服务控制策略概述-j9九游会登录

什么是服务控制策略

服务控制策略 (service control policy，scp) 是一种基于组织的访问控制策略。组织管理账号可以使用scp指定组织中成员账号的权限边界，限制账号内用户的操作。scp可以关联到组织、ou和成员账号。当scp关联到组织或ou时，该组织或ou下所有账号均受该策略影响。

本节将从以下几方面为您介绍scp：

• ：介绍scp的分类，作用原理，继承规则，与iam策略的关系。
• ：介绍scp的组成结构与策略参数。

测试scp的影响

针对scp对账号的影响，强烈建议您在生产环境应用scp前，使用测试账号、测试环境、测试用例开展充分且彻底的系统设计和系统测试，避免对生产环境中服务资源的使用产生不必要的影响。在测试环境充分验证之后，且需要在生产环境应用时，您可以先创建一个ou，并每次移入一个账号或少量账号，以确保不会意外中断服务资源的使用。

对于系统预置的scp系统策略“fullaccess”，解绑操作需谨慎处理，除非您将其替换为具有允许操作的自定义策略，否则不应解绑该策略。当您确定需要解绑“fullaccess”并且配置具有允许操作的自定义策略时，除配置业务需要的授权项外，必须额外配置iamtoken::*和signin::*。

• 如果解绑root的“fullaccess”策略，则整个组织内所有账号的可操作性权限都将失效。此操作风险极高，需谨慎操作。
• 如果解绑ou的“fullaccess”策略，则该ou（包含下级ou）内账号的可操作权限都将失效。
• 如果解绑成员账号的“fullaccess”策略，则该账号的可操作权限将失效。

不受scp限制的任务

您无法使用scp来限制以下任务：

• 组织管理账号及其iam用户执行的任何操作。
• 使用服务关联委托执行的任何操作。
• 由不支持scp的云服务对支持scp的云服务发起的api调用请求，将不受scp限制。当前支持scp的云服务请参见：。
• 通过api方式获取token后，使用该token访问支持scp的云服务的api，在大多数场景下将不受scp限制。
• 华为云移动端app版本低于v3.30.0，将不受scp限制。

相关链接

统一身份认证服务与组织权限访问控制的区别，请参见iam与organizations权限访问控制的区别。