略。例如，标签策略可以强制用户不能将 AWS 资源上的指定标签更改为不合规的标签。


以下标签策略示例允许标签键值对 Environment-Production（环境-生产）强制作为 Amazon Elastic Compute Cloud (Amazon EC2) 实例的标签。该策略阻止用户更改现有 Amazon EC2 实例上的此标签，但不会阻止启动带有不合规标签或没有标签的新实例。





```plaintext
{
  "tags": {
    "Environment": {
      "tag_key": {
        "@@assign": "Environment"
      },
      "tag_value": {
        "@@assign": [
          "Production"
        ]
      },
      "enforced_for": {
        "@@assign": [
          "ec2:instance"
        ]
      }
    }
  }
}
```


###  使用 SCP 防止标记创建新资源



您可以使用 SCP 来防止创建未根据您企业的标记限制准则标记的新 AWS 资源。要确保仅在存在特定标签时才创建 AWS 资源，请使用该 SCP 策略示例[要求在指定的已创建资源上使用标签](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps_examples_tagging.html#example-require-tag-on-create)。





---




 相关信息
-----



[AWS Organizations 服务控制策略与 IAM 策略之间有何区别？](https://repost.aws/zh-Hans/knowledge-center/iam-policy-service-control-policy)







我想阻止我的 AWS Organizations 成员账户中的用户使用服务控制策略 (SCP) 或标签策略创建 AWS 资源。

使用 AWS Organizations SCP 和标签策略

如何使用 SCP 和标签策略阻止我的 AWS Organizations 成员账户中的用户创建资源？

管理与治理

如何提高 AWS 组织的 SCP 字符数限制或 SCP 数量？

AWS Organizations 服务控制策略与 IAM 策略之间有何区别？

如何使用 SCP 和标签策略阻止我的 AWS Organizations 成员账户中的用户创建资源？

简短描述

解决方法

使用标签策略来防止标记现有资源

使用 SCP 防止标记创建新资源

相关信息

相关内容