Membuat kebijakan organisasi dengan AWS Organizations - AWS Organizations
Membuat kebijakan kontrol layanan (SCP)Buat kebijakan cadanganBuat kebijakan tagBuat kebijakan chatbotBuat kebijakan opt-out layanan AI

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Membuat kebijakan organisasi dengan AWS Organizations

Setelah mengaktifkan kebijakan untuk organisasi, Anda dapat membuat kebijakan.

Topik ini menjelaskan cara membuat kebijakan dengan AWS Organizations. Kebijakan mendefinisikan kontrol yang ingin Anda terapkan ke grup. Akun AWS AWS Organizations mendukung kebijakan manajemen dan kebijakan otorisasi.

Membuat kebijakan kontrol layanan (SCP)

Izin minimum

Untuk membuatSCPs, Anda memerlukan izin untuk menjalankan tindakan berikut:

  • organizations:CreatePolicy

AWS Management Console
Untuk membuat kebijakan kontrol layanan

  1. Masuk ke konsol AWS Organizations tersebut. Anda harus masuk sebagai IAM pengguna, IAM berperan, atau masuk sebagai pengguna root (tidak disarankan) di akun manajemen organisasi.

  2. Pada halaman Kebijakan kontrol layanan, pilih Buat kebijakan.

  3. Pada halaman halaman Membuat kebijakan kontrol layanan baru, masukkan Nama kebijakan dan Deskripsi kebijakan opsional.

  4. (Opsional) Tambahkan satu tag atau lebih dengan memilih Tambahkan tag dan kemudian masukkan kunci dan nilai opsional. Membiarkan nilai kosong akan mengaturnya menjadi string kosong; itu bukan null. Anda dapat melampirkan hingga 50 tag ke kebijakan. Untuk informasi selengkapnya, lihat Sumber daya penandaan AWS Organizations.

    catatan

    Di sebagian besar langkah berikut, kita membahas penggunaan kontrol di sisi kanan JSON editor untuk membangun kebijakan, elemen demi elemen. Atau, Anda dapat, kapan saja, cukup memasukkan teks di JSON editor di sisi kiri jendela. Anda dapat langsung mengetik, atau menggunakan salin dan tempel.

  5. Untuk membangun kebijakan, langkah berikutnya berbeda-beda tergantung pada apakah Anda ingin menambahkan pernyataan yang menolak atau memungkinkan akses. Untuk informasi selengkapnya, lihat SCPevaluasi. Jika Anda menggunakan Deny pernyataan, Anda memiliki kontrol tambahan karena Anda dapat membatasi akses ke sumber daya tertentu, menentukan kondisi kapan SCPs berlaku, dan menggunakan NotActionelemen. Untuk detail tentang sintaksis, lihat SCPsintaks.

    Untuk menambahkan pernyataan yang menolak akses:

    1. Di sebelah kanan Edit panel pernyataan editor, di bawah Tambahkan tindakan, pilih AWS layanan.

      Saat Anda memilih opsi di sebelah kanan, JSON editor memperbarui untuk menampilkan JSON kebijakan terkait di sebelah kiri.

    2. Setelah Anda memilih layanan, daftar yang berisi tindakan yang tersedia untuk layanan tersebut akan terbuka. Anda dapat memilih Semua tindakan, atau pilih satu atau beberapa tindakan individual yang ingin Anda tolak.

      Pembaruan JSON di sebelah kiri untuk menyertakan tindakan yang Anda pilih.

      catatan

      Jika Anda memilih tindakan individual dan kemudian juga kembali dan juga memilih Semua tindakan, entri yang diharapkan untuk ditambahkan keJSON, tetapi tindakan individual yang sebelumnya Anda pilih dibiarkan di JSON dan tidak dihapus. servicename/*

    3. Jika ingin menambahkan tindakan dari layanan tambahan, Anda dapat memilih Semua layanan di bagian atas kotak Pernyataan, dan kemudian ulangi dua langkah sebelumnya sesuai kebutuhan.

    4. Tentukan sumber daya untuk menyertakan dalam pernyataan.

      • Di samping Tambahkan sumber daya, pilih Tambah.

      • Di Menambahkan sumber daya, pilih layanan yang sumber daya-nya ingin Anda kontrol dari daftar. Anda dapat memilih hanya dari antara layanan-layanan yang Anda pilih pada langkah sebelumnya.

      • Di bawah Jenis sumber daya, pilih jenis sumber daya yang ingin Anda kontrol.

      • Terakhir, lengkapi Amazon Resource Name (ARN) di Resource ARN untuk mengidentifikasi sumber daya tertentu yang ingin Anda kontrol aksesnya. Anda harus mengganti semua placeholder yang dikelilingi oleh kurung kurawal {}. Anda dapat menentukan wild card (*) di mana ARN sintaks tipe sumber daya itu mengizinkan. Lihat dokumentasi untuk jenis sumber daya tertentu untuk informasi tentang di mana Anda dapat menggunakan kartu liar.

      • Simpan penambahan Anda ke kebijakan dengan memilih Menambahkan sumber daya. ResourceElemen dalam JSON mencerminkan penambahan atau perubahan Anda. Elemen Sumber Daya wajib diisi.

      Tip

      Jika Anda ingin menentukan semua sumber daya untuk layanan yang dipilih, pilih opsi Semua sumber daya dalam daftar, atau edit Resource pernyataan langsung di bagian JSON untuk dibaca"Resource":"*".

    5. (Opsional) Untuk menentukan kondisi yang membatasi saat pernyataan kebijakan berlaku, di samping Tambahkan kondisi, pilih Tambah.

      • Kunci kondisi — Dari daftar Anda dapat memilih kunci kondisi apa pun yang tersedia untuk semua AWS layanan (misalnya,aws:SourceIp) atau kunci khusus layanan hanya untuk salah satu layanan yang Anda pilih untuk pernyataan ini.

      • Pengualifikasi — (Opsional) Jika Anda memberikan beberapa nilai untuk syarat (tergantung pada kunci syarat yang ditentukan), Anda dapat menentukan kualifikasi untuk menguji permintaan terhadap nilai-nilai.

        • Default — Menguji nilai tunggal dalam permintaan terhadap nilai kunci syarat dalam kebijakan. Syarat tersebut akan memberikan hasil BETUL jika setiap nilai kunci dalam permintaan tersebut sesuai dengan setidaknya satu nilai dalam kebijakan. Jika kebijakan menentukan lebih dari satu nilai maka mereka diperlakukan sebagai uji "atau", dan syarat akan memberikan hasil BETUL jika nilai permintaan cocok dengan salah satu nilai kebijakan.

        • Untuk setiap nilai dalam permintaan — Ketika permintaan dapat memiliki beberapa nilai, opsi ini menguji apakah paling tidak satu nilai permintaan sesuai dengan setidaknya satu nilai kunci syarat dalam kebijakan. Syarat memberikan hasil BETUL jika salah satu nilai kunci dalam permintaan sesuai dengan salah satu nilai syarat dalam kebijakan. Jika tidak ada kunci yang cocok atau kumpulan data nol, kondisi akan memberikan hasil salah.

        • Untuk setiap nilai dalam permintaan — Ketika permintaan dapat memiliki beberapa nilai, opsi ini menguji apakah setiap nilai permintaan sesuai dengan setidaknya satu nilai kunci syarat dalam kebijakan. Syarat tersebut akan memberikan hasil benar jika setiap nilai kunci dalam permintaan tersebut sesuai dengan setidaknya satu nilai dalam kebijakan. Syarat ini juga akan memberikan hasil benar jika tidak ada kunci dalam permintaan, atau jika nilai kunci menghasilkan kumpulan data nol, seperti string kosong.

      • OperatorOperator menentukan jenis perbandingan yang akan dibuat. Pilihan yang disajikan tergantung pada jenis data kunci syarat. Misalnya, kunci syarat global aws:CurrentTime memungkinkan Anda memilih dari salah satu operator perbandingan tanggal, atau Null, yang dapat Anda gunakan untuk menguji apakah nilai hadir dalam permintaan.

        Untuk operator kondisi apa pun kecuali Null tes, Anda dapat memilih IfExistsopsi.

      • Nilai — (Opsional) Tentukan satu atau beberapa nilai yang ingin Anda uji permintaannya.

      Pilih Tambahkan syarat.

      Untuk informasi selengkapnya tentang kunci kondisi, lihat Elemen IAM JSON Kebijakan: Kondisi dalam Panduan IAM Pengguna.

    6. (Opsional) Untuk menggunakan elemen NotAction untuk menolak akses ke semua tindakan kecuali yang ditentukan, ganti Action di panel kiri dengan NotAction, hanya setelah elemen "Effect": "Deny",. Untuk informasi selengkapnya, lihat Elemen IAM JSON Kebijakan: NotAction di Panduan IAM Pengguna.

  6. Untuk menambahkan pernyataan yang mengizinkan akses:

    1. Di JSON editor di sebelah kiri, ubah baris "Effect": "Deny" menjadi"Effect": "Allow".

      Saat Anda memilih opsi di sebelah kanan, JSON editor memperbarui untuk menampilkan JSON kebijakan terkait di sebelah kiri.

    2. Setelah Anda memilih layanan, daftar yang berisi tindakan yang tersedia untuk layanan tersebut akan terbuka. Anda dapat memilih Semua tindakan, atau pilih satu atau beberapa tindakan individual yang ingin Anda izinkan.

      Pembaruan JSON di sebelah kiri untuk menyertakan tindakan yang Anda pilih.

      catatan

      Jika Anda memilih tindakan individual dan kemudian juga kembali dan juga memilih Semua tindakan, entri yang diharapkan untuk ditambahkan keJSON, tetapi tindakan individual yang sebelumnya Anda pilih dibiarkan di JSON dan tidak dihapus. servicename/*

    3. Jika ingin menambahkan tindakan dari layanan tambahan, Anda dapat memilih Semua layanan di bagian atas kotak Pernyataan, dan kemudian ulangi dua langkah sebelumnya sesuai kebutuhan.

  7. (Opsional) Untuk menambahkan pernyataan lain pada kebijakan, pilih Menambahkan pernyataan dan gunakan editor visual untuk membuat pernyataan berikutnya.

  8. Setelah selesai menambahkan pernyataan, pilih Buat kebijakan untuk menyimpan yang sudah selesaiSCP.

Yang baru SCP muncul dalam daftar kebijakan organisasi. Anda sekarang dapat melampirkan Anda SCP ke root,OUs, atau akun.

AWS CLI & AWS SDKs
Untuk membuat kebijakan kontrol layanan

Anda dapat menggunakan salah satu perintah berikut untuk membuatSCP:

  • AWS CLI: create-policy

    Contoh berikut mengasumsikan bahwa Anda memiliki file bernama Deny-IAM.json dengan teks JSON kebijakan di dalamnya. Ia menggunakan file tersebut untuk membuat kebijakan kontrol layanan baru.

    $ aws organizations create-policy \
    --content file://Deny-IAM.json \
    --description "Deny all IAM actions" \
    --name DenyIAMSCP \
    --type SERVICE_CONTROL_POLICY
{
    "Policy": {
        "PolicySummary": {
            "Id": "p-i9j8k7l6m5",
            "Arn": "arn:aws:organizations::123456789012:policy/o-aa111bb222/service_control_policy/p-i9j8k7l6m5",
            "Name": "DenyIAMSCP",
            "Description": "Deny all IAM actions",
            "Type": "SERVICE_CONTROL_POLICY",
            "AwsManaged": false
        },
         "Content": "{\"Version\":\"2012-10-17\",\"Statement\":[{\"Sid\":\"Statement1\",\"Effect\":\"Deny\",\"Action\":[\"iam:*\"],\"Resource\":[\"*\"]}]}"
    }
}

  • AWS SDKs: CreatePolicy
catatan

SCPsjangan berpengaruh pada akun manajemen dan dalam beberapa situasi lain. Untuk informasi selengkapnya, lihat Tugas dan entitas yang tidak dibatasi oleh SCPs.

Buat kebijakan cadangan

Izin minimum

Untuk membuat kebijakan backup, Anda perlu izin untuk menjalankan tindakan-tindakan berikut:

  • organizations:CreatePolicy

AWS Management Console

Anda dapat membuat kebijakan cadangan dengan AWS Management Console salah satu dari dua cara:

  • Editor visual yang memungkinkan Anda memilih opsi dan menghasilkan teks JSON kebijakan untuk Anda.

  • Editor teks yang memungkinkan Anda membuat sendiri teks JSON kebijakan secara langsung.

Editor visual membuat prosesnya mudah, namun membatasi fleksibilitas Anda. Ini adalah cara yang bagus untuk membuat kebijakan pertama Anda dan merasa nyaman menggunakannya. Setelah Anda memahami cara kerjanya dan mulai dibatasi oleh apa yang disediakan editor visual, Anda dapat menambahkan fitur lanjutan ke kebijakan Anda dengan mengedit teks JSON kebijakan sendiri. Editor visual hanya menggunakan operator pengaturan-nilai @@assign, dan tidak menyediakan akses apa pun ke operator kontrol anak. Anda dapat menambahkan operator kontrol anak hanya jika Anda mengedit teks JSON kebijakan secara manual.

Untuk membuat kebijakan backup

  1. Masuk ke konsol AWS Organizations. Anda harus masuk sebagai IAM pengguna, IAM berperan, atau masuk sebagai pengguna root (tidak disarankan) di akun manajemen organisasi.

  2. Pada halaman Kebijakan Backup, pilih Buat Kebijakan.

  3. Pada halaman Bua kebijakan, masukkan Nama kebijakan dan Deskripsi kebijakan opsional.

  4. (Opsional) Anda dapat menambahkan satu tag atau lebih ke kebijakan tersebut dengan memilih Tambahkan tag dan kemudian masukkan kunci dan nilai opsional. Membiarkan nilai kosong akan mengaturnya menjadi string kosong; itu bukan null. Anda dapat melampirkan hingga 50 tag ke kebijakan. Untuk informasi lebih lanjut tentang penandaan, lihat Sumber daya penandaan AWS Organizations.

  5. Anda dapat membangun kebijakan dengan menggunakan Editor visual seperti yang diterangkan dalam prosedur ini. Anda juga dapat memasukkan atau menempelkan teks kebijakan di JSONtab. Untuk informasi tentang sintaksis kebijakan backup, lihat Sintaksis kebijakan Backup dan contoh.

    Jika Anda memilih untuk menggunakan Editor visual, pilih opsi backup yang sesuai untuk skenario Anda. Sebuah paket backup terdiri dari tiga bagian. Untuk informasi selengkapnya tentang elemen-elemen paket backup ini, lihat Membuat paket backup dan Menetapkan sumber daya di Panduan Developer AWS Backup .

    1. Detail umum paket Backup

      • Nama paket Backup dapat terdiri dari alfanumerik, tanda hubung, dan karakter garis bawah saja.

      • Anda harus memilih setidaknya satu Wilayah paket Backup dari daftar. Paket dapat mencadangkan sumber daya hanya dalam yang dipilih Wilayah AWS.

    2. Satu atau lebih aturan backup yang menentukan bagaimana dan kapan AWS Backup beroperasi. Setiap aturan backup mendefinisikan item berikut:

      • Jadwal yang mencakup frekuensi backup dan jendela waktu di mana backup dapat terjadi.

      • Nama ruang penyimpanan backup yang akan digunakan. Nama ruang penyimpanan Backup dapat terdiri dari alfanumerik, tanda hubung, dan karakter garis bawah saja. Ruang penyimpanan backup harus ada sebelum paket dapat berhasil dijalankan. Buat lemari besi menggunakan AWS Backup konsol atau AWS CLI perintah.

      • (Opsional) Satu atau lebih Salin ke wilayah berlaku untuk juga menyalin backup ke ruang penyimpanan di Wilayah AWS lainnya.

      • Satu pasangan kunci dan nilai tag atau lebih yang akan dilampirkan ke titik pemulihan backup dibuat setiap kali paket backup ini berjalan.

      • Opsi siklus hidup yang menentukan kapan backup beralih ke penyimpanan dingin, dan saat backup habis masa berlakunya.

      Pilih Tambahkan aturan untuk menambahkan setiap aturan yang Anda butuhkan pada paket.

      Untuk informasi lebih lanjut tentang aturan backup, lihat Aturan Backup di Panduan Developer AWS Backup .

    3. Sebuah tugas sumber daya yang menentukan sumber daya mana yang harus di-backup oleh AWS Backup dengan paket ini. Penugasan dibuat dengan menentukan pasangan tag yang AWS Backup digunakan untuk menemukan dan mencocokkan sumber daya

      • Nama tugas sumber daya dapat terdiri dari alfanumerik, tanda hubung, dan karakter garis bawah saja.

      • Tentukan IAMperan yang AWS Backup akan digunakan untuk melakukan pencadangan dengan namanya.

        Di konsol, Anda tidak menentukan seluruh Amazon Resource Name (ARN). Anda harus menyertakan nama peran dan prefiks-nya yang menentukan jenis peran. Prefiks biasanya role atau service-role, dan mereka terpisah dari nama peran dengan garis miring ('/'). Misalnya, Anda dapat memasukkan role/MyRoleName atau service-role/MyManagedRoleName. Ini dikonversi menjadi penuh ARN untuk Anda saat disimpan di dasarJSON.

        penting

        IAMPeran yang ditentukan harus sudah ada di akun tempat kebijakan diterapkan. Jika tidak, paket backup mungkin berhasil memulai tugas backup, tetapi tugas backup tersebut akan gagal.

      • Tentukan satu atau lebih pasangan Kunci tag sumber daya dan Nilai tag untuk mengidentifikasi sumber daya yang ingin Anda backup. Jika ada lebih dari satu nilai tag, pisahkan nilai-nilai tersebut dengan koma.

      Pilih Tambahkan tugas untuk menambahkan setiap tugas sumber daya dikonfigurasi ke paket backup.

      Untuk informasi lebih lanjut, lihat Menetapkan Sumber Daya untuk Paket Backup di Panduan Developer AWS Backup .

  6. Setelah selesai membuat kebijakan, pilih Buat kebijakan. Kebijakan tersebut muncul di daftar kebijakan backup yang tersedia.

AWS CLI & AWS SDKs
Untuk membuat kebijakan backup

Anda menggunakan salah satu hal berikut untuk membuat kebijakan backup:

  • AWS CLI: buat-kebijakan

    Buat rencana cadangan sebagai JSON teks yang mirip dengan berikut ini, dan simpan dalam file teks. Untuk aturan lengkap untuk sintaksis, lihat Sintaksis kebijakan Backup dan contoh.

    {
    "plans": {
        "PII_Backup_Plan": {
            "regions": { "@@assign": [ "ap-northeast-2", "us-east-1", "eu-north-1" ] },
            "rules": {
                "Hourly": {
                    "schedule_expression": { "@@assign": "cron(0 5/1 ? * * *)" },
                    "start_backup_window_minutes": { "@@assign": "480" },
                    "complete_backup_window_minutes": { "@@assign": "10080" },
                    "lifecycle": {
                        "move_to_cold_storage_after_days": { "@@assign": "180" },
                        "delete_after_days": { "@@assign": "270" }
                    },
                    "target_backup_vault_name": { "@@assign": "FortKnox" },
                    "copy_actions": {
                        "arn:aws:backup:us-east-1:$account:backup-vault:secondary-vault": {
                            "lifecycle": {
                                "move_to_cold_storage_after_days": { "@@assign": "10" },
                                "delete_after_days": { "@@assign": "100" }
                            }
                        }
                    }
                }
            },
            "selections": {
                "tags": {
                    "datatype": {
                        "iam_role_arn": { "@@assign": "arn:aws:iam::$account:role/MyIamRole" },
                        "tag_key": { "@@assign": "dataType" },
                        "tag_value": { "@@assign": [ "PII" ] }
                    }
                }
            }
        }
    }
}

    Rencana cadangan ini menetapkan bahwa AWS Backup harus mencadangkan semua sumber daya Akun AWS yang terpengaruh yang ada di ditentukan Wilayah AWS dan yang memiliki tag dataType dengan nilaiPII.

    Selanjutnya, impor rencana pencadangan file JSON kebijakan untuk membuat kebijakan cadangan baru di organisasi. Perhatikan ID kebijakan di akhir kebijakan ARN dalam output.

    $ aws organizations create-policy \
    --name "MyBackupPolicy" \
    --type BACKUP_POLICY \
    --description "My backup policy" \
    --content file://policy.json{
    "Policy": {
        "PolicySummary": {
            "Arn": "arn:aws:organizations::o-aa111bb222:policy/backup_policy/p-i9j8k7l6m5",
            "Description": "My backup policy",
            "Name": "MyBackupPolicy",
            "Type": "BACKUP_POLICY"
        }
        "Content": "...a condensed version of the JSON policy document you provided in the file...",
    }
}

  • AWS SDKs: CreatePolicy
Apa yang harus dilakukan selanjutnya

Setelah membuat kebijakan backup, Anda dapat menerapkan kebijakan Anda. Untuk melakukan itu, Anda dapat melampirkan kebijakan ke akar organisasi, unit organisasi (OUs), Akun AWS dalam organisasi Anda, atau kombinasi dari semua itu.

Buat kebijakan tag

Izin minimum

Untuk membuat kebijakan tag, Anda memerlukan izin untuk menjalankan tindakan-tindakan berikut:

  • organizations:CreatePolicy

Anda dapat membuat kebijakan tag AWS Management Console dalam salah satu dari dua cara:

  • Editor visual yang memungkinkan Anda memilih opsi dan menghasilkan teks JSON kebijakan untuk Anda.

  • Editor teks yang memungkinkan Anda membuat sendiri teks JSON kebijakan secara langsung.

Editor visual membuat prosesnya mudah, namun membatasi fleksibilitas Anda. Ini adalah cara yang bagus untuk membuat kebijakan pertama Anda dan merasa nyaman menggunakannya. Setelah Anda memahami cara kerjanya dan mulai dibatasi oleh apa yang disediakan editor visual, Anda dapat menambahkan fitur lanjutan ke kebijakan Anda dengan mengedit teks JSON kebijakan sendiri. Editor visual hanya menggunakan operator pengaturan-nilai @@assign, dan tidak menyediakan akses apa pun ke operator kontrol anak. Anda dapat menambahkan operator kontrol anak hanya jika Anda mengedit teks JSON kebijakan secara manual.

AWS Management Console

Anda dapat membuat kebijakan tag AWS Management Console dalam salah satu dari dua cara:

  • Editor visual yang memungkinkan Anda memilih opsi dan menghasilkan teks JSON kebijakan untuk Anda.

  • Editor teks yang memungkinkan Anda membuat sendiri teks JSON kebijakan secara langsung.

Editor visual membuat prosesnya mudah, namun membatasi fleksibilitas Anda. Ini adalah cara yang bagus untuk membuat kebijakan pertama Anda dan merasa nyaman menggunakannya. Setelah Anda memahami cara kerjanya dan mulai dibatasi oleh apa yang disediakan editor visual, Anda dapat menambahkan fitur lanjutan ke kebijakan Anda dengan mengedit teks JSON kebijakan sendiri. Editor visual hanya menggunakan operator pengaturan-nilai @@assign, dan tidak menyediakan akses apa pun ke operator kontrol anak. Anda dapat menambahkan operator kontrol anak hanya jika Anda mengedit teks JSON kebijakan secara manual.

Untuk membuat kebijakan tag

  1. Masuk ke konsol AWS Organizations tersebut. Anda harus masuk sebagai IAM pengguna, IAM berperan, atau masuk sebagai pengguna root (tidak disarankan) di akun manajemen organisasi.

  2. Pada halaman Kebijakan tag, pilih Buat Kebijakan.

  3. Pada halaman Bua kebijakan, masukkan Nama kebijakan dan Deskripsi kebijakan opsional.

  4. (Opsional) Anda dapat menambahkan satu tag atau lebih ke objek kebijakan itu sendiri. Tag tersebut bukan bagian dari kebijakan. Untuk melakukan ini, pilih Tambahkan tag dan kemudian masukkan nilai kunci dan nilai opsional. Membiarkan nilai kosong akan mengaturnya menjadi string kosong; itu bukan null. Anda dapat melampirkan hingga 50 tag ke kebijakan. Untuk informasi lebih lanjut, lihat Sumber daya penandaan AWS Organizations.

  5. Anda dapat membangun kebijakan tag dengan menggunakan Editor visual seperti yang diterangkan dalam prosedur ini. Anda juga dapat mengetik atau menempelkan kebijakan tag di JSONtab. Untuk informasi selengkapnya tentang sintaks kebijakan tag, lihat Sintaks kebijakan tag.

    Jika Anda memilih untuk menggunakan editor Visual, tentukan yang berikut ini:

  6. Untuk Kunci tag baru 1, tentukan nama kunci tag yang akan ditambahkan.

  7. Untuk Opsi Kepatuhan, Anda dapat memilih opsi berikut:

    1. Gunakan kapitalisasi yang telah Anda tentukan di atas untuk kunci tag — biarkan opsi ini dihapus (default) untuk menentukan bahwa kebijakan tag induk yang diwariskan, jika ada, harus menentukan perlakuan kasus untuk kunci tag.

      Aktifkan opsi ini jika Anda ingin mengamanatkan kapitalisasi khusus untuk kunci tag dengan menggunakan kebijakan ini. Jika Anda memilih pilihan ini, kapitalisasi yang Anda tentukan untuk Kunci Tag akan mengganti perlakuan kasus yang ditentukan dalam kebijakan induk yang diwariskan.

      Jika kebijakan induk tidak ada dan Anda tidak mengaktifkan opsi ini, hanya kunci tag di semua karakter huruf kecil yang dianggap sesuai. Untuk informasi selengkapnya tentang warisan dari kebijakan induk, lihat Memahami warisan kebijakan manajemen.

      Tip

      Pertimbangkan untuk menggunakan kebijakan tag contoh yang ditampilkan di Contoh 1: Tentukan kasus kunci tag di seluruh organisasi sebagai panduan dalam membuat kebijakan tag yang menentukan kunci tag dan perlakuan kasusnya. Lampirkan kebijakan tag ke organisasi root. Kemudian, Anda dapat membuat dan melampirkan kebijakan tag tambahan ke OUs atau akun untuk membuat aturan penandaan tambahan.

    2. Tentukan nilai yang diizinkan untuk kunci tag ini — aktifkan opsi ini jika Anda ingin menambahkan nilai yang diizinkan untuk kunci tag ini ke nilai apa pun yang diwarisi dari kebijakan induk.

      Secara default, opsi ini dihapus, yang berarti bahwa hanya nilai-nilai yang didefinisikan dalam dan diwarisi dari kebijakan induk yang dianggap patuh. Jika kebijakan induk tidak ada dan Anda tidak menentukan nilai tag maka nilai apapun (termasuk tidak ada nilai sama sekali) akan dianggap patuh.

      Untuk memperbarui daftar nilai tag yang dapat diterima, pilih Tentukan nilai yang diizinkan untuk kunci tag ini lalu pilih Tentukan nilai. Saat diminta, masukkan nilai baru (satu nilai per kotak), dan kemudian pilih Simpan perubahan.

  8. Untuk jenis Sumber Daya yang akan diterapkan, Anda dapat memilih Mencegah operasi yang tidak sesuai untuk tag ini.

    Kami menyarankan agar Anda membiarkan opsi ini dihapus (default) kecuali Anda berpengalaman menggunakan kebijakan tag. Pastikan Anda telah meninjau rekomendasi di Memahami penegakan, dan uji secara menyeluruh. Jika tidak, Anda dapat mencegah pengguna di akun organisasi Anda dari menandai sumber daya yang mereka butuhkan.

    Jika Anda ingin menerapkan kepatuhan dengan kunci tag ini, pilih kotak centang dan kemudian Tentukan jenis sumber daya. Saat diminta, pilih jenis sumber daya untuk disertakan dalam kebijakan. Lalu pilih Simpan perubahan.

    penting

    Ketika Anda memilih opsi ini, setiap operasi yang memanipulasi tag untuk sumber daya dari jenis tertentu hanya akan berhasil jika hasil operasi dalam tag patuh dengan kebijakan.

  9. (Opsional) Untuk menambahkan kunci tag lain ke kebijakan tag ini, pilih Tambahkan kunci tag. Kemudian lakukan langkah 6–9 untuk menentukan kunci tag.

  10. Setelah selesai membuat kebijakan tag, pilih Simpan perubahan.

AWS CLI & AWS SDKs
Untuk membuat kebijakan tag

Anda dapat menggunakan salah satu hal berikut untuk membuat kebijakan tag:

  • AWS CLI: buat-kebijakan

    Anda dapat menggunakan editor teks apa pun untuk membuat sebuah kebijakan tag. Gunakan JSON sintaks dan simpan kebijakan tag sebagai file dengan nama dan ekstensi apa pun di lokasi yang Anda pilih. Kebijakan tag dapat terdiri dari maksimum 2.500 karakter, termasuk spasi. Untuk informasi selengkapnya tentang sintaks kebijakan tag, lihat Sintaks kebijakan tag.

    Untuk membuat kebijakan tag

    1. Membuat kebijakan tag dalam file teks yang terlihat serupa dengan berikut ini:

      Isi dari testpolicy.json:

      {
    "tags": {
        "CostCenter": {
            "tag_key": {
                "@@assign": "CostCenter"
            }
        }
    }
}

      Kebijakan tag ini menentukan kunci tag CostCenter. Tag dapat menerima nilai apapun atau bahkan tanpa nilai. Kebijakan seperti ini berarti bahwa sumber daya yang memiliki CostCenter tag yang dilampirkan dengan atau tanpa nilai sesuai.

    2. Membuat kebijakan yang berisi konten kebijakan dari file. Spasi kosong ekstra dalam keluaran telah dipotong agar lebih mudah dibaca.

      $ aws organizations create-policy \
    --name "MyTestTagPolicy" \
    --description "My Test policy" \
    --content file://testpolicy.json \
    --type TAG_POLICY
{
    "Policy": {
        "PolicySummary": {
            "Id": "p-a1b2c3d4e5",
            "Arn": "arn:aws:organizations::123456789012:policy/o-aa111bb222/tag_policy/p-a1b2c3d4e5",
            "Name": "MyTestTagPolicy",
            "Description": "My Test policy",
            "Type": "TAG_POLICY",
            "AwsManaged": false
        },
        "Content": "{\n\"tags\":{\n\"CostCenter\":{\n\"tag_key\":{\n\"@@assign\":\"CostCenter\"\n}\n}\n}\n}\n\n"
    }
}

  • AWS SDKs: CreatePolicy
Apa yang harus dilakukan selanjutnya

Setelah membuat kebijakan tag, Anda dapat menerapkan aturan penandaan. Untuk melakukan itu, lampirkan kebijakan ke akar organisasi, unit organisasi (OUs), Akun AWS di dalam organisasi Anda, atau kombinasi entitas organisasi.

Buat kebijakan chatbot

Izin minimum

Untuk membuat kebijakan chatbot, Anda memerlukan izin untuk menjalankan tindakan berikut:

  • organizations:CreatePolicy

AWS Management Console

Anda dapat membuat kebijakan chatbot dengan AWS Management Console salah satu dari dua cara:

  • Editor visual yang memungkinkan Anda memilih opsi dan menghasilkan teks JSON kebijakan untuk Anda.

  • Editor teks yang memungkinkan Anda membuat sendiri teks JSON kebijakan secara langsung.

Editor visual membuat prosesnya mudah, namun membatasi fleksibilitas Anda. Ini adalah cara yang bagus untuk membuat kebijakan pertama Anda dan merasa nyaman menggunakannya. Setelah Anda memahami cara kerjanya dan mulai dibatasi oleh apa yang disediakan editor visual, Anda dapat menambahkan fitur lanjutan ke kebijakan Anda dengan mengedit teks JSON kebijakan sendiri. Editor visual hanya menggunakan operator pengaturan-nilai @@assign, dan tidak menyediakan akses apa pun ke operator kontrol anak. Anda dapat menambahkan operator kontrol anak hanya jika Anda mengedit teks JSON kebijakan secara manual.

Untuk membuat kebijakan chatbot

  1. Masuk ke konsol AWS Organizations tersebut. Anda harus masuk sebagai IAM pengguna, IAM berperan, atau masuk sebagai pengguna root (tidak disarankan) di akun manajemen organisasi.

  2. Pada halaman Kebijakan Chatbot, pilih Buat kebijakan.

  3. Pada halaman Buat kebijakan chatbot baru, masukkan nama Kebijakan dan deskripsi Kebijakan opsional.

  4. (Opsional) Anda dapat menambahkan satu tag atau lebih ke kebijakan tersebut dengan memilih Tambahkan tag dan kemudian masukkan kunci dan nilai opsional. Membiarkan nilai kosong akan mengaturnya menjadi string kosong; itu bukan null. Anda dapat melampirkan hingga 50 tag ke kebijakan. Untuk informasi selengkapnya, lihat Sumber daya penandaan AWS Organizations.

  5. Anda dapat membangun kebijakan dengan menggunakan Editor visual seperti yang diterangkan dalam prosedur ini. Anda juga dapat memasukkan atau menempelkan teks kebijakan di JSONtab. Untuk informasi tentang sintaks kebijakan chatbot, lihat. Sintaks dan contoh kebijakan Chatbot

    Jika Anda memilih untuk menggunakan editor Visual, konfigurasikan kebijakan chatbot Anda dengan menentukan kontrol akses untuk klien obrolan.

    1. Pilih salah satu yang berikut untuk Atur akses klien obrolan Amazon Chime

      • Tolak akses lonceng.

      • Izinkan akses Chime.

    2. Pilih yang berikut ini untuk Mengatur akses klien obrolan Microsoft Teams

      • Tolak akses ke semua Tim

      • Izinkan akses ke semua Tim

      • Batasi akses ke Tim bernama

    3. Pilih salah satu dari berikut untuk Set Slack chat client access

      • Tolak akses ke semua ruang kerja Slack

      • Izinkan akses ke semua ruang kerja Slack

      • Batasi akses ke worksapces Slack bernama

      catatan

      Selain itu, Anda dapat memilih Batasi AWS Chatbot penggunaan hanya untuk saluran Slack pribadi.

    4. Pilih opsi berikut untuk Mengatur IAM jenis izin

      • Aktifkan IAM peran tingkat Saluran — Semua anggota saluran berbagi izin IAM peran untuk menjalankan tugas di saluran. Peran saluran sesuai jika anggota saluran memerlukan izin yang sama.

      • Aktifkan IAM Peran tingkat Pengguna — Anggota saluran harus memilih peran IAM pengguna untuk melakukan tindakan (Memerlukan akses Konsol untuk memilih peran). Peran pengguna dapat diterapkan jika anggota saluran memerlukan izin yang berbeda dan dapat memilih peran pengguna mereka.

  6. Setelah selesai membuat kebijakan, pilih Buat kebijakan. Kebijakan tersebut muncul di daftar kebijakan pencadangan chatbot Anda.

AWS CLI & AWS SDKs
Untuk membuat kebijakan chatbot

Anda dapat menggunakan salah satu dari berikut ini untuk membuat kebijakan chatbot:

  • AWS CLI: create-policy

    Anda dapat menggunakan editor teks apa pun untuk membuat kebijakan chatbot. Gunakan JSON sintaks dan simpan kebijakan chatbot sebagai file dengan nama dan ekstensi apa pun di lokasi yang Anda pilih. Kebijakan Chatbot dapat memiliki maksimum? karakter, termasuk spasi. Untuk informasi selengkapnya tentang sintaks kebijakan tag, lihat Sintaks dan contoh kebijakan Chatbot.

    Untuk membuat kebijakan chatbot

    1. Buat kebijakan chatbot dalam file teks yang terlihat mirip dengan berikut ini:

      Isi dari testpolicy.json:

      {
   "chatbot": {
      "platforms": {
         "slack": {
            "client": {
               "@@assign": "enabled"
            },
            "workspaces": {
               "@@assign": [
                  "Slack-Workspace-Id"
               ]
            },
            "default": {
               "supported_channel_types": {
                  "@@assign": [
                     "private"
                  ]
               }
            }
         },
         "microsoft_teams": {
            "client": {
               "@@assign": "disabled"
            }
         }
      }
   }
}

      Kebijakan chatbot ini hanya mengizinkan saluran Slack pribadi di ruang kerja tertentu, menonaktifkan Microsoft Teams, dan mendukung semua pengaturan peran.

    2. Membuat kebijakan yang berisi konten kebijakan dari file. Spasi kosong ekstra dalam keluaran telah dipotong agar lebih mudah dibaca.

      $ aws organizations create-policy \
    --name "MyTestTagPolicy" \
    --description "My Test policy" \
    --content file://testpolicy.json \
    --type TAG_POLICY
{
    "Policy": {
        "PolicySummary": {
            "Id": "p-a1b2c3d4e5",
            "Arn": "arn:aws:organizations::123456789012:policy/o-aa111bb222/chatbot_policy/p-a1b2c3d4e5",
            "Name": "MyTestChatbotPolicy",
            "Description": "My Test policy",
            "Type": "CHATBOT_POLICY",
            "AwsManaged": false
        },
        "Content": "{"chatbot":{"platforms":{"slack":{"client":{"@@assign":"enabled"},"workspaces":{"@@assign":["Slack-Workspace-Id"]},"supported_channel_types":{"@@assign":["private"]}},"microsoft_teams":{"client":{"@@assign":"disabled"}}}}}"
    }
}

  • AWS SDKs: CreatePolicy
Apa yang harus dilakukan selanjutnya

Setelah membuat kebijakan chatbot, Anda dapat menerapkan pilihan opt-out. Untuk melakukan itu, Anda dapat melampirkan kebijakan ke akar organisasi, unit organisasi (OUs), Akun AWS dalam organisasi Anda, atau kombinasi dari semua itu.

Buat kebijakan opt-out layanan AI

Izin minimum

Untuk membuat kebijakan berhenti berlangganan layanan AI, Anda perlu izin untuk melakukan tindakan-tindakan berikut:

  • organizations:CreatePolicy

AWS Management Console
Untuk membuat kebijakan berhenti berlangganan layanan AI

  1. Masuk ke konsol AWS Organizations. Anda harus masuk sebagai IAM pengguna, IAM berperan, atau masuk sebagai pengguna root (tidak disarankan) di akun manajemen organisasi.

  2. Pada laman Kebijakan berhenti berlangganan layanan AI, pilih Buat kebijakan.

  3. Pada laman Buat kebijakan berhenti berlangganan layanan AI baru, masukkan Nama kebijakan dan Deskripsi kebijakan opsional.

  4. (Opsional) Anda dapat menambahkan satu tag atau lebih ke kebijakan tersebut dengan memilih Tambahkan tag dan kemudian masukkan kunci dan nilai opsional. Membiarkan nilai kosong akan mengaturnya menjadi string kosong; itu bukan null. Anda dapat melampirkan hingga 50 tag ke kebijakan. Untuk informasi selengkapnya, lihat Sumber daya penandaan AWS Organizations.

  5. Masukkan atau tempel teks kebijakan di JSONtab. Untuk informasi tentang sintaks kebijakan berhenti berlangganan layanan AI, lihat Sintaks dan contoh kebijakan berhenti berlangganan layanan AI. Untuk contoh kebijakan yang dapat Anda gunakan sebagai titik awal, lihat Sintaks dan contoh kebijakan berhenti berlangganan layanan AI.

  6. Setelah selesai mengedit kebijakan, pilih Buat kebijakan di sudut kanan bawah laman.

AWS CLI & AWS SDKs
Untuk membuat kebijakan berhenti berlangganan layanan AI

Anda dapat menggunakan salah satu hal berikut untuk membuat kebijakan tag:

  • AWS CLI: create-policy

    1. Buat kebijakan berhenti berlangganan layanan AI seperti berikut, dan simpan dalam file teks. Perhatikan bahwa "optOut" dan "optIn" peka huruf besar dan kecil.

      {
    "services": {
        "default": {
            "opt_out_policy": {
                "@@assign": "optOut"
            }
        },
        "rekognition": {
            "opt_out_policy": {
                "@@assign": "optIn"
            }
        }
    }
}

      Kebijakan berhenti berlangganan layanan AI ini menetapkan bahwa semua akun yang terpengaruh oleh kebijakan dapat berhenti berlangganan semua layanan AI kecuali untuk Amazon Rekognition.

    2. Impor file JSON kebijakan untuk membuat kebijakan baru di organisasi. Dalam contoh ini, JSON file sebelumnya diberi namapolicy.json.

      $ aws organizations create-policy \
    --type AISERVICES_OPT_OUT_POLICY \
    --name "MyTestPolicy" \
    --description "My test policy" \
    --content file://policy.json
{
    "Policy": {
        "Content": "{\"services\":{\"default\":{\"opt_out_policy\":{\"@@assign\":\"optOut\"}},\"rekognition\":{\"opt_out_policy\":{\"@@assign\":\"optIn\"}}}}",
        "PolicySummary": {
            "Id": "p-i9j8k7l6m5"
            "Arn": "arn:aws:organizations::o-aa111bb222:policy/aiservices_opt_out_policy/p-i9j8k7l6m5",
            "Description": "My test policy",
            "Name": "MyTestPolicy",
            "Type": "AISERVICES_OPT_OUT_POLICY"
        }
    }
}

  • AWS SDKs: CreatePolicy
Apa yang harus dilakukan selanjutnya

Setelah membuat kebijakan berhenti berlangganan layanan AI, Anda dapat memberlakukan pilihan berhenti berlangganan. Untuk melakukan itu, Anda dapat melampirkan kebijakan ke akar organisasi, unit organisasi (OUs), Akun AWS dalam organisasi Anda, atau kombinasi dari semua itu.