本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# RCP 語法
資源控制政策 (RCPs) 使用的語法與[資源型政策](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#policies_resource-based)所使用的語法類似。如需 IAM 政策及其語法的詳細資訊,請參閱 *IAM 使用者指南*中的 [https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html)指南中的 IAM 政策概觀。
RCP 是根據 [JSON](http://json.org) 規則建構的。本主題描述它使用的元素。
**注意**
RCP 中的所有字元都會計入其[大小上限](orgs_reference_limits.md#min-max-values)。本指南中的範例顯示以額外空格格式化的 RCPs,以改善其可讀性。不過,若您的政策大小接近大小上限,為了節省空間,您可以刪除引號外部的任何空格,例如空格字元和換行字元。
如需 RCPs一般資訊,請參閱 [資源控制政策 (RCP)](orgs_manage_policies_rcps.md)。
## 元素摘要
下表摘要說明您可以在 RCPs 中使用的政策元素。
**注意**
**只有`RCPFullAWSAccess`政策`Allow`支援 的效果**
只有`RCPFullAWSAccess`政策`Allow`支援 的效果。當您啟用資源控制政策 (RCPs) 時,此政策會自動連接到組織根目錄、每個 OU,以及您組織中的每個帳戶。您無法分離此政策。此預設 RCP 允許所有主體和動作存取通過 RCP 評估,這表示在您開始建立和連接 RCPs 之前,您所有現有的 IAM 許可都會繼續如預期般運作。這不會授予存取權。
| Element | 用途 |
| --- | --- |
| [版本](#rcp-syntax-version) | 指定用於處理政策的語言語法規則。 |
| [Statement](#rcp-syntax-statement) | 做為政策元素的容器。您可以在 RCPs中擁有多個陳述式。 |
| [Statement ID (Sid)](#rcp-syntax-sid) | (選用) 提供陳述式的易記名稱。 |
| [效果](#rcp-syntax-effect) | 定義 RCP 陳述式是否拒絕存取 帳戶中的資源。 |
| [Principal](#rcp-syntax-principal) | 指定允許或拒絕存取 帳戶中資源的委託人。 |
| [Action](#rcp-syntax-action) | 指定 RCP 允許或拒絕 AWS 的服務和動作。 |
| [Resource](#rcp-syntax-resource) | 指定 RCP 套用 AWS 的資源。 |
| [NotResource](#rcp-syntax-resource) | 指定 RCP 豁免 AWS 的資源。使用此項目以取代 `Resource` 元素。 |
| [Condition](#rcp-syntax-condition) | 指定決定陳述式生效時機的條件。 |
**Topics**
+ [元素摘要](#rcp-elements-table)
+ [`Version` 元素](#rcp-syntax-version)
+ [`Statement` 元素](#rcp-syntax-statement)
+ [Statement ID (`Sid`) 元素](#rcp-syntax-sid)
+ [`Effect` 元素](#rcp-syntax-effect)
+ [`Principal` 元素](#rcp-syntax-principal)
+ [`Action` 元素](#rcp-syntax-action)
+ [`Resource` 和 `NotResource` 元素](#rcp-syntax-resource)
+ [`Condition` 元素](#rcp-syntax-condition)
+ [不支援的元素](#rcp-syntax-unsupported)
## `Version` 元素
每個 RCP 必須包含值為 的`Version`元素**"2012-10-17"**。這是與 IAM 許可政策的最新版本相同的版本值。
如需詳細資訊,請參閱 *IAM 使用者指南*中的 [IAM JSON 政策元素︰版本](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_version.html)。
## `Statement` 元素
RCP 包含一或多個`Statement`元素。您在政策中只能有一個 `Statement` 關鍵字,但其值可以是 JSON 陣列的陳述式 (加上 [ ] 字元)。
下列範例顯示由單一 `Effect`、`Action`、 `Principal`和 `Resource`元素組成的單一陳述式。
```
{
"Statement": {
"Effect": "Deny",
"Principal": "*",
"Action": "s3:PutBucketPublicAccessBlock",
"Resource": "*"
}
}
```
如需詳細資訊,請參閱 *IAM 使用者指南*中的 [IAM JSON 政策元素︰陳述式](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_statement.html)。
## Statement ID (`Sid`) 元素
`Sid` 是一種您可以為政策陳述式提供的選用識別符。您可以將 `Sid` 值指派給陳述式陣列中的每個陳述式。下列範例 RCP 顯示範例`Sid`陳述式。
```
{
"Statement": {
"Sid": "DenyBPAConfigurations",
"Effect": "Deny",
"Principal": "*",
"Action": "s3:PutBucketPublicAccessBlock",
"Resource": "*"
}
}
```
如需詳細資訊,請參閱《[IAM 使用者指南》中的 IAM JSON 政策元素:Sid](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_sid.html)。 **
## `Effect` 元素
每個陳述式必須包含一個 `Effect` 元素。您可以使用 `Effect`元素`Deny`中的 值,限制對特定資源的存取,或定義 RCPs 何時生效的條件。對於您建立RCPs,值必須是 `Deny`。如需詳細資訊,請參閱《IAM 使用者指南》中的 [RCP 評估](orgs_manage_policies_rcps_evaluation.md)和 IAM JSON 政策元素:效果。 [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_effect.html](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_effect.html) **
## `Principal` 元素
每個陳述式必須包含 `Principal`元素。您只能在 RCP 的 `Principal`元素中指定「`*`」。使用 `Conditions`元素來限制特定委託人。
如需詳細資訊,請參閱《[IAM 使用者指南》中的 IAM JSON 政策元素:主體](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html)。 **
## `Action` 元素
每個陳述式必須包含 `Action`元素。
`Action` 元素的值是字串或字串清單 (JSON 陣列),可識別陳述式允許或拒絕 AWS 的服務和動作。
每個字串都包含服務 (例如 "s3"、"sqs" 或 "sts") 的縮寫,全部小寫,後面接著冒號,然後是該服務的動作。一般而言,它們都會以每個字輸入,以大寫字母和小寫字母開頭。例如:`"s3:ListAllMyBuckets"`。
您也可以使用萬用字元,例如星號 (\*) 或問號 (?) 在 RCP 中:
+ 使用星號 (\*) 作為萬用字元,以比對部分名稱相同的多個動作。值 `"s3:*"` 表示 Amazon S3 服務中的所有動作。此值僅`"sts:Get*"`比對以「取得」開頭 AWS STS 的動作。
+ 使用問號 (?) 萬用字元來比對單一字元。
**注意**
**萬用字元 (\*) 和問號 (?) 可以在動作名稱中的任何位置使用**
您無法在客戶受管 RCP 的動作元素中使用 "\*",而且必須指定您要限制存取之服務的縮寫 (例如 "s3"、"sqs" 或 "sts")。
如需支援 RCPs的服務清單,請參閱 [AWS 服務 支援 RCPs 清單](orgs_manage_policies_rcps.md#rcp-supported-services)。如需 AWS 服務 支援的動作清單,請參閱[AWS 《服務授權參考》中的 服務的動作、資源和條件金鑰](https://docs.aws.amazon.com/service-authorization/latest/reference/reference_policies_actions-resources-contextkeys.html.html)。 **
如需詳細資訊,請參閱 *IAM 使用者指南*中的 [IAM JSON 原則元素︰動作](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_action.html)。
## `Resource` 和 `NotResource` 元素
每個陳述式必須包含 `Resource`或 `NotResource`元素。
您可以使用萬用字元,例如星號 (\*) 或問號 (?) 資源元素中的 :
+ 使用星號 (\*) 做為萬用字元,以符合共用部分名稱的多個資源。
+ 使用問號 (?) 萬用字元來比對單一字元。
如需詳細資訊,請參閱《[IAM 使用者指南》中的 IAM JSON 政策元素:資源](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_resource.html)和 *IAM* [JSON 政策元素:NotResource](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_notresource.html)。
## `Condition` 元素
您可以在 RCP 的拒絕陳述式中指定`Condition`元素。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Deny",
"Principal": "*",
"Action": "s3:*",
"Resource": "*",
"Condition": {
"BoolIfExists": {
"aws:SecureTransport": "false"
}
}
}
]
}
```
------
此 RCP 拒絕存取 Amazon S3 操作和資源,除非請求是透過安全傳輸發生 (請求是透過 TLS 傳送)。
如需詳細資訊,請參閱 *IAM 使用者指南*中的 [IAM JSON 政策元素︰條件](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html)
## 不支援的元素
RCPs 不支援下列元素:
+ `NotPrincipal`
+ `NotAction`