Syntaxe des politiques de désactivation des services IA et exemples - AWS Organizations
Syntaxe des politiques de désactivation des services IAExemples de politique de désactivation des services IA

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Syntaxe des politiques de désactivation des services IA et exemples

Cette rubrique décrit la syntaxe des politiques de désactivation des services d'intelligence artificielle (IA) et fournit des exemples.

Syntaxe des politiques de désactivation des services IA

Une politique de désinscription des services d'IA est un fichier en texte brut structuré conformément aux règles de JSON. La syntaxe des politiques de désactivation des services IA suit celle des types de politique de gestion. Pour une présentation complète de cette syntaxe, consultez Fonctionnement de l'héritage des politiques de gestion. Cette rubrique se concentre sur l'application de cette syntaxe générale aux exigences spécifiques du type de politique de désactivation des services IA.

Important

L'usage des majuscules dans les valeurs décrites dans cette section est importante. Entrez les valeurs avec des lettres majuscules et minuscules, comme indiqué dans cette rubrique. Les politiques ne fonctionnent pas si vous faites un usage inattendu des majuscules.

La politique suivante illustre la syntaxe élémentaire des politiques de désactivation des services IA. Si cet exemple était attaché directement à un compte, un service serait désactivé pour ce compte et un autre serait activé. D'autres services peuvent être activés ou désactivés par des politiques héritées de niveaux supérieurs (politiques d'UO ou de racine).

{
    "services": {
        "rekognition": {
            "opt_out_policy": {
                "@@assign": "optOut"
            }
        },
        "lex": {
            "opt_out_policy": {
                "@@assign": "optIn"
            }
        }
    }
}

Imaginez l'exemple de politique suivant attaché à la racine de l'organisation. Il définit que, par défaut tous les services IA sont désactivés pour l'organisation. Cela inclut automatiquement tous les services d'IA qui ne sont pas explicitement exemptés, y compris les services d'IA qui AWS pourrait être déployé dans le futur. Vous pouvez associer des politiques relatives aux enfants aux comptes OUs ou directement à ceux-ci afin de remplacer ce paramètre pour n'importe quel service d'intelligence artificielle, à l'exception d'Amazon Comprehend. La deuxième entrée de l'exemple suivant utilise @@operators_allowed_for_child_policies défini à none pour empêcher ce remplacement. La troisième entrée de l'exemple fait une exemption à l'échelle de l'organisation pour Amazon Rekognition. Il active ce service pour l'ensemble de l'organisation, mais la politique permet aux politiques enfants de supplanter ce réglage le cas échéant.

{
    "services": {
        "default": {
            "opt_out_policy": {
                "@@assign": "optOut"
            }
        },
        "comprehend": {
            "opt_out_policy": {
                "@@operators_allowed_for_child_policies": ["@@none"],
                "@@assign": "optOut"
            }
        },
        "rekognition": {
            "opt_out_policy": {
                "@@assign": "optIn"
            }
        }
    }
}

La syntaxe d'une politique de désactivation des services IA inclut les éléments suivants :

  • L'élément services. Une politique de désinscription des services d'IA est identifiée par ce nom fixe comme étant l'élément JSON contenant le plus externe.

    Une politique de désactivation des services IA peut comporter une ou plusieurs déclarations sous l'élément services. Chaque instruction contient les éléments suivants :

    • Une clé de nom de service qui identifie un AWS Service d'IA. Les noms de clé suivants sont valides pour ce champ  :

      • default : représente tous les services IA actuellement disponibles et inclut implicitement et automatiquement tous les services IA qui pourraient être ajoutés à l'avenir.

      • awssupplychain

      • dms

      • chimesdkvoiceanalytics

      • cloudwatch

      • codeguruprofiler

      • codewhisperer

      • comprehend

      • connectamd

      • connectoptimization

      • contactlens

      • datazone

      • entityresolution

      • frauddetector

      • glue

      • guardduty

      • lex

      • polly

      • q

      • quicksightq

      • rekognition

      • securitylake

      • textract

      • transcribe

      • translate

      Chaque instruction de politique identifiée par une clé de nom de service peut contenir les éléments suivants :

      • La clé opt_out_policy. Cette clé doit être présente. C'est la seule clé que vous pouvez placer sous une clé de nom de service.

        La clé opt_out_policy peut contenir uniquement l'opérateur @@assign avec une des valeurs suivantes :

        • optOut : vous choisissez de désactiver l'utilisation du contenu pour le service IA spécifié.

        • optIn : vous choisissez d'activer l'utilisation du contenu pour le service IA spécifié.

          Remarques

          • Vous ne pouvez pas utiliser les opérateurs d'héritage @@append et @@remove dans les politiques de désactivation des services IA.

          • Vous ne pouvez pas utiliser l'opérateur @@enforced_for dans les politiques de désactivation des services IA.

    • À n'importe quel niveau, vous pouvez spécifier l'opérateur @@operators_allowed_for_child_policies pour contrôler ce que les politiques enfants peuvent faire pour remplacer les paramètres imposés par les politiques parentes. Vous pouvez spécifier l’une des valeurs suivantes :

      • @@assign : les politiques enfants de cette politique peuvent utiliser l'opérateur @@assign pour remplacer la valeur héritée par une valeur différente.

      • @@none : les politiques enfants de cette politique ne peuvent pas modifier la valeur.

      Le comportement de @@operators_allowed_for_child_policies dépend de l'endroit où vous le placez. Vous pouvez utiliser les emplacements suivants :

      • Sous la clé services : détermine si une politique enfant peut compléter ou modifier la liste des services de la politique effective.

      • Sous la clé d'un service IA spécifique ou la clé default : détermine si une politique enfant peut compléter ou modifier la liste des clés sous cette entrée spécifique.

      • Sous la clé opt_out_policies pour un service spécifique : détermine si une politique enfant peut modifier uniquement le paramètre de ce service spécifique.

Exemples de politique de désactivation des services IA

Les exemples de politiques qui suivent sont fournis à titre informatif uniquement.

Exemple 1 : Désactiver tous les services IA pour tous les comptes de l'organisation

L'exemple suivant illustre une politique que vous pourriez attacher à la racine de votre organisation pour désactiver les services IA pour les comptes de votre organisation.

Astuce

Si vous copiez l'exemple suivant à l'aide du bouton Copier dans le coin supérieur droit de l'exemple, la copie n'inclut pas les numéros de ligne. Elle est prête à être collée.

    | {
    |     "services": {
[1] |         "@@operators_allowed_for_child_policies": ["@@none"],
    |         "default": {
[2] |             "@@operators_allowed_for_child_policies": ["@@none"],
    |             "opt_out_policy": {
[3] |                 "@@operators_allowed_for_child_policies": ["@@none"],
    |                 "@@assign": "optOut"
    |             }
    |         }
    |     }
    | }

  • [1] : Le "@@operators_allowed_for_child_policies": ["@@none"] qui est sous services empêche toute politique enfant d'ajouter de nouvelles sections pour des services individuels autres que la section default qui est déjà là. Default est l'espace réservé qui représente « tous les services IA ».

  • [2] : Le "@@operators_allowed_for_child_policies": ["@@none"] qui est sous default empêche toute politique enfant d'ajouter de nouvelles sections autres que la section opt_out_policy qui est déjà là.

  • [3] : Le "@@operators_allowed_for_child_policies": ["@@none"] qui est sous opt_out_policy empêche les politiques enfants de changer la valeur du paramètre optOut ou d'ajouter des paramètres supplémentaires.

Exemple 2 : Définir un paramètre par défaut de l'organisation pour tous les services, mais autoriser les politiques enfants à remplacer le paramètre pour des services individuels

L'exemple de politique suivant définit une valeur par défaut à l'échelle de l'organisation pour tous les services IA. La valeur pour default empêche une politique enfant de modifier la valeur optOut pour le service default, l'espace réservé pour tous les services IA. Si cette politique est appliquée en tant que politique parente en l'attachant à la racine ou à une unité d'organisation, les politiques enfants peuvent toujours modifier le paramètre de désactivation pour chaque service, comme indiqué dans la deuxième politique.

  • Puisqu'il n'y a pas d'opérateur "@@operators_allowed_for_child_policies": ["@@none"] sous la clé services, les politiques enfants peuvent ajouter de nouvelles sections pour des services individuels.

  • Le "@@operators_allowed_for_child_policies": ["@@none"] qui est sous default empêche toute politique enfant d'ajouter de nouvelles sections autres que la section opt_out_policy qui est déjà là.

  • Le "@@operators_allowed_for_child_policies": ["@@none"] qui est sous opt_out_policy empêche les politiques enfants de changer la valeur du paramètre optOut ou d'ajouter des paramètres supplémentaires.

Politique parente de désactivation des services d'IA de l'utilisateur root de l'organisation

{
    "services": {
        "default": {
            "@@operators_allowed_for_child_policies": ["@@none"],
            "opt_out_policy": {
                "@@operators_allowed_for_child_policies": ["@@none"],
                "@@assign": "optOut"
            }
        }
    }
}

L'exemple de politique suivant suppose que l'exemple de politique précédent est attaché à la racine de l'organisation ou à une unité d'organisation parente et que vous attachez cet exemple à un compte affecté par la politique parent. Il remplace le paramètre de désactivation par défaut et active explicitement uniquement le service Amazon Lex.

Politique enfant de désactivation des services IA

{
    "services": {
        "lex": {
            "opt_out_policy": {
                "@@assign": "optIn"
            }
        }
    }
}

La politique efficace qui en résulte pour Compte AWS c'est que le compte accepte uniquement Amazon Lex et se désactive de tous les autres AWS Services d'IA en raison du paramètre de default désinscription hérité de la politique parent.

Exemple 3 : Définir une politique de désactivation des services IA à l'échelle de l'organisation pour un seul service

L'exemple suivant illustre une politique de désactivation des services IA qui définit un paramètre optOut pour un seul service IA. Si cette politique est attachée à la racine de l'organisation, elle empêche toute politique enfant de remplacer le paramètre optOut pour ce service précis. Les autres services ne sont pas concernés par cette politique, mais peuvent être affectés par les politiques relatives aux enfants dans d'autres comptes OUs ou comptes.

{
    "services": {
        "rekognition": {
            "opt_out_policy": {
                "@@assign": "optOut",
                "@@operators_allowed_for_child_policies": ["@@none"]
            }
        }
    }
}