概述

企业组织为云上多账户提供了集中的权限管理能力，权限的管理和限制通过服务控制策略(SCP)来进行。你可以根据企业内业务团队的实际管理诉求，将云账号统一组织到组织单元树内，并通过为组织单元、子账户授予合适的SCP，来实现组织内云账户的权限管控。

本文主要介绍如何管理服务控制策略，以及具体授权的操作，主要包含如下内容：

1. 自定义服务控制策略；
2. 为子账户授权；
3. 为组织单元授权；
4. 删除自定义策略

如需了解什么是服务控制策略，以及服务控制策略如何作用到子账户，从而实现子账户的最大权限控制，请参考文档权限评估逻辑。

先决条件

在做权限策略管理之前，当前操作人需要满足如下条件：

1. 拥有百度智能云主账号，或为主账户下的子用户管理员，或是拥有IAM管理权限；
2. 当前账号已经按照文档创建企业组织描述步骤，完成企业组织的创建。

操作指南

服务控制策略(SCP)与多用户访问控制权限策略类似，区分为系统策略和自定义策略。其中：

• 系统策略：为系统预设的权限策略，不可编辑和修改。比如FullAcceeScp，代表所有资源的访问权限。
• 自定义策略：由管理员用户创建的策略统称为自定义策略。用户可以根据实际的业务需要，配置特定产品服务，当前自定义的服务控制策略仅可支持到服务级别，暂不支持资源级或是操作级别的权限配置。相比系统策略，自定义策略能够更灵活地配置权限组合。比如，你可以将服务BCC和CDS的管理权限配置在一条SCP中。

创建自定义策略

1. 登录百度智能云控制台，在导航栏进入企业 > 企业组织 > 权限策略，点击创建策略按钮。

2. 填写策略名称、描述，在权限配置部分进行服务权限的配置。一条服务控制策略可以添加多个服务的权限。

3. 下拉点击确定按钮，即可完成服务控制策略的创建。你也可以在创建时即为子账户、组织单元授权，详细操作见如下配置。

为子账户授权

1.方式一：创建自定义策略时，在授权部分，选择授权到成员账户页签，选择需要被授权的子账户，即可完成授权。

2.方式二：登录百度智能云控制台，在导航栏进入企业 > 企业组织 > 权限策略，在列表页，选择需要授权的权限策略，点击授权按钮，在弹窗中选择需要授权的子账户，即可完成授权。

3.方式三：在子账户管理列表页，完成对应子账户的授权。详细可以参考文档子账户管理

为组织单元授权

1.方式一：创建自定义策略时，在授权部分，选择授权到组织单元页签，选择需要被授权的子账户，即可完成授权。

2.方式二：登录百度智能云控制台，在导航栏进入企业 > 企业组织 > 权限策略，在列表页，选择需要授权的权限策略，点击授权按钮，在弹窗中选择需要授权的组织单元，即可完成授权。

3.方式三：在组织单元列表页，完成对应组织单元的授权。详细可以参考文档组织单元

删除自定义策略

注意：删除自定义策略可能会带来已被授权服务的中断，请谨慎操作。

登录百度智能云控制台，在导航栏进入企业 > 企业组织 > 权限策略，在列表页选择需要被删除的策略，点击删除，在弹窗中确认，即可完成自定义SCP的删除。

相关信息

服务控制策略可以被授权到子账户、组织单元，而组织单元又存在多个层级，因此权限评估和生效逻辑相对比较复杂，在我们的最佳实践中，在大多数企业多账户管理的场景下，仅用到子账户的权限+财务管理，已经足够为企业提供安全、合规且高效的账户和资源管理。在做具体的管理规划和设计时，请参考文档权限评估逻辑。