Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
RCPvalutazione
Nota
Le informazioni contenute in questa sezione non si applicano ai tipi di policy di gestione, incluse le policy di backup, le policy di tag, le policy dei chatbot o le politiche di opt-out dei servizi AI. Per ulteriori informazioni, consulta Comprendere l'ereditarietà delle policy di gestione.
Poiché puoi allegare più politiche di controllo delle risorse (RCPs) a diversi livelli AWS Organizations, comprendere come RCPs vengono valutate può aiutarti a scrivere RCPs il risultato giusto.
Strategia di utilizzo RCPs
La RCPFullAWSAccess politica è una politica AWS gestita. Viene automaticamente collegata alla radice dell'organizzazione, a ogni unità organizzativa e a ogni account dell'organizzazione, quando si abilitano le politiche di controllo delle risorse (RCPs). Non è possibile scollegare questa politica. Questa impostazione predefinita RCP consente a tutti i principali e alle azioni di passare alla fase di RCP valutazione, il che significa che fino a quando non inizi a creare e allegareRCPs, tutte le IAM autorizzazioni esistenti continueranno a funzionare come prima. Questa politica AWS gestita non concede l'accesso.
È possibile utilizzare le Deny istruzioni per bloccare l'accesso alle risorse dell'organizzazione. Affinché venga negata l'autorizzazione per una risorsa in un account specifico, è possibile negare tale autorizzazione a qualsiasi utente, RCP dalla radice a ciascuna unità organizzativa che conduce direttamente all'account (incluso l'account di destinazione stesso).
Denyle dichiarazioni sono uno strumento efficace per implementare restrizioni che dovrebbero valere per una parte più ampia dell'organizzazione. Ad esempio, è possibile allegare una politica per impedire che identità esterne all'organizzazione accedano alle risorse a livello principale. Tale politica sarà valida per tutti gli account dell'organizzazione. AWS si consiglia vivamente di non RCPs collegarsi alla radice dell'organizzazione senza aver testato a fondo l'impatto che la politica ha sulle risorse dei propri account. Per ulteriori informazioni, consulta Effetti dei test di RCPs.
Nella Figura 1, all'unità RCP organizzativa di produzione è allegata una Deny dichiarazione esplicita specificata per un determinato servizio. Di conseguenza, sia all'Account A che all'Account B verrà negato l'accesso al servizio in quanto una politica di rifiuto associata a qualsiasi livello dell'organizzazione viene valutata per tutti gli account OUs e i membri sottostanti.
Figura 1: Esempio di struttura organizzativa con una Deny dichiarazione allegata a Production OU e relativo impatto sull'Account A e sull'Account B
