[英]AWS : SCP allow specific service for a specific OU
这里说, https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps_strategies.html
“要为指定帐户启用权限,从根目录到帐户直接路径中每个 OU 的每个 SCP,甚至附加到帐户本身,都必须允许该权限。”
我只想在特定的 OU 允许服务。 但是这个文档说我应该开始从 root 本身开始允许该服务。 在那种情况下,它会影响所有其他 OU,对吗?
它不会影响所有的 OU,因为所有级别的 SCP 都必须允许它。
假设您具有以下层次结构:
root -- OU1 -- OU11
\ \
\ - OU12
\
- OU2 -- OU21
\
- OU22
如果要允许 OU21 写入 S3 存储桶,则将此权限添加到 OU21。 此外,您需要将此权限添加到上面的节点(OU2,root)。
这里的重点是现在允许 OU22、OU11、OU12 写入 S3 存储桶,因为 OU22、OU11、OU12 的 SCP 拒绝它。
声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.