本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# RCP 评估
<a name="orgs_manage_policies_rcps_evaluation"></a>

**注意**  
本节中的信息***不***适用于声明性策略类型，包括备份策略、标签策略、聊天应用程序策略或 AI 服务选择退出策略。有关更多信息，请参阅 [了解声明式策略继承](orgs_manage_policies_inheritance_mgmt.md)。

由于您可以在 AWS Organizations中的不同级别附加多个资源控制策略（RCP），了解如何评估 RCP 可以帮助您编写产生正确结果的 RCP。

## 使用 RCP 的策略
<a name="how_rcps_deny"></a>

该`RCPFullAWSAccess`策略是一个 AWS 托管策略。启用资源控制策略（RCP）后，此策略会自动附加到组织根、每个 OU 和组织中的每个账户。您无法分离此策略。此默认 RCP 允许所有主体和操作访问通过 RCP 评估，这意味着在您开始创建和附加 RCP 之前，所有现有的 IAM 权限仍会继续像以前一样运行。此 AWS 托管策略不授予访问权限。

您可以使用 `Deny` 语句来屏蔽对组织中资源的访问权限。要**拒绝**特定账户中的资源获得权限，从根到账户直接路径中的每个 OU 的**任何 RCP**（包括目标账户本身）都可以拒绝该权限。

`Deny` 语句是实施限制的一种强大方式，应该适用于组织更广泛的部分。例如，您可以附加一项策略来帮助防止组织外部的身份访问您的资源根级别，这对组织中的所有账户均有效。 AWS 强烈建议，在没有全面测试该策略对账户中资源的影响之前，请勿将 RCP 附加到组织的根。有关更多信息，请参阅 [的测试效果 RCPs](orgs_manage_policies_rcps.md#rcp-warning-testing-effect)。

在图 1 中，有一个 RCP 附加到生产 OU，它为给定服务指定了显式 `Deny` 语句。因此，账户 A 和账户 B 都将被拒绝访问该服务，因为附加到组织中任何级别的拒绝策略都会针对其下的所有 OU 和成员账户进行评估。

![生产 OU 中附加了 Deny 语句的组织结构示例及其对账户 A 和账户 B 的影响](http://docs.aws.amazon.com/zh_cn/organizations/latest/userguide/images/rcp_deny_1.png)


*图 1：生产 OU 中附加了 `Deny` 语句的组织结构示例及其对账户 A 和账户 B 的影响*