本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 資源控制政策 (RCP)
**注意**
**服務控制政策 SCPs) 和資源控制政策 RCPs)**
當您需要限制組織成員帳戶中 IAM 主體的許可時,請使用 SCP。
當您需要限制組織帳戶外部的 IAM 主體,請求存取組織成員帳戶中的資源時,請使用 RCP。
如需詳細資訊,請參閱[了解 SCPs和 RCPs](orgs_manage_policies_authorization_policies.md)。
資源控制政策 RCPs) 是一種組織政策,可用來管理組織中的許可。RCPs可讓您集中控制組織中資源的最大可用許可。RCPs可協助您確保帳戶中的資源符合組織的存取控制準則。RCPs僅適用於[已啟用所有功能的](orgs_manage_org_support-all-features.md) 組織。如果您的組織只啟用合併帳單功能,則無法使用 RCPs。如需啟用 RCPs的說明,請參閱 [啟用政策類型](enable-policy-type.md)。
僅 RCPs 不足以將許可授予組織中的資源。RCP 不會授予任何許可。RCP 會針對身分可對組織中資源採取的動作,定義許可護欄或設定限制。管理員仍然必須將身分型政策連接到 IAM 使用者或角色,或將資源型政策連接到您帳戶中的資源,以實際授予許可。如需詳細資訊,請參閱《*IAM 使用者指南*》中的[身分型政策和資源型政策](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_identity-vs-resource.html)。
[有效許可](#rcp-effects-on-permissions)是 RCPs [和服務控制政策 (SCPs)](orgs_manage_policies_scps.md) 允許的內容與身分型和資源型政策允許的內容之間的邏輯交集。
**RCPs不會影響管理帳戶中的資源**
RCPs不會影響管理帳戶中的資源。它們只會影響組織中成員帳戶中的資源。這也表示 RCPs適用於指定為委派管理員的成員帳戶。
****本頁主題****
+ [AWS 服務 支援 RCPs 清單](#rcp-supported-services)
+ [測試 RCPs的效果](#rcp-warning-testing-effect)
+ [RCPs的大小上限](#rcp-size-limit)
+ [將 RCPs連接到組織中的不同層級](#rcp-about-inheritance)
+ [RCP 對許可的影響](#rcp-effects-on-permissions)
+ [不受 RCPs 限制的資源和實體](#actions-not-restricted-by-rcps)
+ [RCP 評估](orgs_manage_policies_rcps_evaluation.md)
+ [RCP 語法](orgs_manage_policies_rcps_syntax.md)
+ [資源控制政策範例](orgs_manage_policies_rcps_examples.md)
## AWS 服務 支援 RCPs 清單
RCPs適用於下列項目的動作 AWS 服務:
+ [Amazon S3](https://docs.aws.amazon.com/s3)
+ [AWS Security Token Service](https://docs.aws.amazon.com/iam)
+ [AWS Key Management Service](https://docs.aws.amazon.com/kms)
+ [Amazon SQS](https://docs.aws.amazon.com/sqs)
+ [AWS Secrets Manager](https://docs.aws.amazon.com/secretsmanager)
+ [Amazon Cognito](https://docs.aws.amazon.com/cognito)
+ [Amazon CloudWatch Logs](https://docs.aws.amazon.com/cloudwatch)
+ [Amazon DynamoDB](https://docs.aws.amazon.com/dynamodb)
+ [AWS AppConfig](https://docs.aws.amazon.com/appconfig)
+ [Amazon AppStream](https://docs.aws.amazon.com/appstream)
+ [Amazon EC2 Auto Scaling](https://docs.aws.amazon.com/autoscaling)
+ [AWS CodeBuild](https://docs.aws.amazon.com/codebuild)
+ [AWS CodeCommit](https://docs.aws.amazon.com/codecommit)
+ [Amazon Comprehend](https://docs.aws.amazon.com/comprehend)
+ [Amazon Comprehend Medical](https://docs.aws.amazon.com/comprehendmedical)
+ [DynamoDB Accelerator](https://docs.aws.amazon.com/dax)
+ [Amazon Elastic Container Registry](https://docs.aws.amazon.com/ecr)
+ [AWS Health](https://docs.aws.amazon.com/health)
+ [Amazon Kinesis Video Streams](https://docs.aws.amazon.com/kinesisvideo)
+ [Amazon OpenSearch Serverless](https://docs.aws.amazon.com/opensearch-service)
+ [AWS 支援](https://docs.aws.amazon.com/support)
+ [Amazon Textract](https://docs.aws.amazon.com/textract)
+ [Amazon Transcribe](https://docs.aws.amazon.com/transcribe)
+ [Amazon Translate](https://docs.aws.amazon.com/translate)
## 測試 RCPs的效果
AWS 強烈建議您不要在未徹底測試政策對您帳戶中資源的影響的情況下,將 RCPs 連接到組織的根目錄。您可以從將 RCPs 連接至個別測試帳戶開始,將它們移至階層中較低的 OUs,然後視需要逐步完成組織結構。判斷影響的一種方法是檢閱拒絕存取錯誤的 AWS CloudTrail 日誌。
## RCPs的大小上限
RCP 中的所有字元都會計入其[大小上限](orgs_reference_limits.md#min-max-values)。本指南中的範例顯示以額外空格格式化RCPs,以改善其可讀性。不過,若您的政策大小接近大小上限,為了節省空間,您可以刪除引號外部的任何空格,例如空格字元和換行字元。
**提示**
使用視覺化編輯器來建置 RCP。它會自動移除額外空格。
## 將 RCPs連接到組織中的不同層級
您可以直接將 RCPs 連接到個別帳戶、OUs 或組織根目錄。如需 RCPs運作方式的詳細說明,請參閱 [RCP 評估](orgs_manage_policies_rcps_evaluation.md)。
## RCP 對許可的影響
RCPs AWS Identity and Access Management (IAM) 政策。它們與以[資源為基礎的政策](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_identity-vs-resource.html)最密切相關。不過,RCP 永遠不會授予許可。反之,RCPs是存取控制,可指定組織中資源的可用許可上限。如需詳細資訊,請參閱 * IAM User Guide* 中的 [Policy evaluation logic](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_evaluation-logic.html)。
+ RCPs適用於 子集的資源 AWS 服務。如需詳細資訊,請參閱[AWS 服務 支援 RCPs 清單](#rcp-supported-services)。
+ RCPs***只會影響由屬於已連接 RCP 之組織一部分的帳戶管理的資源***。 RCPs 它們不會影響來自組織外部帳戶的資源。例如,請考慮組織中帳戶 A 擁有的 Amazon S3 儲存貯體。儲存貯體政策 (以資源為基礎的政策) 會將存取權授予組織外部帳戶 B 的使用者。帳戶 A 已連接 RCP。即使由帳戶 B 的使用者存取,該 RCP 也適用於帳戶 A 中的 S3 儲存貯體。不過,當帳戶 A 中的使用者存取時,該 RCP 不適用於帳戶 B 中的資源。
+ RCP 會限制成員帳戶中資源的許可。帳戶中的任何資源都只有其上方***每個***父項允許的這些許可。如果許可在帳戶上方的任何層級遭到封鎖,受影響帳戶中的資源就沒有該許可,即使資源擁有者附加以資源為基礎的政策,允許任何使用者完整存取。
+ RCPs適用於在 操作請求中授權的資源。您可以在[服務授權參考](https://docs.aws.amazon.com/service-authorization/latest/reference/reference_policies_actions-resources-contextkeys.html#actions_table)中動作資料表的「資源類型」欄中找到這些資源。如果在「資源類型」欄中指定資源,則會套用呼叫委託人帳戶的 RCPs。例如, 會`s3:GetObject`授權物件資源。每當提出`GetObject`請求時,就會套用適用的 RCP 來判斷請求委託人是否可以叫用 `GetObject`操作。*適用的 RCP* 是已連接至 帳戶、組織單位 (OU) 或擁有所存取資源之組織的根目錄的 RCP。
+ RCPs只會影響組織中***成員***帳戶中的資源。它們不會影響管理帳戶中的資源。這也表示 RCPs適用於指定為委派管理員的成員帳戶。如需詳細資訊,請參閱[管理帳戶的最佳實務](orgs_best-practices_mgmt-acct.md)。
+ 當委託人請求存取具有連接 RCP (具有適用 RCP 的資源) 的帳戶中的資源時,RCP 會包含在政策評估邏輯中,以判斷委託人是否被允許或拒絕存取。
+ RCPs會影響委託人嘗試使用適用的 RCP 存取成員帳戶中資源的有效許可,無論委託人是否屬於相同的組織。這包括根使用者。例外狀況是委託人是服務連結角色,因為 RCPs不適用於由服務連結角色進行的呼叫。服務連結角色 AWS 服務 可讓 代表您執行必要的動作,且不受 RCPs限制。
+ 使用者和角色仍然必須獲得具有適當 IAM 許可政策的許可,包括身分型和資源型政策。沒有任何 IAM 許可政策的使用者或角色無法存取,即使適用的 RCP 允許所有服務、所有動作和所有資源。
## 不受 RCPs 限制的資源和實體
***您無法使用*** RCPs來限制下列項目:
+ 管理帳戶中資源的任何動作。
+ RCPs不會影響任何服務連結角色的有效許可。服務連結角色是一種獨特的 IAM 角色類型,可直接連結至 AWS 服務,並包含該服務代表您呼叫其他 AWS 服務所需的所有許可。RCPs 無法限制服務連結角色的許可。RCPs也不會影響 AWS 服務擔任服務連結角色的能力;也就是說,服務連結角色的信任政策也不會受到 RCPs的影響。
+ RCPs不適用於 [AWS 受管金鑰AWS Key Management Service](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#aws-managed-cmk)。 AWS 受管金鑰 是由 代表您建立、管理和使用 AWS 服務。您無法變更或管理其許可。
+ RCPs不會影響下列許可:
****
[See the AWS documentation website for more details](http://docs.aws.amazon.com/zh_tw/organizations/latest/userguide/orgs_manage_policies_rcps.html)