Operator pewarisan - AWS Organizations

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Operator pewarisan

Operator pewarisan mengontrol bagaimana warisan kebijakan dan kebijakan akun bergabung menjadi sebuah kebijakan efektif dari akun tersebut. Operator ini mencakup operator pengaturan nilai dan operator kontrol anak.

Saat Anda menggunakan editor visual di AWS Organizations konsol, Anda hanya dapat menggunakan @@assign operator. Operator-operator lain dianggap sebagai fitur lanjutan. Untuk menggunakan operator lain, Anda harus membuat JSON kebijakan secara manual. Penulis kebijakan yang berpengalaman dapat menggunakan operator pewarisan untuk mengontrol nilai-nilai apa yang diterapkan pada kebijakan efektif dan membatasi perubahan apa yang dapat dibuat kebijakan anak.

Operator pengaturan nilai

Anda dapat menggunakan operator pengaturan nilai berikut untuk mengontrol bagaimana kebijakan Anda berinteraksi dengan kebijakan induknya:

  • @@assignMenimpa pengaturan kebijakan yang diwariskan dengan pengaturan yang ditentukan. Jika pengaturan yang ditentukan tidak diwariskan, operator ini menambahkannya ke kebijakan efektif. Operator ini dapat berlaku untuk pengaturan kebijakan apa pun dari jenis apa pun.

    • Untuk pengaturan bernilai tunggal, operator ini menggantikan nilai yang diwariskan dengan nilai yang ditentukan.

    • Untuk setelan multi-nilai (JSONarray), operator ini menghapus nilai yang diwariskan dan menggantinya dengan nilai yang ditentukan oleh kebijakan ini.

  • @@appendMenambahkan pengaturan yang ditentukan (tanpa menghapus apapun) ke pengaturan yang diwariskan. Jika pengaturan yang ditentukan tidak diwariskan, operator ini menambahkannya ke kebijakan efektif. Anda dapat menggunakan operator ini hanya dengan pengaturan multi-nilai.

    • Operator ini menambahkan nilai yang ditentukan untuk setiap nilai dalam array yang diwariskan.

  • @@removeMenghapus pengaturan warisan yang ditentukan dari kebijakan efektif, jika ada. Anda dapat menggunakan operator ini hanya dengan pengaturan multi-nilai.

    • Operator ini hanya menghapus nilai-nilai yang ditentukan dari array nilai yang diwarisi dari kebijakan induk. Nilai-nilai lain dapat tetap ada dalam array dan dapat diwariskan oleh kebijakan anak.

Operator kontrol anak

Menggunakan operator kontrol anak adalah opsional. Anda dapat menggunakan operator @@operators_allowed_for_child_policies untuk mengontrol pengaturan nilai kebijakan anak yang dapat digunakan. Anda dapat mengizinkan semua operator, beberapa operator tertentu, atau tidak ada operator yang diizinkan. Secara default, semua operator (@@all) diizinkan.

  • "@@operators_allowed_for_child_policies": ["@@all"] — Anak OUs dan akun dapat menggunakan operator apa pun dalam kebijakan. Secara default, semua operator diizinkan dalam kebijakan anak.

  • "@@operators_allowed_for_child_policies": ["@@assign", "@@append", "@@remove"] — Anak OUs dan akun hanya dapat menggunakan operator yang ditentukan dalam kebijakan anak. Anda dapat menentukan satu atau beberapa operator pengaturan nilai pada operator kontrol anak ini.

  • "@@operators_allowed_for_child_policies": ["@@none"] — Anak OUs dan akun tidak dapat menggunakan operator dalam kebijakan. Anda dapat menggunakan operator ini untuk secara efektif mengunci nilai-nilai yang didefinisikan dalam kebijakan induk sehingga kebijakan anak tidak dapat menambahkan, menambah, atau menghapus nilai-nilai tersebut.

catatan

Jika operator kontrol anak yang diwariskan membatasi penggunaan operator, Anda tidak dapat membalikkan aturan tersebut dalam kebijakan anak. Jika Anda menyertakan operator kontrol anak dalam kebijakan induk, maka mereka membatasi operator pengaturan nilai di semua kebijakan anak.