


 簡短描述
-----



SCP 可用於管理組織中的許可，但不能授予許可。如需詳細資訊，請參閱[服務控制政策 (SCP)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html#orgs_manage_policies_scp)。


標籤政策可用於針對 Organizations 帳戶維護 AWS 資源的標準化標籤。有關詳細資訊，請參閲[標籤政策](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_tag-policies.html)。



 解決方案
-----



根據您的使用案例使用以下 SCP 或標籤政策。



###  使用標籤政策阻止對現有資源進行標記



在執行影響現有資源上標籤的操作時，會查看標籤政策。例如，標籤政策可以強制讓使用者無法將 AWS 資源上的指定標籤變更為不合規的標籤。


以下範例標籤政策允許將標籤鍵值對作為 Amazon Elastic Compute Cloud (Amazon EC2) 執行個體強制執行的 Environment-Production。該政策可阻止使用者在現有 Amazon EC2 執行個體上變更此標籤，但不會阻止啟動具有不合規標籤或沒有標籤的新執行個體。





```plaintext
{
  "tags": {
    "Environment": {
      "tag_key": {
        "@@assign": "Environment"
      },
      "tag_value": {
        "@@assign": [
          "Production"
        ]
      },
      "enforced_for": {
        "@@assign": [
          "ec2:instance"
        ]
      }
    }
  }
}
```


###  使用 SCP 阻止為建立新資源而進行標記



您可以使用 SCP 來阻止建立未按照組織的標記限制指引標記的新 AWS 資源。要確保僅在存在特定標籤時才建立 AWS 資源，請使用範例 SCP 政策[要求在指定建立的資源上使用標籤](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps_examples_tagging.html#example-require-tag-on-create)。





---




 相關資訊
-----



[AWS Organizations 服務控制政策和 IAM 政策之間有什麼區別？](https://repost.aws/zh-Hant/knowledge-center/iam-policy-service-control-policy)







我希望阻止 AWS Organizations 成員帳戶中的使用者透過服務控制政策 (SCP) 或標籤政策建立 AWS 資源。

使用 AWS Organizations SCP 和標籤政策

如何使用 SCP 和標籤政策來阻止 AWS Organizations 成員帳戶中的使用者建立資源？

管理與治理

如何增加 AWS Organization 的 SCP 字元大小限制或 SCP 數量？

AWS Organizations 服務控制政策和 IAM 政策有什麼區別？

如何使用 SCP 和標籤政策來阻止 AWS Organizations 成員帳戶中的使用者建立資源？

簡短描述

解決方案

使用標籤政策阻止對現有資源進行標記

使用 SCP 阻止為建立新資源而進行標記

相關資訊

相關內容