Visualización de políticas de administración en vigor - AWS Organizations
>¿Qué es una política en vigor?Cómo ver la política en vigor

Visualización de políticas de administración en vigor

Determine la política de administración en vigor de una cuenta de su organización.

¿Qué es una política de administración en vigor?

La política en vigor especifica las reglas finales que se aplican a una Cuenta de AWS para un tipo de política de administración. Es la agregación de una política de administración que hereda la cuenta, además de cualquier política para ese tipo de política de administración que esté asociada directamente a la cuenta. Cuando se asocia una política de administración al nodo raíz de la organización, esta se aplica a todas las cuentas de la organización. Cuando asocia una política de administración a una unidad organizativa (OU), esta se aplica a todas las cuentas y unidades organizativas que pertenecen a la unidad organizativa. Cuando se asocia una política de administración directamente a una cuenta, solo se aplica a esa Cuenta de AWS.

Para obtener información acerca de cómo se combinan las políticas en la política en vigor final, consulte Descripción de la herencia de políticas de administración.

Ejemplos de políticas de copia de seguridad

La política de copia de seguridad asociada al nodo raíz de la organización puede especificar que todas las cuentas de la organización hagan una copia de seguridad de todas las tablas de Amazon DynamoDB con una frecuencia de copia de seguridad predeterminada de una vez por semana. Una política de copia de seguridad independiente asociada directamente a una cuenta miembro con información fundamental en una tabla puede anular la frecuencia con un valor de una vez al día. La combinación de estas políticas de copia de seguridad compone la política de copia de seguridad en vigor. Esta política de copia de seguridad en vigor se determina de forma individual para cada cuenta de la organización. En este ejemplo, el resultado es que todas las cuentas de la organización realizan una copia de seguridad de sus tablas de DynamoDB una vez a la semana, excepto una cuenta que realiza una copia de seguridad de sus tablas diariamente.

Ejemplos de políticas de etiquetas

La política de etiquetas asociada al nodo raíz de la organización puede definir una etiqueta CostCenter con cuatro valores compatibles. Una política de etiquetas diferente asociada a la cuenta puede restringir la clave CostCenter a solo dos de los cuatro valores compatibles. La combinación de estas políticas de etiquetas comprende la política de etiquetas en vigor. El resultado es que solo dos de los cuatro valores de etiqueta compatibles definidos en la política de etiquetas de la raíz de la organización son compatibles con la cuenta.

Ejemplo de política de chatbots

AWS Chatbot reevaluará cualquier configuración de AWS Chatbot creada anteriormente en función de las políticas de chatbots vigentes y denegará cualquier acción previamente permitida si es coherente con la configuración permitida y las restricciones de la política en vigor. La política en vigor para una cuenta miembro define las barreras de protección y los ajustes permitidos. Por ejemplo, si se aplica a la cuenta miembro una política de chatbots que deniega el acceso a los canales públicos de Slack, se deshabilitarán las configuraciones de AWS Chatbot existentes para los canales públicos de Slack en la cuenta miembro. El chatbot no entregará notificaciones y los miembros del canal no podrán poner en marcha ninguna tarea en el canal bloqueado. La consola de AWS Chatbot marcará los canales afectados como deshabilitados con el mensaje de error correspondiente junto a ellos.

Ejemplo de exclusión de servicios de IA

La política de exclusión de los servicios de IA adjunta al nodo raíz de la organización podría especificar que todas las cuentas de la organización se excluyan del uso de contenidos por parte de todos los servicios de machine learning de AWS. Una política de exclusión de servicios de IA independiente adjunta directamente a una cuenta de miembro especifica que opta por el uso de contenido solo para Amazon Rekognition. La combinación de estas políticas de exclusión de servicios de IA incluye la política de exclusión efectiva de servicios de IA. El resultado es que todas las cuentas de la organización están excluidas de todos los Servicios de AWS, con la excepción de una cuenta que opte por Amazon Rekognition.

Cómo ver la política de administración en vigor

Puede ver la política en vigor de un tipo de política de administración de una cuenta desde la AWS Management Console, la API de AWS o AWS Command Line Interface.

Permisos mínimos

Para ver la política en vigor de un tipo de política de administración de una cuenta, debe tener permiso para poner en marcha las siguientes acciones:

  • organizations:DescribeEffectivePolicy

  • organizations:DescribeOrganization: solo se requiere cuando se utiliza la consola de Organizations

AWS Management Console
Para ver la política en vigor de un tipo de política de administración de una cuenta

  1. Inicie sesión en la consola de AWS Organizations. Debe iniciar sesión como usuario de IAM, asumir un rol de IAM; o iniciar sesión como usuario raíz (no se recomienda) en la cuenta de administración de la organización.

  2. En la página Cuentas de AWS, elija el nombre de la cuenta para la que desea ver la política en vigor. Es posible que tenga que expandir las unidades organizativas (elija la opción Gray cloud icon representing cloud computing or storage services. ) para encontrar la cuenta que desea.

  3. En la pestaña Políticas, elija el tipo de política de administración cuya política en vigor quiera ver.

  4. Seleccione Ver la política en vigor de esta Cuenta de AWS.

    La consola muestra la política efectiva aplicada a la cuenta especificada.

    nota

    No puede copiar y pegar una política en vigor y usarla como JSON para otra política sin cambios significativos. Los documentos de la política deben incluir los operadores de herencia que especifican cómo se fusiona cada configuración en la política en vigor final.

AWS CLI & AWS SDKs
Para ver la política en vigor de un tipo de política de administración de una cuenta

Puede utilizar una de las siguientes opciones para ver la política en vigor:

  • AWS CLI: describe-effective-policy

    En el siguiente ejemplo se muestra la política de exclusión efectiva de servicios de IA para una cuenta.

    $ aws organizations describe-effective-policy \
    --policy-type AISERVICES_OPT_OUT_POLICY \
    --target-id 123456789012
{
    "EffectivePolicy": {
        "PolicyContent": "{\"services\":{\"comprehend\":{\"opt_out_policy\":\"optOut\"},   ....TRUNCATED FOR BREVITY....   "opt_out_policy\":\"optIn\"}}}",
        "LastUpdatedTimestamp": "2020-12-09T12:58:53.548000-08:00",
        "TargetId": "123456789012",
        "PolicyType": "AISERVICES_OPT_OUT_POLICY"
    }
}

  • SDK de AWS: DescribeEffectivePolicy