通过服务控制策略拒绝创建新资源

Question

是否可以创建这样的SCP（服务控制策略）并将其附加到拒绝该帐户中启动的任何新资源（基础结构）的帐户？假设该帐户是AWS Organizations的一部分。

问题来自以下困惑：

• SCP可以限制启动基础设施之类的特定行动吗？
• 可以在帐户级别（而不是组织级别）应用SCP吗？

Answer 1

是的，有可能。

1. SCP可以包含明确的拒绝规则，例如，拒绝创建任何与EC2相关的实例和资源：

       "Version": "2012-10-17",
       "Statement": [
           {
               "Sid": "Statement1",
               "Effect": "Deny",
               "Action": [
                   "ec2:Create*"
               ],
               "Resource": "*"
           }
       ]
   }
   

2. 任何SCP都可以attached to：

   • 帐户
   • 组织单位
   • 根帐户