本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 服务控制策略示例
<a name="orgs_manage_policies_scps_examples"></a>

本主题中显示的示例[服务控制策略 (SCPs)](orgs_manage_policies_scps.md) 仅供参考。

**在使用这些示例之前**  
在组织 SCPs 中使用这些示例之前，请考虑以下几点：  
[服务控制策略 (SCPs)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html) 本应用作粗粒度的护栏，它们不直接授予访问权限。管理员仍必须将[基于身份或基于资源的策略](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_identity-vs-resource.html)附加到您账户中的 IAM 委托人或资源才能实际授予权限。有效权限是服务控制策略与身份策略或服务 policy/Resource 控制策略与资源策略之间的逻辑交叉点。 policy/Resource 您可以[在此处](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html#scp-effects-on-permissions)获取有关 SCP 对权限影响的更多详细信息。
[服务控制策略 (SCP)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html) 附加到组织、组织单位或账户时，可以集中控制组织、组织单位或账户中所有账户的最大可用权限。由于 SCP 可以应用于组织的多个级别，因此了解[评估](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps_evaluation.html)方式SCPs 可以帮助你撰写 SCPs 得出正确结果的文章。
此存储库中的服务控制策略如示例所示。在 SCPs 未彻底测试该政策对账户的影响之前，您不应附加。在您准备好要实施的策略后，我们建议在可以代表您的生产环境的单独组织或 OU 中进行测试。测试完成后，您应该将更改部署到更具体的范围， OUs 然后 OUs 随着时间的推移慢将更改部署到更广泛和更广泛的范围。
此存储库中的 SCP 示例使用[拒绝列表策略](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps_evaluation.html#strategy_using_scps)，这意味着您还需要一个[完整AWSAccess](https://console.aws.amazon.com/organizations/?#/policies/p-FullAWSAccess)策略或其他策略，允许附加到组织实体的访问权限以允许操作。您还需要使用基于身份或基于资源的策略向委托人授予适当的权限。

**提示**  
您可以在 [IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction.html) 中使用[上次访问的服务数据](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_access-advisor.html)来更新您的 SCPs ，将访问权限限制为仅您需要 AWS 服务 的内容。有关更多信息，请参阅《IAM 用户指南》**中的[查看 Organizations 的 Organizations 服务上次访问的数据](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_access-advisor-view-data-orgs.html)。

## GitHub 存储库
<a name="scp-github-repositories"></a>
+ [服务控制策略示例](https://github.com/aws-samples/service-control-policy-examples)-此 GitHub 存储库包含用于开始使用或完善您的使用方法的示例策略 AWS SCPs