本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# 资源控制策略 (RCPs)
**注意**
**服务控制策略 (SCPs) 和资源控制策略 (RCPs)**
需要限制组织成员账户中 IAM 主体的权限时,请使用 SCP。
需要限制组织账户外部的 IAM 主体请求访问组织成员账户内的资源时,请使用 RCP。
有关更多信息,请参阅[了解 SCPs 和 RCPs](orgs_manage_policies_authorization_policies.md)。
资源控制策略 (RCPs) 是一种组织策略,可用于管理组织中的权限。 RCPs 提供对组织中资源的最大可用权限的集中控制。 RCPs 帮助您确保账户中的资源符合组织的访问控制准则。 RCPs 仅在[启用了所有功能的组织中可用](orgs_manage_org_support-all-features.md)。 RCPs 如果您的组织仅启用了整合账单功能,则不可用。有关启用的说明 RCPs,请参阅[启用策略类型](enable-policy-type.md)。
RCPs 仅凭对组织中的资源授予权限是不够的。RCP 不授予任何权限。RCP 针对各种身份可对组织的资源执行的操作定义权限护栏或设置限制。管理员仍然必须将基于身份的策略附加到 IAM 用户或角色,或者将基于资源的策略附加到您账户中的资源,以实际授予权限。有关更多信息,请参见《IAM 用户指南》**中的[基于身份的策略和基于资源的策略](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_identity-vs-resource.html)。
[有效权限](#rcp-effects-on-permissions)是 RCPs 和[服务控制策略 (SCPs) 所允许的权限与基于身份和基于资源的策略](orgs_manage_policies_scps.md)所允许的权限之间的逻辑交集。
**RCPs 不要影响管理账户中的资源**
RCPs 不要影响管理账户中的资源。它们仅影响组织内成员账户中的资源。这也意味着这 RCPs 适用于被指定为授权管理员的成员账户。
****本页面上的主题****
+ [AWS 服务 该支持清单 RCPs](#rcp-supported-services)
+ [的测试效果 RCPs](#rcp-warning-testing-effect)
+ [最大大小为 RCPs](#rcp-size-limit)
+ [隶 RCPs 属于组织中的不同级别](#rcp-about-inheritance)
+ [RCP 对权限的影响](#rcp-effects-on-permissions)
+ [不受限制的资源和实体 RCPs](#actions-not-restricted-by-rcps)
+ [RCP 评估](orgs_manage_policies_rcps_evaluation.md)
+ [RCP 语法](orgs_manage_policies_rcps_syntax.md)
+ [资源控制策略示例](orgs_manage_policies_rcps_examples.md)
## AWS 服务 该支持清单 RCPs
RCPs 适用于以下操作 AWS 服务:
+ [Amazon S3](https://docs.aws.amazon.com/s3)
+ [AWS Security Token Service](https://docs.aws.amazon.com/iam)
+ [AWS Key Management Service](https://docs.aws.amazon.com/kms)
+ [Amazon SQS](https://docs.aws.amazon.com/sqs)
+ [AWS Secrets Manager](https://docs.aws.amazon.com/secretsmanager)
+ [Amazon Cognito](https://docs.aws.amazon.com/cognito)
+ [Amazon CloudWatch 日志](https://docs.aws.amazon.com/cloudwatch)
+ [Amazon DynamoDB](https://docs.aws.amazon.com/dynamodb)
+ [Amazon Elastic Container Registry](https://docs.aws.amazon.com/ecr)
+ [Amazon OpenSearch 无服务器](https://docs.aws.amazon.com/opensearch-service)
## 的测试效果 RCPs
AWS 强烈建议您在未彻底测试该政策对您账户中资源的影响之前,不要将其附加 RCPs 到组织的根目录。首先,您可以附加 RCPs 到单个测试账户,将它们向上移动到层次结构的 OUs 下层,然后根据需要在组织结构中向上移动。确定影响的一种方法是查看 AWS CloudTrail 日志中是否存在拒绝访问的错误。
## 最大大小为 RCPs
RCP 中的所有字符都将计入其[最大大小](orgs_reference_limits.md#min-max-values)。本指南中的示例显示了带有额外空格以提高其可读性的 RCPs 格式化内容。但是,在您的策略大小接近最大大小时,可以删除任何空格(例如,引号之外的空格字符和换行符)来节省空间。
**提示**
使用可视化编辑器构建您的 RCP。它会自动删除额外的空格。
## 隶 RCPs 属于组织中的不同级别
您可以 RCPs 直接关联到个人账户或组织根帐户。 OUs有关 RCPs 工作原理的详细说明,请参阅[RCP 评估](orgs_manage_policies_rcps_evaluation.md)。
## RCP 对权限的影响
RCPs 是一种 AWS Identity and Access Management (IAM) 策略。与[基于资源的策略](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_identity-vs-resource.html)关系最为密切。但是,RCP 永远不会授予权限。取而代之 RCPs 的是访问控制,用于指定组织中资源的最大可用权限。有关更多信息,请参阅《IAM 用户指南》**中的[策略评估逻辑](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_evaluation-logic.html)。
+ RCPs 适用于其子集的资源 AWS 服务。有关更多信息,请参阅 [AWS 服务 该支持清单 RCPs](#rcp-supported-services)。
+ RCPs ***仅影响由关联的组织中的账户管理的资源*** RCPs。它们不会影响组织外部账户的资源。例如,假设有一个由组织中的账户 A 拥有的 Amazon S3 存储桶。存储桶策略(一种基于资源的策略)会向来自组织外账户 B 的用户授予访问权限。账户 A 附加了一个 RCP。即使账户 B 的用户进行访问,该 RCP 也适用于账户 A 中的 S3 存储桶。但是,当账户 A 的用户进行访问时,该 RCP 就不适用于账户 B 中的资源。
+ RCP 会限制成员账户中资源的权限。账户中的任何资源都只拥有其上方的***每个***父级资源允许的那些权限。如果在账户级别以上的任何级别阻止了某权限,则受影响账户中的资源就无法获得该权限,即使资源所有者附加了允许对任何用户进行完全访问的基于资源的策略也是如此。
+ RCPs 适用于作为操作请求的一部分获得授权的资源。这些资源可以在《[Service Authorization Reference](https://docs.aws.amazon.com/service-authorization/latest/reference/reference_policies_actions-resources-contextkeys.html#actions_table)》中操作表的“资源类型”列中找到。如果在 “资源类型” 列中指定了资源,则应用调用主账户 RCPs 的资源。例如,`s3:GetObject` 会授权对象资源。每次发出 `GetObject` 请求时,都会应用适用的 RCP 来确定请求主体是否可以调用 `GetObject` 操作。*适用的 RCP* 是指已附加到账户、组织单元(OU)或拥有所访问资源的组织根的 RCP。
+ RCPs 仅影响组织中***成员***账户中的资源。对管理账户中的资源没有任何影响。这也意味着这 RCPs 适用于被指定为授权管理员的成员账户。有关更多信息,请参阅 [管理账户的最佳实践](orgs_best-practices_mgmt-acct.md)。
+ 当主体请求访问已附加 RCP 的账户中的资源(具有适用 RCP 的资源)时,RCP 将包含在策略评估逻辑中,以确定是允许还是拒绝该主体访问。
+ RCPs 影响使用适用 RCP 访问成员账户中资源的委托人的有效权限,无论委托人是否属于同一个组织。这包括根用户。唯一的例外情况是委托人是服务相关角色,因为 RCPs 不适用于服务相关角色发出的呼叫。服务相关角色可以代表您执行必要的操作,并且不受 RCPs限制。 AWS 服务
+ 仍必须通过适当的 IAM 权限策略(包括基于身份和基于资源的策略)向用户和角色授予权限。即使适用的 RCP 允许所有服务、所有操作和所有资源,没有任何 IAM 权限策略的用户或角色也不会拥有访问权限。
## 不受限制的资源和实体 RCPs
您***不能***使用 RCPs 来限制以下内容:
+ 对管理账户中的资源执行的任何操作。
+ RCPs 不影响任何服务相关角色的有效权限。服务相关角色是一种独特的 IAM 角色,它直接链接到 AWS 服务,包括该服务代表您调用其他 AWS 服务所需的所有权限。服务相关角色的权限不能受限制。 RCPs RCPs 也不会影响 AWS 服务担任服务相关角色的能力;也就是说,服务相关角色的信任策略也不会受到影响。 RCPs
+ RCPs 不适用[AWS 托管式密钥 于 AWS Key Management Service](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#aws-managed-cmk)。 AWS 托管式密钥 由一个人代表您创建、管理和使用 AWS 服务。您无法更改或管理其权限。
+ RCPs 不要影响以下权限:
****
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/organizations/latest/userguide/orgs_manage_policies_rcps.html)
# RCP 评估
**注意**
本节中的信息***不***适用于管理策略类型,包括备份策略、标签策略、聊天应用程序政策或人工智能服务退出政策。有关更多信息,请参阅 [了解管理策略继承](orgs_manage_policies_inheritance_mgmt.md)。
由于您可以在中附加不同级别的多个资源控制策略 (RCPs) AWS Organizations,因此了解评估 RCPs 方式可以帮助您编写 RCPs 得出正确结果的文章。
## 使用策略 RCPs
该`RCPFullAWSAccess`策略是一个 AWS 托管策略。启用资源控制策略后,它会自动附加到组织根目录、每个 OU 和组织中的每个账户 (RCPs)。您无法分离此策略。此默认 RCP 允许所有委托人和操作访问权限通过 RCP 评估,这意味着在您开始创建和附加之前 RCPs,您的所有现有 IAM 权限将继续按原样运行。此 AWS 托管策略不授予访问权限。
您可以使用 `Deny` 语句来屏蔽对组织中资源的访问权限。要**拒绝**特定账户中的资源获得权限,从根到账户直接路径中的每个 OU 的**任何 RCP**(包括目标账户本身)都可以拒绝该权限。
`Deny` 语句是实施限制的一种强大方式,应该适用于组织更广泛的部分。例如,您可以附加一个策略来帮助防止组织外部的身份访问您的资源根级别,该策略将对组织中的所有账户都生效。 AWS 强烈建议您在未彻底测试该政策对您账户中资源的影响之前,不要将其附加 RCPs 到组织的根目录。有关更多信息,请参阅 [的测试效果 RCPs](orgs_manage_policies_rcps.md#rcp-warning-testing-effect)。
在图 1 中,有一个 RCP 附加到生产 OU,它为给定服务指定了显式 `Deny` 语句。因此,账户 A 和账户 B 都将被拒绝访问该服务,因为将针对组织下的所有账户 OUs 和成员账户评估附加到组织中任何级别的拒绝策略。
![\[生产 OU 中附加了 Deny 语句的组织结构示例及其对账户 A 和账户 B 的影响\]](http://docs.aws.amazon.com/zh_cn/organizations/latest/userguide/images/rcp_deny_1.png)
*图 1:生产 OU 中附加了 `Deny` 语句的组织结构示例及其对账户 A 和账户 B 的影响*
# RCP 语法
资源控制策略 (RCPs) 使用的语法与[基于资源的策略](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#policies_resource-based)使用的语法类似。有关 IAM 策略及其语法的更多信息,请参阅《IAM 用户指南》[https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html)中的 *IAM 策略概述*。
RCP 根据 [JSON](http://json.org) 的规则设置结构。它使用本主题中所述的元素。
**注意**
RCP 中的所有字符都将计入其[最大大小](orgs_reference_limits.md#min-max-values)。本指南中的示例显示了带有额外空格以提高其可读性的 RCPs 格式化内容。但是,在您的策略大小接近最大大小时,可以删除任何空格(例如,引号之外的空格字符和换行符)来节省空间。
有关的一般信息 RCPs,请参见[资源控制策略 (RCPs)](orgs_manage_policies_rcps.md)。
## 元素摘要
下表汇总了您可以在中使用的策略元素 RCPs。
**注意**
**仅 `RCPFullAWSAccess` 策略支持 `Allow` 的影响**
仅 `RCPFullAWSAccess` 策略支持 `Allow` 的影响。启用资源控制策略后,此策略将自动附加到组织根目录、每个 OU 和组织中的每个账户 (RCPs)。您无法分离此策略。此默认 RCP 允许所有委托人和操作访问权限通过 RCP 评估,这意味着在您开始创建和附加之前 RCPs,您的所有现有 IAM 权限将继续按原样运行。这样不会授予访问权限。
| Element | 用途 |
| --- | --- |
| [版本](#rcp-syntax-version) | 指定要用于处理策略的语言语法规则。 |
| [Statement](#rcp-syntax-statement) | 充当策略元素的容器。中可以有多个语句 RCPs。 |
| [Statement ID (Sid)](#rcp-syntax-sid) | (可选)提供语句的友好名称。 |
| [效果](#rcp-syntax-effect) | 定义 RCP 语句是否拒绝访问账户中的资源。 |
| [主体](#rcp-syntax-principal) | 指定允许或拒绝访问账户中资源的主体。 |
| [Action](#rcp-syntax-action) | 指定 RCP 允许或拒绝的 AWS 服务和操作。 |
| [资源](#rcp-syntax-resource) | 指定 RCP 适用的 AWS 资源。 |
| [NotResource](#rcp-syntax-resource) | 指定免受 RCP 限制的 AWS 资源。用来代替 `Resource` 元素。 |
| [Condition](#rcp-syntax-condition) | 指定语句何时生效的条件。 |
**Topics**
+ [元素摘要](#rcp-elements-table)
+ [`Version` 元素](#rcp-syntax-version)
+ [`Statement` 元素](#rcp-syntax-statement)
+ [Statement ID (`Sid`) 元素](#rcp-syntax-sid)
+ [`Effect` 元素](#rcp-syntax-effect)
+ [`Principal` 元素](#rcp-syntax-principal)
+ [`Action` 元素](#rcp-syntax-action)
+ [`Resource` 和 `NotResource` 元素](#rcp-syntax-resource)
+ [`Condition` 元素](#rcp-syntax-condition)
+ [不支持的元素](#rcp-syntax-unsupported)
## `Version` 元素
每个 RCP 都必须包含 `Version` 元素,其值为 **"2012-10-17"**。此版本值与 IAM 权限策略的最新版本相同。
有关更多信息,请参阅《IAM 用户指南》**中的 [IAM JSON 策略元素:版本](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_version.html)。
## `Statement` 元素
一个 RCP 可包含一个或多个 `Statement` 元素。一条策略中只能有一个 `Statement` 关键字,但其值可以是 JSON 语句数组 (使用 [ ] 字符括起)。
以下示例展示了包含单个 `Effect`、`Principal`、`Action` 和 `Resource` 元素的单个语句。
```
{
"Statement": {
"Effect": "Deny",
"Principal": "*",
"Action": "s3:PutBucketPublicAccessBlock",
"Resource": "*"
}
}
```
有关更多信息,请参阅《IAM 用户指南》**中的 [IAM JSON 策略元素:语句](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_statement.html)。
## Statement ID (`Sid`) 元素
`Sid` 是您针对策略语句提供的可选标识符。您可以为语句数组中的每个语句指定 `Sid` 值。以下示例 RCP 展示了一个示例 `Sid` 语句。
```
{
"Statement": {
"Sid": "DenyBPAConfigurations",
"Effect": "Deny",
"Principal": "*",
"Action": "s3:PutBucketPublicAccessBlock",
"Resource": "*"
}
}
```
有关更多信息,请参阅《IAM 用户指南》**中的 [IAM JSON 策略元素:Sid](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_sid.html)。
## `Effect` 元素
每个语句必须包含一个 `Effect` 元素。使用`Effect`元素`Deny`中的值,您可以限制对特定资源的访问权限或定义何时生效 RCPs 的条件。为 RCPs 此,您创建的值必须是`Deny`。有关更多信息,请参阅 [RCP 评估](orgs_manage_policies_rcps_evaluation.md)和《IAM 用户指南》**中的 [IAM JSON 策略元素:Effect](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_effect.html)。
## `Principal` 元素
每个语句都必须包含 `Principal` 元素。您只能在 RCP 的 `Principal` 元素中指定“`*`”。使用 `Conditions` 元素来限制特定主体。
有关更多信息,请参阅《IAM 用户指南》**中的 [IAM JSON 策略元素:Principal](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html)。
## `Action` 元素
每个语句都必须包含 `Action` 元素。
`Action`元素的值是一个字符串或字符串列表(JSON 数组),用于标识语句允许或拒绝的 AWS 服务和操作。
所有字符串均包含服务简写(例如“s3”“sqs”或“sts”),全部为小写,后跟冒号,然后是该服务的操作。通常,其输入方式为每个单词的开头是大写字母,其余为小写字母。例如:`"s3:ListAllMyBuckets"`。
您也可以在 RCP 中使用星号(\$1)或问号(?)等通配符:
+ 使用星号(\$1)通配符以匹配名称中包含相同部分的多个操作。值 `"s3:*"` 表示 Amazon S3 服务中的所有操作。该值仅`"sts:Get*"`匹配以 “Get” 开头的 AWS STS 操作。
+ 使用问号(?)通配符来匹配单个字符。
**注意**
**通配符(\$1)和问号(?)可用在操作名称中的任何位置**
在客户管理的 RCP 的 Action 元素中,您不能使用“\$1”,并且必须指定要限制访问的服务的缩写(例如“s3”“sqs”或“sts”)。
有关支持的服务的列表 RCPs,请参阅[AWS 服务 该支持清单 RCPs](orgs_manage_policies_rcps.md#rcp-supported-services)。有关 AWS 服务 支持的操作列表,请参阅《服务*授权参考*》中的 “[AWS 服务操作、资源和条件密钥](https://docs.aws.amazon.com/service-authorization/latest/reference/reference_policies_actions-resources-contextkeys.html.html)”。
有关更多信息,请参阅《IAM 用户指南》**中的 [IAM JSON 策略元素:操作](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_action.html)。
## `Resource` 和 `NotResource` 元素
每个语句都必须包含 `Resource` 或 `NotResource` 元素。
您可以在资源元素中使用星号(\$1)或问号(?)等通配符:
+ 使用星号(\$1)作为通配符来匹配名称中包含相同部分的多个资源。
+ 使用问号(?)通配符来匹配单个字符。
有关更多信息,请参阅 [IAM 用户指南中的 IAM JSON 策略元素: NotResource资源](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_resource.html)[和参阅 I](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_notresource.html) *AM* JSON 策略元素:。
## `Condition` 元素
您可以在 RCP 中的 Deny 语句中指定 `Condition` 元素。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Deny",
"Principal": "*",
"Action": "s3:*",
"Resource": "*",
"Condition": {
"BoolIfExists": {
"aws:SecureTransport": "false"
}
}
}
]
}
```
------
除非通过安全传输发出请求(通过 TLS 发送请求),否则此 RCP 会拒绝访问 Amazon S3 的操作和资源。
有关更多信息,请参阅《IAM 用户指南》**中的 [IAM JSON 策略元素:条件](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html)。
## 不支持的元素
中不支持以下元素 RCPs:
+ `NotPrincipal`
+ `NotAction`
# 资源控制策略示例
本主题中显示的[资源控制策略示例 (RCPs)](orgs_manage_policies_rcps.md) 仅供参考。
**在使用这些示例之前**
在组织 RCPs 中使用这些示例之前,请考虑以下几点:
[资源控制策略 (RCPs)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_rcps.html) 旨在用作粗粒度的预防性控制,它们不授予访问权限。您仍必须将[基于身份或基于资源的策略](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_identity-vs-resource.html)附加到账户中的 IAM 委托人或资源才能实际授予权限。有效权限是和身份策略或 SCP/RCP 和资源策略之间的逻辑交叉点。 SCP/RCP 您可以[在此处](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_rcps.html#rcp-effects-on-permissions)获取有关 RCP 对权限影响的更多详细信息。
此存储库中的资源控制策略如下所示。在 RCPs 未彻底测试该政策对您账户中资源的影响之前,您不应附加。在您准备好要实施的策略后,我们建议在可以代表您的生产环境的单独组织或 OU 中进行测试。测试完成后,您应该部署更改进行测试, OUs 然后随着 OUs 时间的推移逐步将更改部署到更广泛的范围中。
启用资源控制[RCPFullAWSAccess](https://console.aws.amazon.com/organizations/v2/home/policies/resource-control-policy/p-RCPFullAWSAccess)策略后,该策略将自动附加到组织根目录、每个 OU 和组织中的每个账户 (RCPs)。此默认 RCP 允许所有委托人和操作访问权限通过 RCP 评估。您可以使用 “拒绝” 语句来限制对组织中资源的访问权限。您还需要使用基于身份或基于资源的策略向委托人授予适当的权限。
[资源控制策略 (RCP)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_rcps.html) 附加到组织根目录、组织单位或账户时,可以集中控制组织、组织单位或账户中资源的最大可用权限。由于 RCP 可以应用于组织的多个级别,因此了解[评估](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_rcps_evaluation.html)方式RCPs 可以帮助你写出 RCPs 能产生预期结果的文章。
本节中的示例策略演示了的实现和使用 RCPs。这些示例策略并***不***是要完全按照所示实施的官方 AWS 建议或最佳实践。您有责任仔细测试任何策略,以确定其是否适合解决环境的业务需求。除非您在策略中添加必要的例外情况,否则基于拒绝的资源控制策略可能会无意中限制或阻止您对 AWS 服务的使用。
**提示**
在实施之前 RCPs,除了查看[AWS CloudTrail 日志](https://aws.amazon.com/cloudtrail/)外,评估 [IAM Access Analyzer 外部访问结果](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-findings-view.html#access-analyzer-findings-view-external)还可以帮助了解哪些资源当前是公开的或在外部共享的。
## GitHub 存储库
+ [资源控制策略示例](https://github.com/aws-samples/resource-control-policy-examples)-此 GitHub 存储库包含用于开始使用或完善您的使用方法的示例策略 AWS RCPs