As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
RCPavaliação
nota
As informações nesta seção não se aplicam a tipos de política de gerenciamento, incluindo políticas de recusa de serviços de IA, políticas de backup, políticas de tag ou políticas de chatbot. Para obter mais informações, consulte Entendendo a herança da política de gerenciamento.
Como você pode anexar várias políticas de controle de recursos (RCPs) em diferentes níveis AWS Organizations, entender como RCPs são avaliadas pode ajudá-lo RCPs a escrever o resultado certo.
Estratégia para usar RCPs
A RCPFullAWSAccess política é uma política AWS gerenciada. Ele é automaticamente anexado à raiz da organização, a cada UO e a cada conta da sua organização, quando você ativa as políticas de controle de recursos (RCPs). Você não pode separar essa política. Esse padrão RCP permite que o acesso de todos os diretores e ações passe pela RCP avaliação, ou seja, até você começar a criar e anexarRCPs, todas as suas IAM permissões existentes continuarão funcionando da mesma forma. Essa política AWS gerenciada não concede acesso.
Você pode usar Deny declarações para bloquear o acesso aos recursos em sua organização. Para que uma permissão seja negada para um recurso em uma conta específica, qualquer RCP pessoa da raiz até cada OU no caminho direto para a conta (incluindo a própria conta de destino) pode negar essa permissão.
Denyas declarações são uma forma poderosa de implementar restrições que devem ser verdadeiras para uma parte mais ampla da sua organização. Por exemplo, você pode anexar uma política para ajudar a impedir que identidades externas à sua organização acessem seus recursos no nível raiz, e isso será efetivo para todas as contas da organização. AWS recomenda fortemente que você não se vincule RCPs à raiz da sua organização sem testar minuciosamente o impacto que a política tem sobre os recursos em suas contas. Para obter mais informações, consulte Testando os efeitos do RCPs.
Na Figura 1, há um RCP anexo à OU de produção que tem uma Deny declaração explícita especificada para um determinado serviço. Como resultado, tanto a Conta A quanto a Conta B terão acesso negado ao serviço, pois uma política de negação vinculada a qualquer nível da organização é avaliada para todas as contas OUs e membros abaixo dela.
Figura 1: Exemplo de estrutura organizacional com uma Deny declaração anexada na OU de produção e seu impacto na Conta A e na Conta B
