Sintaxis y ejemplos de políticas de exclusión de servicios de IA - AWS Organizations
Sintaxis para políticas de exclusión de servicios de IAEjemplos de políticas de exclusión de servicios de IA

Sintaxis y ejemplos de políticas de exclusión de servicios de IA

En este tema se describe la sintaxis de política de exclusión de servicios de Inteligencia Artificial (IA) y se proporcionan ejemplos.

Sintaxis para políticas de exclusión de servicios de IA

Una política de exclusión de servicios de IA es un archivo de texto sin formato que se estructura de acuerdo con las reglas de JSON. La sintaxis de las políticas de exclusión de servicios de IA sigue la sintaxis de los tipos de políticas de administración. Para obtener una explicación completa de esa sintaxis, consulte Descripción de la herencia de políticas de administración. Este tema se centra en aplicar esa sintaxis general a los requisitos específicos del tipo de política de exclusión de servicios de IA.

importante

En esta sección son importantes las mayúsculas de los valores. Introduzca los valores con letras mayúsculas y minúsculas como se muestra en este tema. Las políticas no funcionan si utiliza mayúsculas inesperadas.

La siguiente política muestra la sintaxis básica de política de exclusión de servicios de IA. Si este ejemplo se asociara directamente a una cuenta, esa cuenta se excluiría explícitamente de un servicio y se optaría por otra. Otras políticas heredadas de niveles superiores (OU o políticas raíz) podrían optar por o excluir otros servicios.

{
    "services": {
        "rekognition": {
            "opt_out_policy": {
                "@@assign": "optOut"
            }
        },
        "lex": {
            "opt_out_policy": {
                "@@assign": "optIn"
            }
        }
    }
}

Imagine la siguiente política de ejemplo asociada al nodo raíz de la organización. Establece el valor predeterminado para que la organización opte por la exclusión de todos los servicios de IA. Esto incluye automáticamente todos los servicios de IA que no estén explícitamente exentos de otra manera, incluidos los servicios de IA que AWS podría implementar en el futuro. Puede adjuntar políticas secundarias a unidades organizativas o directamente a cuentas para anular esta configuración para cualquier servicio de IA excepto Amazon Comprehend. La segunda entrada del ejemplo siguiente utiliza @@operators_allowed_for_child_policies establecido en none para evitar que se reemplace. La tercera entrada del ejemplo crea una exención de toda la organización para Amazon Rekognition. Opta en toda la organización por ese servicio, pero la política permite que las política secundarias se anulen cuando corresponda.

{
    "services": {
        "default": {
            "opt_out_policy": {
                "@@assign": "optOut"
            }
        },
        "comprehend": {
            "opt_out_policy": {
                "@@operators_allowed_for_child_policies": ["@@none"],
                "@@assign": "optOut"
            }
        },
        "rekognition": {
            "opt_out_policy": {
                "@@assign": "optIn"
            }
        }
    }
}

La sintaxis de política de exclusión de servicios de IA incluye los siguientes elementos:

  • El elemento services. Una política de exclusión de servicios de IA se identifica con este nombre fijo como el elemento que contiene JSON más externo.

    Una política de exclusión de servicios de IA puede tener una o más sentencias bajo el elemento services. Cada sentencia contiene los siguientes elementos:

    • Una clave de nombre de servicio que identifica un servicio de IA AWS. Los siguientes nombres clave son valores válidos para este campo:

      • default: representa todos los servicios de IA que actualmente están disponibles e incluye implícita y automáticamente cualquier servicio de IA que se pueda agregar en el futuro.

      • awssupplychain

      • dms

      • chimesdkvoiceanalytics

      • cloudwatch

      • codeguruprofiler

      • codewhisperer

      • comprehend

      • connectamd

      • connectoptimization

      • contactlens

      • datazone

      • entityresolution

      • frauddetector

      • glue

      • guardduty

      • lex

      • polly

      • q

      • quicksightq

      • rekognition

      • securitylake

      • textract

      • transcribe

      • translate

      Cada declaración de política identificada por una clave de nombre de servicio puede contener los siguientes elementos:

      • La clave de opt_out_policy. Esta clave debe estar presente. Esta es la única clave que puede colocar bajo una clave de nombre de servicio.

        El opt_out_policy clave puede contener solo el operador @@assign con uno de los siguientes valores:

        • optOut: opta por no utilizar contenido para el servicio de IA especificado.

        • optIn: elige optar por el uso de contenido para el servicio de IA especificado.

          Notas

          • No puede usar la opción @@append y operadores @@remove de herencia en las políticas de exclusión de servicios de IA.

          • No puede usar los operadores @@enforced_for de herencia en las políticas de exclusión de servicios de IA.

    • En cualquier nivel, puede especificar la propiedad @@operators_allowed_for_child_policies para controlar lo que las políticas secundarias pueden hacer para anular la configuración impuesta por las políticas principales. Puede especificar uno de los siguientes valores:

      • @@assign: las políticas secundarias de esta política pueden utilizar el operador @@assign para anular el valor heredado con un valor diferente.

      • @@none: las políticas secundarias de esta política no pueden cambiar el valor.

      El comportamiento del @@operators_allowed_for_child_policies depende de dónde lo coloque. Puede usar las siguientes ubicaciones:

      • En la clave services: controla si una política secundaria puede agregar o cambiar la lista de servicios de la política efectiva.

      • En la clave para un servicio de IA específico o en la clave default: controla si una política secundaria puede agregar o cambiar la lista de claves bajo esta entrada específica.

      • En la clave opt_out_policies para un servicio específico: controla si una política secundaria puede cambiar solo la configuración de este servicio específico.

Ejemplos de políticas de exclusión de servicios de IA

Las políticas de copia de seguridad siguientes son solo para fines informativos.

Ejemplo 1: Excluir todos los servicios de IA para todas las cuentas de la organización

En el siguiente ejemplo se muestra una política que puede adjuntar al nodo raíz de su organización para excluir los servicios de IA para las cuentas de su organización.

sugerencia

Si copia el siguiente ejemplo utilizando el botón Copiar en la esquina superior derecha del ejemplo, la copia no incluye los números de línea. Está listo para pegar.

    | {
    |     "services": {
[1] |         "@@operators_allowed_for_child_policies": ["@@none"],
    |         "default": {
[2] |             "@@operators_allowed_for_child_policies": ["@@none"],
    |             "opt_out_policy": {
[3] |                 "@@operators_allowed_for_child_policies": ["@@none"],
    |                 "@@assign": "optOut"
    |             }
    |         }
    |     }
    | }

  • [1] El "@@operators_allowed_for_child_policies": ["@@none"] que está en services impide que cualquier política secundaria agregue secciones nuevas para servicios individuales que no sean default que ya está allí. Default es el marcador de posición que representa “todos los servicios de IA”.

  • [2] El "@@operators_allowed_for_child_policies": ["@@none"] que está en default impide que las políticas secundarias agreguen secciones nuevas que no sean opt_out_policy que ya está allí.

  • [3] El "@@operators_allowed_for_child_policies": ["@@none"] que está en opt_out_policy evita que las políticas secundarias cambien el valor de la configuración optOut o que agreguen cualquier configuración adicional.

Ejemplo 2: Establecer una configuración predeterminada de la organización para todos los servicios, pero permitir que las políticas secundarias anulen la configuración de los servicios individuales

En el siguiente ejemplo de política se establece un valor predeterminado para toda la organización para todos los servicios de IA. El valor para default impide que una política secundaria cambie el valor optOut para el servicio default, el marcador de posición para todos los servicios de IA. Si esta política se aplica como política principal adjuntándola al nodo raíz o a una unidad organizativa, las políticas secundarias pueden cambiar la configuración de exclusión de servicios individuales, como se muestra en la segunda política.

  • Porque no hay "@@operators_allowed_for_child_policies": ["@@none"] en la clave services, las políticas secundarias pueden agregar nuevas secciones para servicios individuales.

  • El "@@operators_allowed_for_child_policies": ["@@none"] que está en default impide que las políticas secundarias agreguen secciones nuevas que no sean opt_out_policy que ya está allí.

  • El "@@operators_allowed_for_child_policies": ["@@none"] que está en opt_out_policy evita que las políticas secundarias cambien el valor de la configuración optOut o que agreguen cualquier configuración adicional.

Política principal de exclusión de servicios de IA de usuario raíz de la organización

{
    "services": {
        "default": {
            "@@operators_allowed_for_child_policies": ["@@none"],
            "opt_out_policy": {
                "@@operators_allowed_for_child_policies": ["@@none"],
                "@@assign": "optOut"
            }
        }
    }
}

En la siguiente política de ejemplo se supone que la política del ejemplo anterior está asociada al nodo raíz de la organización o a una unidad organizativa principal y que se adjunta este ejemplo a una cuenta afectada por la política principal. Anula la configuración predeterminada de exclusión y opta explícitamente solo por el servicio Amazon Lex.

Política secundaria de exclusión de servicios de IA

{
    "services": {
        "lex": {
            "opt_out_policy": {
                "@@assign": "optIn"
            }
        }
    }
}

La política efectiva resultante para el Cuenta de AWS es que la cuenta solo acepta Amazon Lex y opta por no participar en todos los demás servicios de IA AWS debido a la configuración heredada default de exclusión de la política principal.

Ejemplo 3: Definir una política de exclusión de servicios de IA de toda la organización para un único servicio

En el siguiente ejemplo se muestra una política de exclusión de servicios de IA que define una configuración optOut para un único servicio de IA. Si esta política está adjunta al nodo raíz de la organización, impide que cualquier política secundaria anule la configuración optOut para este servicio. Otros servicios no se abordan en esta política, pero podrían verse afectados por las políticas secundarias de otras unidades organizativas o cuentas.

{
    "services": {
        "rekognition": {
            "opt_out_policy": {
                "@@assign": "optOut",
                "@@operators_allowed_for_child_policies": ["@@none"]
            }
        }
    }
}