本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 資源控制政策範例
本主題中顯示的範例[資源控制政策 (RCPs)](orgs_manage_policies_rcps.md) 僅供參考。
**使用這些範例之前**
在組織中使用這些範例 RCPs之前,請考慮下列事項:
[資源控制政策 (RCPs)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_rcps.html) 旨在用作粗略的預防性控制,而不會授予存取權。您仍然必須將[身分型或資源型政策](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_identity-vs-resource.html)連接到帳戶中的 IAM 主體或資源,以實際授予許可。有效許可是 SCP/RCP 與身分政策或 SCP/RCP 與資源政策之間的邏輯交集。您可以在[此處](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_rcps.html#rcp-effects-on-permissions)取得有關 RCP 對許可影響的詳細資訊。
此儲存庫中的資源控制政策會顯示為範例。若未徹底測試政策對您帳戶中資源的影響,則不應連接 RCPs。準備好要實作的政策後,建議您在可代表生產環境的個別組織或 OU 中進行測試。測試完成後,您應該部署變更以測試 OUs,然後逐步將變更部署到更廣泛的 OUs 集。
當您啟用資源控制政策 (RCPs) 時,[RCPFullAWSAccess](https://console.aws.amazon.com/organizations/v2/home/policies/resource-control-policy/p-RCPFullAWSAccess) 政策會自動連接到組織根目錄、每個 OU,以及您組織中的每個帳戶。此預設 RCP 允許所有主體和動作存取通過 RCP 評估。您可以使用拒絕陳述式來限制對組織中資源的存取。您仍然需要使用身分型或資源型政策,將適當的許可授予委託人。
當連接至組織根目錄、組織單位或帳戶時,[資源控制政策 (RCP)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_rcps.html) 可讓您集中控制組織、組織單位或帳戶中資源的可用許可上限。由於 RCP 可在組織中的多個層級套用,因此了解 [RCPs 的評估](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_rcps_evaluation.html)方式可協助您撰寫可產生預期結果的 RCPs。
本節中的範例政策示範 RCPs的實作和使用。他們***並非***闡述為完全如圖所示實作的官方 AWS 建議或最佳實務。您有責任仔細測試任何政策是否適合解決您環境的業務需求。拒絕型資源控制政策可能會意外限制或封鎖您使用 AWS 服務,除非您將必要的例外狀況新增至政策。
**提示**
在實作 RCPs之前,除了檢閱 [AWS CloudTrail 日誌](https://aws.amazon.com/cloudtrail/)之外,評估 [IAM Access Analyzer 外部存取調查結果](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-findings-view.html#access-analyzer-findings-view-external)也有助於了解哪些資源目前是公有或外部共用。
## GitHub 儲存庫
+ [資源控制政策範例](https://github.com/aws-samples/resource-control-policy-examples) - 此 GitHub 儲存庫包含開始使用或成熟 AWS RCPs用量的範例政策