Opérateurs d'héritage - AWS Organizations
Opérateurs de définition de valeursOpérateurs de contrôle enfants

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Opérateurs d'héritage

Les opérateurs d'héritage contrôlent la façon dont les politiques héritées et les politiques attachées à un compte fusionnent pour former la politique effective de ce compte. Ces opérateurs comprennent les opérateurs de définition de valeurs et les opérateurs de contrôle enfants.

Lorsque vous utilisez l'éditeur visuel dans la console AWS Organizations, vous pouvez uniquement utiliser l'opérateur @@assign. Les autres opérateurs sont considérés comme une fonction avancée. Pour utiliser les autres opérateurs, vous devez créer la politique JSON manuellement. Les auteurs de politiques expérimentés peuvent utiliser les opérateurs d'héritage pour contrôler les valeurs appliquées à la politique effective et limiter les modifications que les politiques enfants peuvent apporter.

Opérateurs de définition de valeurs

Vous pouvez utiliser les opérateurs de définition de valeurs suivants pour contrôler la façon dont votre politique interagit avec ses politiques parentes :

  • @@assign : remplace tous les paramètres de politique hérités par les paramètres spécifiés. Si le paramètre spécifié n'est pas hérité, cet opérateur l'ajoute à la politique effective. Cet opérateur peut s'appliquer à n'importe quel paramètre de politique de n'importe quel type.

    • Pour les paramètres à valeur unique, cet opérateur remplace la valeur héritée par la valeur spécifiée.

    • Pour les paramètres à valeurs multiples (tableaux JSON), cet opérateur supprime toutes les valeurs héritées et les remplace par les valeurs spécifiées par cette politique.

  • @@append : ajoute les paramètres spécifiés (sans en supprimer) aux paramètres hérités. Si le paramètre spécifié n'est pas hérité, cet opérateur l'ajoute à la politique effective. Vous pouvez utiliser cet opérateur avec des paramètres à valeurs multiples uniquement.

    • Cet opérateur ajoute les valeurs spécifiées à toutes les valeurs du tableau hérité.

  • @@remove : supprime les paramètres hérités spécifiés de la politique effective, s'ils existent. Vous pouvez utiliser cet opérateur avec des paramètres à valeurs multiples uniquement.

    • Cet opérateur supprime uniquement les valeurs spécifiées du tableau de valeurs héritées des politiques parentes. D'autres valeurs peuvent continuer à exister dans le tableau et peuvent être héritées par les politiques enfants.

Opérateurs de contrôle enfants

L'utilisation d'opérateurs de contrôle enfants est facultative. Vous pouvez utiliser l'opérateur @@operators_allowed_for_child_policies pour contrôler les opérateurs de définition de valeurs que les politiques enfants peuvent utiliser. Vous pouvez autoriser tous les opérateurs, certains opérateurs spécifiques, ou aucun opérateur. Par défaut, tous les opérateurs (@@all) sont autorisés.

  • "@@operators_allowed_for_child_policies":["@@all"] : les unités d'organisation et les comptes enfants peuvent utiliser n'importe quel opérateur dans les politiques. Par défaut, tous les opérateurs sont autorisés dans les politiques enfants.

  • "@@operators_allowed_for_child_policies":["@@assign", "@@append", "@@remove"] : les UO et comptes enfants peuvent uniquement utiliser les opérateurs spécifiés dans les politiques enfants. Vous pouvez spécifier un ou plusieurs opérateurs de définition de valeurs dans cet opérateur de contrôle enfant.

  • "@@operators_allowed_for_child_policies":["@@none"] : les UO et comptes enfants ne peuvent pas utiliser d'opérateur dans les politiques. Vous pouvez utiliser cet opérateur pour verrouiller efficacement les valeurs définies dans une politique parente afin que les politiques enfants ne puissent pas ajouter, compléter ou supprimer ces valeurs.

Note

Si un opérateur de contrôle enfant hérité limite l'utilisation d'un opérateur, vous ne pouvez pas inverser cette règle dans une politique enfant. Si vous incluez des opérateurs de contrôle enfants dans une politique parente, ils limitent les opérateurs de définition de valeurs dans toutes les politiques enfants.