https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html
这个页面说这些。这些到底是什么意思?此限制是否会导致任何问题?
- SCP 不影响任何服务相关角色。服务相关角色使其他 AWS 服务能够与 AWS Organizations 集成,并且不受 SCP 限制。
- 使用附加到服务相关角色的权限执行的任何操作(在“不受 SCP 限制的任务和实体”部分)。
想法
- 用户可以创建具有任何权限的新服务相关角色,而不管 SCP。因此,用户可以让 EC2 实例(例如)做用户不能直接做的事情。
- 用户可以使用 SCP 允许的权限创建新的服务相关角色。但是,服务相关角色可以由同一组织内的其他账户共享。因此,共享的服务相关角色可能具有 SCP 不允许的权限。