本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# RCP 評估
<a name="orgs_manage_policies_rcps_evaluation"></a>

**注意**  
本節中的資訊***不適用於***宣告性政策類型，包括備份政策、標籤政策、聊天應用程式政策或 AI 服務選擇退出政策。如需詳細資訊，請參閱[了解宣告政策繼承](orgs_manage_policies_inheritance_mgmt.md)。

由於您可以在 的不同層級連接多個資源控制政策 (RCPs) AWS Organizations，因此了解 RCPs的評估方式可協助您撰寫可產生正確結果RCPs。

## 使用 RCPs的策略
<a name="how_rcps_deny"></a>

`RCPFullAWSAccess` 政策是 AWS 受管政策。當您啟用資源控制政策 (RCPs) 時，它會自動連接到組織根目錄、每個 OU，以及您組織中的每個帳戶。您無法分離此政策。此預設 RCP 允許所有主體和動作存取通過 RCP 評估，這表示在您開始建立和連接 RCPs 之前，您所有現有的 IAM 許可都會繼續如預期般運作。此 AWS 受管政策不會授予存取權。

您可以使用 `Deny`陳述式來封鎖對組織中資源的存取。若要**拒絕**特定帳戶中資源的許可，從根到帳戶 （包括目標帳戶本身） 直接路徑中每個 OU **的任何 RCP** 都可以拒絕該許可。

`Deny` 陳述式是實作限制的強大方式，對於您組織的更廣泛部分應該如此。例如，您可以連接政策，以協助防止組織外部的身分存取您的資源根層級，這將對組織中的所有帳戶有效。 AWS 強烈建議您不要在未徹底測試政策對您帳戶中資源的影響的情況下，將 RCPs 連接到組織的根目錄。如需詳細資訊，請參閱[測試 RCPs的效果](orgs_manage_policies_rcps.md#rcp-warning-testing-effect)。

在圖 1 中，有一個連接到生產 OU 的 RCP，具有指定服務指定的明確`Deny`陳述式。因此，帳戶 A 和帳戶 B 都會遭到拒絕存取該服務，因為系統會針對所有 OU 和成員帳戶評估連接至組織中任何層級的拒絕政策。

![在生產 OU 連接拒絕陳述式及其對帳戶 A 和帳戶 B 的影響的範例組織結構](http://docs.aws.amazon.com/zh_tw/organizations/latest/userguide/images/rcp_deny_1.png)


*圖 1：在生產 OU 附加 `Deny`陳述式的組織結構範例及其對帳戶 A 和帳戶 B 的影響*