Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
RCPevaluación
nota
La información de esta sección no se aplica a los tipos de políticas de administración, incluidas las políticas de copia de seguridad, las políticas de etiquetas, las políticas de chatbot o las políticas de exclusión de servicios de IA. Para obtener más información, consulte Descripción de la herencia de políticas de administración.
Como puede adjuntar varias políticas de control de recursos (RCPs) en diferentes niveles AWS Organizations, comprender cómo RCPs se evalúan puede ayudarlo a redactar las RCPs que arrojen el resultado correcto.
Estrategia de uso RCPs
La RCPFullAWSAccess política es una política AWS gestionada. Se adjunta automáticamente a la raíz de la organización, a todas las unidades organizativas y a todas las cuentas de la organización cuando se activan las políticas de control de recursos (RCPs). No puede separar esta política. Esta configuración predeterminada RCP permite que todos los principales y las acciones accedan a una fase de RCP evaluación, lo que significa que, hasta que empieces a crear y adjuntarRCPs, todos tus IAM permisos actuales seguirán funcionando como antes. Esta política AWS gestionada no concede el acceso.
Puede utilizar las Deny declaraciones para bloquear el acceso a los recursos de su organización. Si se deniega un permiso para un recurso de una cuenta específica, cualquier persona que vaya RCP desde la raíz hasta cada unidad organizativa situada en la ruta directa a la cuenta (incluida la propia cuenta de destino) puede denegar ese permiso.
Denylas declaraciones son una forma eficaz de implementar restricciones que deberían aplicarse a una parte más amplia de la organización. Por ejemplo, puede adjuntar una política para evitar que identidades externas a su organización accedan a sus recursos a nivel raíz y que sea efectiva para todas las cuentas de la organización. AWS le recomienda encarecidamente que no se vincule RCPs a la raíz de su organización sin comprobar exhaustivamente el impacto que la política tiene en los recursos de sus cuentas. Para obtener más información, consulte Probando los efectos de RCPs.
En la figura 1, hay un RCP anexo a la unidad organizativa de producción que contiene una Deny declaración explícita especificada para un servicio determinado. En consecuencia, se denegará el acceso al servicio tanto a la cuenta A como a la cuenta B, ya que se aplica una política de denegación aplicable a cualquier nivel de la organización para todas las cuentas OUs y las cuentas de los miembros correspondientes.
Figura 1: Ejemplo de estructura organizativa con una Deny declaración adjunta en Production OU y su impacto en las cuentas A y B
