本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 中的授權政策 AWS Organizations
<a name="orgs_manage_policies_authorization_policies"></a>

中的授權政策 AWS Organizations 可讓您集中設定和管理成員帳戶中主體和資源的存取權。這些政策如何影響您套用它們的組織單位 (OUs) 和帳戶，取決於您套用的授權政策類型。

中有兩種不同類型的授權政策 AWS Organizations：服務控制政策 SCPs) 和資源控制政策 RCPs)。

**Topics**
+ [SCPs與 RCPs之間的差異](#understanding-scps-and-rcps)
+ [使用 SCPs和 RCPs](#when-to-use-scps-and-rcps)
+ [服務控制政策](orgs_manage_policies_scps.md)
+ [資源控制政策](orgs_manage_policies_rcps.md)

## SCPs與 RCPs之間的差異
<a name="understanding-scps-and-rcps"></a>

SCPs是以主體為中心的控制項。SCPs 會針對成員帳戶中的主體可用的許可上限，建立許可護欄或設定限制。當您想要對組織中的主體集中強制執行一致的存取控制時，您可以使用 SCP。這可能包括指定您的 IAM 使用者和 IAM 角色可以存取哪些服務、他們可以存取哪些資源，或是他們可以提出請求的條件 （例如，來自特定區域或網路）。

RCPs是以資源為中心的控制項。RCPs 會針對成員帳戶中資源可用的許可上限，建立許可護欄或設定限制。當您想要在組織中跨資源集中強制執行一致的存取控制時，您可以使用 RCP。這可以限制對資源的存取，以便只能由屬於您組織的身分存取，或指定組織外部的身分可以存取您資源的條件。

某些控制項可以透過 SCPs 和 RCPs 以類似的方式套用。例如，您可能想要[防止使用者將未加密的物件上傳至 S3](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps_examples_s3.html#example-s3-1)，該物件可寫入 SCP，以強制控制委託人可對 S3 儲存貯體採取的動作。此控制項也可以寫入 RCP，以便在任何主體將物件上傳至 S3 儲存貯體時要求加密。如果您的儲存貯體允許第三方廠商等組織外的主體將物件上傳至 S3 儲存貯體，則可能會偏好第二個選項。不過，某些控制項只能在 RCP 中實作，而某些控制項只能在 SCP 中實作。如需詳細資訊，請參閱[SCPs和 RCPs 的一般使用案例](#scps-rcps-general-use-cases)。

## 使用 SCPs和 RCPs
<a name="when-to-use-scps-and-rcps"></a>

SCPs和 RCPs是獨立的控制項。您可以選擇只啟用 SCPs或 RCPs，或同時使用這兩種政策類型。透過同時使用 SCPs 和 RCPs，您可以在身分和資源周圍建立[資料周邊](https://aws.amazon.com/identity/data-perimeters-on-aws/)。

SCPs可讓您控制身分可存取的資源。例如，您可能想要允許您的身分存取 AWS 組織中的資源。不過，您可能想要防止身分存取組織外部的資源。您可以使用 SCPs強制執行此控制項。

RCPs可讓您控制哪些身分可以存取您的 資源。例如，您可能想要允許組織中的身分能夠存取組織中的資源。不過，您可能想要防止組織外部的身分存取您的資源。您可以使用 RCPs強制執行此控制項。RCPs可讓您為組織外部存取資源的主體提供影響有效許可的能力。SCPs只能影響 AWS 組織內主體的有效許可。

### SCPs和 RCPs 的一般使用案例
<a name="scps-rcps-general-use-cases"></a>

下表詳細說明使用 SCP 和 RCPs的一般使用案例


****  

|  | **影響** | 
| --- |--- |
| **使用案例** | **政策類型** | **您的身分** | **外部身分** | **您的 資源** | **外部資源 （請求的目標）** | 
| --- |--- |--- |--- |--- |--- |
| Restrict which services or actions your identities can use | SCP | X |  | X | X | 
| Restrict which resources your identities can access | SCP | X |  | X | X | 
| Enforce requirements on how your identities can access resources | SCP | X |  | X | X | 
| Restrict which identities can access your resources | RCP | X | X | X |  | 
| Protect sensitive resources in your organization | RCP | X | X | X |  | 
| Enforce requirements on how your resources can be accessed | RCP | X | X | X |  |