[英]AWS : SCP allow specific service for a specific OU
這里說, https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps_strategies.html
“要為指定帳戶啟用權限,從根目錄到帳戶直接路徑中每個 OU 的每個 SCP,甚至附加到帳戶本身,都必須允許該權限。”
我只想在特定的 OU 允許服務。 但是這個文檔說我應該開始從 root 本身開始允許該服務。 在那種情況下,它會影響所有其他 OU,對嗎?
它不會影響所有的 OU,因為所有級別的 SCP 都必須允許它。
假設您具有以下層次結構:
root -- OU1 -- OU11
\ \
\ - OU12
\
- OU2 -- OU21
\
- OU22
如果要允許 OU21 寫入 S3 存儲桶,則將此權限添加到 OU21。 此外,您需要將此權限添加到上面的節點(OU2,root)。
這里的重點是現在允許 OU22、OU11、OU12 寫入 S3 存儲桶,因為 OU22、OU11、OU12 的 SCP 拒絕它。
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.