AWS组织管理员可以使用AWS安全控制策略（SCP）限制AWS组织中成员帐户的权限。SCP是一组策略，可帮助管理员控制哪些服务和资源对成员帐户可用，以及哪些API对这些应用程序的访问是允许的。

以下是通过SCP阻止访问AWS S3资源的示例：

首先，创建具有以下内容的json文件：

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Deny",
            "Action": [
                "s3:*"
            ],
            "Resource": [
                "arn:aws:s3:::my-bucket/*"
            ]
        }
    ]
}

然后，使用AWS CLI将此策略附加到特定的组织单位或特定的AWC账户：

aws organizations attach-policy --policy-id  --target-id 

其中，policy-id是SCP的名称或ARN，target-id是组织单位或AWS帐户的ID。此命令将SCP附加到该组织单位（目标）。

这将禁用组织单位或该AWS帐户中的所有AWS S3资源的访问。如果您要允许某些用户或团队访问该资源，请创建其他SCP或IAM策略并将其附加到相关用户或团队。

例如，创建另一个SCP并将其附加到您希望访问该资源的AWS账户上，如下所示：

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "s3:GetObject"
            ],
            "Resource": [
                "arn:aws:s3:::my-bucket/*"
            ]
        }
    ]
}