发布于: Oct 9, 2023
从今天开始,您可以使用服务控制策略(SCP)设置权限防护机制,其中包含由光环新网运营的亚马逊云科技中国(北京)区域和由西云数据运营的亚马逊云科技中国(宁夏)区域的 Amazon Identity and Access Management(IAM)策略中使用的精细控制。该机制可以更轻松地满足组织监管规则的特定要求。Amazon Organizations 控制台中的策略编辑器通过指导您添加操作、资源和条件,可以轻松创作 SCP。
随着您的发展和您在亚马逊云科技云上的工作负载增加,Amazon Organizations 可以帮助您集中监管环境。中心安全管理员将 SCP 与 Amazon Organizations 结合使用,制定所有 IAM 主体(用户和角色)都遵守的访问控制机制。现在,使用 SCP,您可以控制组织中的主体可以跨组织或组织单位的账户访问哪些内容。例如,您可以使用 SCP 限制对组织中资源的访问权限(使用 aws:ResourceOrgID),或者防止删除常见资源,例如用于中心管理员的 IAM 角色。
要开始使用 SCP,请访问 Amazon Organizations 控制台。您可以在任何支持 Amazon Organizations 的亚马逊云科技区域使用 SCP,其中包括由光环新网运营的亚马逊云科技中国(北京)区域和由西云数据运营的亚马逊云科技中国(宁夏)区域。要了解有关 SCP 的更多信息,请访问服务控制策略文档,阅读博客“如何使用服务控制策略在 Amazon Organization 中的账户之间设置权限防护机制”和“在多账户环境中充分利用服务控制策略”。