Como criar políticas organizacionais com o AWS Organizations - AWS Organizations
Criar uma política de controle de serviços (SCP)Criar uma política de backupCriar uma política de tagsCriar uma política de chatbotCriar uma política de recusa de serviços de IA

Como criar políticas organizacionais com o AWS Organizations

Depois de habilitar políticas para sua organização, você pode criar uma política.

Este tópico descreve como criar políticas com o AWS Organizations. Uma política define os controles que você deseja aplicar a um grupo de Contas da AWS. O AWS Organizations abrange políticas de gerenciamento e políticas de autorização.

Criar uma política de controle de serviços (SCP)

Permissões mínimas

Para criar as SCPs, você precisa de permissão para executar a seguinte ação:

  • organizations:CreatePolicy

AWS Management Console
Para criar uma política de controle de serviço

  1. Faça login no console do AWS Organizations. Você deve fazer login como um usuário do IAM, assumir uma função do IAM ou fazer login como usuário-raiz (não recomendado) na conta de gerenciamento da organização.

  2. Na página Service control policies (Políticas de controle de serviço), escolha Create policy (Criar política).

  3. Na página Create new service control policy (Criar nova política de controle de serviço), insira um nome de política e uma descrição da política opcional.

  4. (Opcional) Adicione uma ou mais tags escolhendo Add tag (Adicionar tag) e inserindo uma chave e um valor opcional. Se deixar o valor em branco, ele é definido como uma sequência vazia, não null. É possível anexar até 50 tags a uma política. Para obter mais informações, consulte Marcando atributos AWS Organizations.

    nota

    Na maioria das etapas a seguir, discutimos o uso dos controles no lado direito do editor JSON para construir a política, elemento por elemento. Como alternativa, você pode, a qualquer momento, simplesmente inserir texto no editor JSON no lado esquerdo da janela. Você pode digitar diretamente, ou usar copiar e colar.

  5. Para criar a política, suas próximas etapas variam, dependendo de se você deseja adicionar uma instrução que nega ou permite o acesso. Para ter mais informações, consulte Avaliação do SCP. Se você usar instruções Deny, você tem mais controle, pois pode restringir o acesso a recursos específicos, definir condições para quando as SCPs estão em vigor e usar o elemento NotAction. Para obter detalhes sobre sintaxe de, consulte Sintaxe de SCP.

    Para adicionar uma instrução que nega acesso:

    1. No painel direito Edit statement (Editar instrução) do editor, em Add actions (Adicionar ações), escolha um serviço da AWS.

      À medida que você escolher opções à direita, o editor JSON é atualizado para mostrar a política JSON correspondente à esquerda.

    2. Depois de selecionar um serviço, será aberta uma lista que contém as ações disponíveis para esse serviço. Você pode escolher All actions (Todas as ações) ou escolher uma ou mais ações individuais que você deseja negar.

      O JSON à esquerda é atualizado para incluir as ações selecionadas.

      nota

      Se você selecionar uma ação individual e, em seguida, voltar e também selecionar All actions (Todas as ações), a entrada esperada para servicename/* é adicionada ao JSON, mas as ações individuais selecionadas anteriormente são deixadas no JSON e não são removidas.

    3. Se desejar adicionar ações de serviços adicionais, você pode escolher All services (Todos os serviços) na parte superior da caixa Statement (Instrução) e repetir as duas etapas anteriores, conforme necessário.

    4. Especifique os recursos a serem incluídos na instrução.

      • Ao lado de Add a resource (Adicionar um recurso), escolha Add (Adicionar).

      • No diálogo Add resource (Adicionar recurso), escolha o serviço cujos recursos você deseja controlar na lista. Você pode selecionar apenas entre os serviços selecionados na etapa anterior.

      • Em Resource type (Tipo de recurso), escolha o tipo de recurso que você deseja controlar.

      • Finalmente, preencha o nome do recurso da Amazon (ARN) emResource ARN (ARN do recurso) para identificar o recurso específico ao qual você deseja controlar o acesso. Você deve substituir todos os espaços reservados que estão rodeados por chaves {}. Você pode especificar curingas (*) onde a sintaxe ARN desse tipo de recurso permitir. Consulte a documentação de um tipo de recurso específico para obter informações sobre onde você pode usar curingas.

      • Salve sua adição à política escolhendo Add resource (Adicionar recurso). O elemento Resource no JSON reflete suas adições ou alterações. O elemento do recurso é necessário.

      dica

      Se você desejar especificar todos os recursos para o serviço selecionado, escolha a opção All resources (Todos os recursos) na lista ou edite a instrução Resource diretamente no JSON para ler "Resource":"*".

    5. (Opcional) Para especificar condições que limitam quando uma instrução de política está em vigor, ao lado de Add condition (Adicionar condição), escolha Add (Adicionar).

      • Condition key (Chave de condição) – a partir da lista, você pode escolher qualquer chave de condição disponível para todos os serviços AWS (por exemplo, aws:SourceIp) ou uma chave específica do serviço para apenas um dos serviços selecionados para esta instrução.

      • Qualifier (Qualificador) – (opcional) se você inserir vários valores para a condição (dependendo da chave de condição especificada), poderá especificar um qualificador para testar solicitações para os valores.

        • Default (Padrão) – testa um único valor na solicitação em relação ao valor da chave de condição na política. A condição retornará true se o valor da chave na solicitação corresponder ao valor na política. Se a política especificar mais de um valor, eles serão tratados como um teste "ou" e a condição retornará true se os valores da solicitação corresponderem a qualquer um dos valores de diretiva.

        • For any value in a request (Para qualquer valor de uma solicitação) – quando a solicitação pode ter vários valores, esta opção testa se pelo menos um dos valores da solicitação corresponde a pelo menos um dos valores da chave de condição na política. A condição retorna verdadeiro se qualquer um dos valores de chave na solicitação corresponder a algum dos valores da condição na política. A condição retornará "falso" se nenhuma chave corresponder ou se houver um conjunto de dados nulo.

        • For all values in a request (Para todos os valores em uma solicitação) – quando a solicitação pode ter vários valores, esta opção testa se todos os valores da solicitação correspondem ao valor da chave de condição na política. A condição retornará "verdadeiro" se cada valor de chave na solicitação corresponder a pelo menos um valor na política. Ela também retornará "verdadeiro" se não houver chaves na solicitação, ou se os valores de chave forem resolvidos para um conjunto de dados nulo, como uma string vazia.

      • Operator (Operador) – o operador especifica o tipo de comparação a ser feita. As opções apresentadas dependem do tipo de dados da chave de condição. Por exemplo, a chave de condição global aws:CurrentTime permite que você escolha entre qualquer um dos operadores de comparação de datas, ou Null, que você pode usar para testar se o valor está presente na solicitação.

        Para qualquer operador de condição, exceto o teste Null, é possível escolher a opção IfExists.

      • Value (Valor) – (opcional) especifique um ou mais valores para os quais você deseja testar a solicitação.

      Escolha Adicionar condição.

      Para obter mais informações sobre o uso de chaves de condição, consulte Elementos de política JSON do IAM: condição no Guia do usuário do IAM.

    6. (Opcional) para usar o elemento NotAction para negar acesso a todas as ações, exceto as especificadas, substitua Action por NotAction no painel à esquerda, logo após o elemento "Effect": "Deny",. Para obter mais informações, consulte Elementos da política JSON do IAM: ação no Guia do usuário do IAM.

  6. Para adicionar uma instrução que permite acesso:

    1. No editor JSON à esquerda, altere a linha "Effect": "Deny" para "Effect": "Allow".

      À medida que você escolher opções à direita, o editor JSON é atualizado para mostrar a política JSON correspondente à esquerda.

    2. Depois de selecionar um serviço, será aberta uma lista que contém as ações disponíveis para esse serviço. Você pode escolher All actions (Todas as ações) ou escolher uma ou mais ações individuais que você deseja permitir.

      O JSON à esquerda é atualizado para incluir as ações selecionadas.

      nota

      Se você selecionar uma ação individual e, em seguida, voltar e também selecionar All actions (Todas as ações), a entrada esperada para servicename/* é adicionada ao JSON, mas as ações individuais selecionadas anteriormente são deixadas no JSON e não são removidas.

    3. Se desejar adicionar ações de serviços adicionais, você pode escolher All services (Todos os serviços) na parte superior da caixa Statement (Instrução) e repetir as duas etapas anteriores, conforme necessário.

  7. (Opcional) Para adicionar outra instrução à política, escolha Add Statement (Adicionar instrução) e use o editor visual para criar a próxima instrução.

  8. Ao concluir a adição de instruções, escolha Create policy (Criar política) para salvar a SCP concluída.

A nova SCP aparece na lista das políticas da organização. Agora você pode anexar a SCP à raiz, a UOs ou às contas.

AWS CLI & AWS SDKs
Para criar uma política de controle de serviço

Você pode usar um dos seguintes comandos para criar uma SCP:

  • AWS CLI: create-policy

    O exemplo a seguir pressupõe que você tenha um arquivo chamado Deny-IAM.json com o texto da política JSON nele. Ele usa esse arquivo para criar uma nova política de controle de serviço.

    $ aws organizations create-policy \
    --content file://Deny-IAM.json \
    --description "Deny all IAM actions" \
    --name DenyIAMSCP \
    --type SERVICE_CONTROL_POLICY
{
    "Policy": {
        "PolicySummary": {
            "Id": "p-i9j8k7l6m5",
            "Arn": "arn:aws:organizations::123456789012:policy/o-aa111bb222/service_control_policy/p-i9j8k7l6m5",
            "Name": "DenyIAMSCP",
            "Description": "Deny all IAM actions",
            "Type": "SERVICE_CONTROL_POLICY",
            "AwsManaged": false
        },
         "Content": "{\"Version\":\"2012-10-17\",\"Statement\":[{\"Sid\":\"Statement1\",\"Effect\":\"Deny\",\"Action\":[\"iam:*\"],\"Resource\":[\"*\"]}]}"
    }
}

  • AWS SDKs: CreatePolicy
nota

As SCPs não entram em vigor na conta de gerenciamento e em algumas outras situações. Para ter mais informações, consulte Tarefas e entidades não restringidas por SCPs.

Criar uma política de backup

Permissões mínimas

Para criar uma política de backup, você precisa de permissão para executar a seguinte ação:

  • organizations:CreatePolicy

AWS Management Console

Você pode criar uma política de backup no AWS Management Console de uma das duas maneiras:

  • Um editor visual que permite escolher opções e gera o texto da política JSON para você.

  • Um editor de texto que permite que você mesmo crie diretamente o texto da política JSON.

O editor visual facilita o processo, mas limita sua flexibilidade. É uma ótima maneira de criar suas primeiras políticas e se sentir confortável ao usá-las. Depois de entender como elas funcionam e de começar a ser limitado pelo que o editor visual fornece, você poderá adicionar recursos avançados às suas políticas editando você mesmo o texto da política JSON. O editor visual usa apenas o operador de definição de valor @@assign e não fornece qualquer acesso aos operadores de controle subordinados. Você só pode adicioná-los se editar manualmente o texto de política JSON.

Para criar uma política de backup

  1. Faça login no console do AWS Organizations. Você deve fazer login como um usuário do IAM, assumir uma função do IAM ou fazer login como usuário-raiz (não recomendado) na conta de gerenciamento da organização.

  2. Na página Backup policies (Políticas de backup), escolha Create policy (Criar política).

  3. Na página Create policy (Criar política), insira um nome de política e uma descrição, opcional, para a política.

  4. (Opcional) você pode adicionar uma ou mais tags escolhendo Add tag (Adicionar tag) e inserindo uma chave e um valor opcional. Se deixar o valor em branco, ele é definido como uma sequência vazia, não null. É possível anexar até 50 tags a uma política. Para obter mais informações sobre marcação, consulte Marcando atributos AWS Organizations.

  5. Você pode criar a política usando o Editor Visual, conforme descrito neste procedimento. Você também pode inserir ou colar texto de política na guia JSON . Para obter informações sobre a sintaxe de política de backup, consulte Sintaxe e exemplos de políticas de backup.

    Se você optar por usar o Editor Visual, selecione as opções de backup apropriadas para seu cenário. Um plano de backup consiste em três partes. Para obter mais informações sobre esses elementos do plano de backup, consulte Criação de um plano de backup e Atribuição de recursos no Guia do desenvolvedor do AWS Backup.

    1. Detalhes gerais do plano de backup

      • O Nome do plano de backup pode consistir apenas em caracteres alfanuméricos, hífen e sublinhados.

      • Você deve selecionar pelo menos uma Região do plano de backup na lista. O plano pode fazer backup de recursos somente nas Regiões da AWS selecionadas.

    2. Uma ou mais regras de backup que especificam como e quando o AWS Backup deve operar. Cada regra de backup define os seguintes itens:

      • Uma programação que inclui a frequência do backup e a janela de tempo em que o backup pode ocorrer.

      • O nome do cofre de backup a ser usado. O nome do cofre de backup pode consistir apenas em caracteres alfanuméricos, hífen e sublinhados. O cofre de backup deve existir antes que o plano possa ser executado com êxito. Crie o cofre usando o console do AWS Backup ou comandos da AWS CLI.

      • (Opcional) Uma ou mais regras de Copiar para região também copiam o backup para cofres em outras Regiões da AWS.

      • Um ou mais pares de chave de tag e valor a serem anexados aos pontos de recuperação de backup criados sempre que esse plano de backup for executado.

      • Opções de ciclo de vida que especificam quando o backup faz a transição para o armazenamento frio e quando o backup expira.

      Escolha Add rule (Adicionar regra) para adicionar cada regra necessária ao plano.

      Para obter mais informações sobre backup, consulte Regras de backup no Guia do desenvolvedor do AWS Backup.

    3. Uma atribuição de recurso que especifica os recursos dos quais o AWS Backup deve fazer backup com este plano. A atribuição é feita especificando pares de tags que o AWS Backup usa para localizar e combinar recursos

      • O nome da atribuição do recurso pode consistir apenas em caracteres alfanuméricos, hífen e sublinhados.

      • Especifique a função do IAM a ser usada pelo AWS Backup para executar o backup pelo nome.

        No console, você não especifica o nome do recurso da Amazon (ARN) inteiro. Você deve incluir o nome da função e o prefixo que especifica o tipo de função. Os prefixos são tipicamente role ou service-role, e eles são separados do nome da função por uma barra ('/'). Por exemplo, você pode inserir role/MyRoleName ou service-role/MyManagedRoleName. Isso é convertido em um ARN completo para você quando armazenado no JSON subjacente.

        Importante

        A função do IAM especificada já deve existir na conta à qual a política é aplicada. Caso contrário, o plano de backup pode iniciar com êxito trabalhos de backup, mas esses trabalhos de backup falharão.

      • Especifique uma ou mais chaves de tag de recurso e valores de tag para identificar os recursos dos quais você deseja que seja feito backup. Se houver mais de um valor de tag, separe-os com vírgulas.

      Selecione Add assignment (Adicionar atribuição) para adicionar cada atribuição de recurso configurada ao plano de backup.

      Para obter mais informações, consulte Atribuir recursos a um plano de backup no Guia do desenvolvedor do AWS Backup.

  6. Quando terminar de criar sua política, escolha Create policy (Criar política). A política aparecerá na lista de políticas de backup disponíveis.

AWS CLI & AWS SDKs
Para criar uma política de backup

Você pode usar um dos seguintes procedimentos para criar uma política de backup:

  • AWS CLI: create-policy

    Crie um plano de backup como texto JSON semelhante ao seguinte e armazene-o em um arquivo de texto. Para obter regras completas para a sintaxe, consulte Sintaxe e exemplos de políticas de backup.

    {
    "plans": {
        "PII_Backup_Plan": {
            "regions": { "@@assign": [ "ap-northeast-2", "us-east-1", "eu-north-1" ] },
            "rules": {
                "Hourly": {
                    "schedule_expression": { "@@assign": "cron(0 5/1 ? * * *)" },
                    "start_backup_window_minutes": { "@@assign": "480" },
                    "complete_backup_window_minutes": { "@@assign": "10080" },
                    "lifecycle": {
                        "move_to_cold_storage_after_days": { "@@assign": "180" },
                        "delete_after_days": { "@@assign": "270" }
                    },
                    "target_backup_vault_name": { "@@assign": "FortKnox" },
                    "copy_actions": {
                        "arn:aws:backup:us-east-1:$account:backup-vault:secondary-vault": {
                            "lifecycle": {
                                "move_to_cold_storage_after_days": { "@@assign": "10" },
                                "delete_after_days": { "@@assign": "100" }
                            }
                        }
                    }
                }
            },
            "selections": {
                "tags": {
                    "datatype": {
                        "iam_role_arn": { "@@assign": "arn:aws:iam::$account:role/MyIamRole" },
                        "tag_key": { "@@assign": "dataType" },
                        "tag_value": { "@@assign": [ "PII" ] }
                    }
                }
            }
        }
    }
}

    Esse plano de backup especifica que o AWS Backup deve fazer backup de todos os recursos nas Contas da AWS afetadas que estão nas Regiões da AWS especificadas e que têm a tag dataType com valor de PII.

    Em seguida, importe o plano de backup do arquivo de política JSON para criar uma nova política na organização. Observe o ID da política no final do ARN da política na saída.

    $ aws organizations create-policy \
    --name "MyBackupPolicy" \
    --type BACKUP_POLICY \
    --description "My backup policy" \
    --content file://policy.json{
    "Policy": {
        "PolicySummary": {
            "Arn": "arn:aws:organizations::o-aa111bb222:policy/backup_policy/p-i9j8k7l6m5",
            "Description": "My backup policy",
            "Name": "MyBackupPolicy",
            "Type": "BACKUP_POLICY"
        }
        "Content": "...a condensed version of the JSON policy document you provided in the file...",
    }
}

  • AWS SDKs: CreatePolicy
O que fazer em seguida

Depois de criar uma política de backup, você pode colocar sua política em vigor. Para isso, você pode anexar a política à raiz da organização, unidades organizacionais (UOs), Contas da AWS dentro da organização ou uma combinação de tudo isso.

Criar uma política de tags

Permissões mínimas

Para criar políticas de tag, você precisa de permissão para executar a seguinte ação:

  • organizations:CreatePolicy

Você pode criar uma política de tag no AWS Management Console de uma destas duas maneiras:

  • Um editor visual que permite escolher opções e gera o texto da política JSON para você.

  • Um editor de texto que permite que você mesmo crie diretamente o texto da política JSON.

O editor visual facilita o processo, mas limita sua flexibilidade. É uma ótima maneira de criar suas primeiras políticas e se sentir confortável ao usá-las. Depois de entender como elas funcionam e de começar a ser limitado pelo que o editor visual fornece, você poderá adicionar recursos avançados às suas políticas editando você mesmo o texto da política JSON. O editor visual usa apenas o operador de definição de valor @@assign e não fornece qualquer acesso aos operadores de controle subordinados. Você só pode adicioná-los se editar manualmente o texto de política JSON.

AWS Management Console

Você pode criar uma política de tag no AWS Management Console de uma destas duas maneiras:

  • Um editor visual que permite escolher opções e gera o texto da política JSON para você.

  • Um editor de texto que permite que você mesmo crie diretamente o texto da política JSON.

O editor visual facilita o processo, mas limita sua flexibilidade. É uma ótima maneira de criar suas primeiras políticas e se sentir confortável ao usá-las. Depois de entender como elas funcionam e de começar a ser limitado pelo que o editor visual fornece, você poderá adicionar recursos avançados às suas políticas editando você mesmo o texto da política JSON. O editor visual usa apenas o operador de definição de valor @@assign e não fornece qualquer acesso aos operadores de controle subordinados. Você só pode adicioná-los se editar manualmente o texto de política JSON.

Como criar uma política de tag

  1. Faça login no console do AWS Organizations. Você deve fazer login como um usuário do IAM, assumir uma função do IAM ou fazer login como usuário-raiz (não recomendado) na conta de gerenciamento da organização.

  2. Na página Tag policies (Políticas de tag) escolha Create policy (Criar política).

  3. Na página Create policy (Criar política), insira um nome de política e uma descrição, opcional, para a política.

  4. (Opcional) Você pode adicionar uma ou mais tags ao próprio objeto política. Essas tags não fazem parte da política. Para fazer isso, escolha Add tag (Adicionar tag) e, em seguida, insira uma chave e um valor opcional. Se deixar o valor em branco, ele é definido como uma sequência vazia, não null. É possível anexar até 50 tags a uma política. Para ter mais informações, consulte Marcando atributos AWS Organizations.

  5. Você pode criar a política de tags usando o Visual editor (Editor Visual) conforme descrito neste procedimento. Você também pode digitar ou colar uma política de tag na guia JSON. Para obter informações sobre sintaxe de política de tag, consulte Sintaxe de política de tag.

    Se você optar por usar o Editor visual, especifique o seguinte:

  6. Em New tag Key 1 (Nova chave de tag 1), especifique o nome de uma chave de tag a ser adicionada.

  7. Em Compliance Options, você pode selecionar as seguintes opções:

    1. Use the capitalization that you've specified above for the tag key: deixe esta opção desmarcada (o padrão) para especificar que a política de tag pai herdada, caso exista, deve definir o tratamento de maiúsculas e minúsculas para a chave de tag.

      Habilite esta opção se quiser impor uma definição de maiúsculas e minúsculas para a chave de tag usando esta política. Se você selecionar essa opção, a diferenciação de maiúsculas e minúsculas especificada em Tag Key (Chave de tag) substituirá o tratamento de maiúsculas e minúsculas especificado em uma política superior.

      Se uma política superior não existir e você não habilitar essa opção, somente chaves de tag com todos os caracteres minúsculos serão consideradas compatíveis. Para obter mais informações sobre herança de políticas superiores, consulte Entendendo a herança da política de gerenciamento.

      dica

      Considere usar como guia a política de tags de exemplo mostrada em Exemplo 1: definir maiúsculas e minúsculas de chave de tag em toda a organização, na criação de uma política de tag que defina chaves de tag e o tratamento de maiúsculas e minúsculas. Anexe-a à raiz da organização. Posteriormente, você pode criar e anexar políticas de tag adicionais a UOs ou contas, a fim de criar outras regras de atribuição de tags.

    2. Specify allowed values for this tag key: habilite esta opção se quiser adicionar valores permitidos para esta chave de tag a quaisquer valores herdados de uma política pai.

      Por padrão, essa opção está desmarcada, o que significa que somente os valores herdados de uma política superior são considerados compatíveis. Se uma política pai não existir e você não especificar valores de tag, qualquer valor (incluindo nenhum valor) será considerado compatível.

      Para atualizar a lista de valores de tag aceitáveis, selecione Specify allowed values for this tag key (Especificar valores permitidos para esta chave de tag) e depois Specify values (Especificar valores). Quando solicitado, insira os novos valores e escolha Save changes (Salvar alterações).

  8. Em Resource types to enforce, você pode selecionar Prevent noncompliant operations for this tag.

    Recomendamos deixar esta opção desmarcada (o padrão), a menos que você tenha experiência com o uso de políticas de tag. Verifique se você revisou as recomendações em Noções básicas sobre a aplicação e teste cuidadosamente. Caso contrário, você pode impedir que os usuários nas contas da organização atribuam tags aos recursos necessários.

    Se você quiser impor compatibilidade com essa chave de tag, marque a caixa de seleção e selecione, Specify allowed values (Especificar valores permitidos). Quando solicitado, selecione os tipos de recursos a serem incluídos na política. Em seguida, escolha Salvar alterações.

    Importante

    Quando você seleciona essa opção, todas as operações que manipulam tags para recursos dos tipos especificados só serão bem-sucedidas se a operação resultar em tags compatíveis com a política.

  9. (Opcional) Para adicionar outra chave de tag a esta política de tag, escolha Add tag key (Adicionar chave de tag). Depois, execute as etapas de 6 a 9 para definir a chave de tag.

  10. Quando terminar de criar sua política de tags, escolha Save changes (Salvar alterações).

AWS CLI & AWS SDKs
Como criar uma política de tag

Você pode usar um dos seguintes procedimentos para criar uma política de tags:

  • AWS CLI: create-policy

    É possível usar qualquer editor de texto para criar a política de tag. Use a sintaxe JSON e salve a política de tag como um arquivo com qualquer nome e extensão em um local de sua escolha. As políticas de tag podem ter no máximo 2.500 caracteres, incluindo espaços. Para obter informações sobre sintaxe de política de tag, consulte Sintaxe de política de tag.

    Como criar uma política de tag

    1. Crie uma política de tag em um arquivo de texto semelhante ao seguinte:

      Conteúdo de testpolicy.json:

      {
    "tags": {
        "CostCenter": {
            "tag_key": {
                "@@assign": "CostCenter"
            }
        }
    }
}

      Esta política de tag define a chave de tag CostCenter. A tag pode aceitar qualquer valor ou nenhum valor. Uma política como essa significa que um recurso que possui a tag CostCenter anexada com ou sem um valor é compatível.

    2. Crie uma política que contenha o conteúdo da política do arquivo. O espaço em branco extra na saída foi truncado para facilitar a leitura.

      $ aws organizations create-policy \
    --name "MyTestTagPolicy" \
    --description "My Test policy" \
    --content file://testpolicy.json \
    --type TAG_POLICY
{
    "Policy": {
        "PolicySummary": {
            "Id": "p-a1b2c3d4e5",
            "Arn": "arn:aws:organizations::123456789012:policy/o-aa111bb222/tag_policy/p-a1b2c3d4e5",
            "Name": "MyTestTagPolicy",
            "Description": "My Test policy",
            "Type": "TAG_POLICY",
            "AwsManaged": false
        },
        "Content": "{\n\"tags\":{\n\"CostCenter\":{\n\"tag_key\":{\n\"@@assign\":\"CostCenter\"\n}\n}\n}\n}\n\n"
    }
}

  • AWS SDKs: CreatePolicy
O que fazer em seguida

Depois de criar uma política de tags, você pode colocar suas regras de atribuição de tags em vigor. Para isso, anexe a política à raiz da organização, unidades organizacionais (UOs), Contas da AWS dentro da organização ou uma combinação de entidades da organização.

Criar uma política de chatbot

Permissões mínimas

Para criar uma política de chatbot, você precisa de permissão para executar a seguinte ação:

  • organizations:CreatePolicy

AWS Management Console

Você pode criar uma política de chatbot no AWS Management Console de uma destas duas maneiras:

  • Um editor visual que permite escolher opções e gera o texto da política JSON para você.

  • Um editor de texto que permite que você mesmo crie diretamente o texto da política JSON.

O editor visual facilita o processo, mas limita sua flexibilidade. É uma ótima maneira de criar suas primeiras políticas e se sentir confortável ao usá-las. Depois de entender como elas funcionam e de começar a ser limitado pelo que o editor visual fornece, você poderá adicionar recursos avançados às suas políticas editando você mesmo o texto da política JSON. O editor visual usa apenas o operador de definição de valor @@assign e não fornece qualquer acesso aos operadores de controle subordinados. Você só pode adicioná-los se editar manualmente o texto de política JSON.

Para criar uma política de chatbot

  1. Faça login no console do AWS Organizations. Você deve fazer login como um usuário do IAM, assumir uma função do IAM ou fazer login como usuário-raiz (não recomendado) na conta de gerenciamento da organização.

  2. Na página Chatbot policies, escolha Create policy.

  3. Na página Create policy, insira um nome de política e uma descrição opcional para a política.

  4. (Opcional) você pode adicionar uma ou mais tags escolhendo Add tag (Adicionar tag) e inserindo uma chave e um valor opcional. Se deixar o valor em branco, ele é definido como uma sequência vazia, não null. É possível anexar até 50 tags a uma política. Para ter mais informações, consulte Marcando atributos AWS Organizations.

  5. Você pode criar a política usando o Editor Visual, conforme descrito neste procedimento. Você também pode inserir ou colar texto de política na guia JSON . Para obter informações sobre sintaxe de política de chatbot, consulte Sintaxe e exemplos de políticas de chatbot.

    Se você optar por usar o eEditor visual, configure sua política de chatbot especificando controles de acesso para clientes de bate-papo.

    1. Escolha uma das seguintes opções para Set Amazon Chime chat client access

      • Negar o acesso ao Chime.

      • Permitir o acesso ao Chime.

    2. Escolha uma das seguintes opções para Set Microsoft Teams chat client access

      • Negar acesso a tudo do Teams

      • Permitir acesso a tudo do Teams

      • Restringir acesso a Teams específicos

    3. Escolha uma das seguintes opções para Set Slack chat client access

      • Negar acesso a todos os espaços de trabalho do Slack

      • Permitir acesso a todos os espaços de trabalho do Slack

      • Restringir acesso a espaços de trabalho do Slack específicos

      nota

      Além disso, você pode selecionar Limit AWS Chatbot usage to only private Slack channels.

    4. Selecione as seguintes opções para Set IAM permissions types

      • Enable Channel level IAM role: todos os membros do canal compartilham as permissões do perfil do IAM para executar tarefas em um canal. Um perfil de canal será apropriado se os membros do canal precisarem das mesmas permissões.

      • Enable User level IAM role: os membros do canal devem escolher um perfil de usuário do IAM para realizar ações (requer acesso ao console para escolher os perfis). Perfis de usuário serão apropriados se os membros do canal precisarem de permissões diferentes e puderem escolher seus perfis de usuário.

  6. Quando terminar de criar sua política, escolha Create policy (Criar política). A política aparecerá na lista de políticas de backup de chatbot.

AWS CLI & AWS SDKs
Para criar uma política de chatbot

Você pode usar um dos seguintes procedimentos para criar uma política de chatbot:

  • AWS CLI: create-policy

    É possível usar qualquer editor de texto para criar a política de chatbot. Use a sintaxe JSON e salve a política de chatbot como arquivo com qualquer nome e extensão em um local de sua escolha. As políticas de chatbot podem ter no máximo ? caracteres, incluindo espaços. Para obter informações sobre sintaxe de política de tag, consulte Sintaxe e exemplos de políticas de chatbot.

    Para criar uma política de chatbot

    1. Crie uma política de chatbot em um arquivo de texto semelhante ao seguinte:

      Conteúdo de testpolicy.json:

      {
   "chatbot": {
      "platforms": {
         "slack": {
            "client": {
               "@@assign": "enabled"
            },
            "workspaces": {
               "@@assign": [
                  "Slack-Workspace-Id"
               ]
            },
            "default": {
               "supported_channel_types": {
                  "@@assign": [
                     "private"
                  ]
               }
            }
         },
         "microsoft_teams": {
            "client": {
               "@@assign": "disabled"
            }
         }
      }
   }
}

      Esta política de chatbot permite apenas canais privados do Slack em um espaço de trabalho específico, desativa o Microsoft Teams e oferece suporte a todas as configurações de perfil.

    2. Crie uma política que contenha o conteúdo da política do arquivo. O espaço em branco extra na saída foi truncado para facilitar a leitura.

      $ aws organizations create-policy \
    --name "MyTestTagPolicy" \
    --description "My Test policy" \
    --content file://testpolicy.json \
    --type TAG_POLICY
{
    "Policy": {
        "PolicySummary": {
            "Id": "p-a1b2c3d4e5",
            "Arn": "arn:aws:organizations::123456789012:policy/o-aa111bb222/chatbot_policy/p-a1b2c3d4e5",
            "Name": "MyTestChatbotPolicy",
            "Description": "My Test policy",
            "Type": "CHATBOT_POLICY",
            "AwsManaged": false
        },
        "Content": "{"chatbot":{"platforms":{"slack":{"client":{"@@assign":"enabled"},"workspaces":{"@@assign":["Slack-Workspace-Id"]},"supported_channel_types":{"@@assign":["private"]}},"microsoft_teams":{"client":{"@@assign":"disabled"}}}}}"
    }
}

  • AWS SDKs: CreatePolicy
O que fazer em seguida

Depois de criar uma política de chatbot, você pode colocar suas opções de recusa em vigor. Para isso, você pode anexar a política à raiz da organização, unidades organizacionais (UOs), Contas da AWS dentro da organização ou uma combinação de tudo isso.

Criar uma política de recusa de serviços de IA

Permissões mínimas

Para criar uma política de exclusão dos serviços de IA, você precisa de permissão para executar a seguinte ação:

  • organizations:CreatePolicy

AWS Management Console
Para criar uma política de exclusão dos serviços de IA

  1. Faça login no console do AWS Organizations. Você deve fazer login como um usuário do IAM, assumir uma função do IAM ou fazer login como usuário-raiz (não recomendado) na conta de gerenciamento da organização.

  2. Na página AI services opt-out policies (Políticas de exclusão dos serviços de IA), escolha Create policy (Criar política).

  3. Na página Create new AI services opt-out policy (Criar nova política de exclusão dos serviços de IA), insira um nome da política e uma descrição da política, opcional.

  4. (Opcional) você pode adicionar uma ou mais tags escolhendo Add tag (Adicionar tag) e inserindo uma chave e um valor opcional. Se deixar o valor em branco, ele é definido como uma sequência vazia, não null. É possível anexar até 50 tags a uma política. Para ter mais informações, consulte Marcando atributos AWS Organizations.

  5. Insira ou cole o texto da política na guia JSON. Para obter informações sobre a sintaxe das políticas de exclusão dos serviços de IA, consulte Sintaxe e exemplos de política de exclusão dos serviços de IA. Para obter exemplos de política que você pode usar como ponto de partida, consulte Exemplos de política de exclusão dos serviços de IA.

  6. Quando terminar de editar sua política, escolha Create policy (Criar política) no canto inferior direito da página.

AWS CLI & AWS SDKs
Para criar uma política de exclusão dos serviços de IA

Você pode usar um dos seguintes procedimentos para criar uma política de tags:

  • AWS CLI: create-policy

    1. Crie uma política de exclusão dos serviços de IA como a seguinte e armazene-a em um arquivo de texto. Observe que "optOut" e "optIn" diferenciam entre maiúsculas e minúsculas.

      {
    "services": {
        "default": {
            "opt_out_policy": {
                "@@assign": "optOut"
            }
        },
        "rekognition": {
            "opt_out_policy": {
                "@@assign": "optIn"
            }
        }
    }
}

      Esta política de exclusão dos serviços de IA especifica que todas as contas afetadas pela política sejam excluídas de todos os serviços de IA, exceto o Amazon Rekognition.

    2. Importe o arquivo de política JSON para criar uma nova política na organização. Neste exemplo, o arquivo JSON anterior foi chamado de policy.json.

      $ aws organizations create-policy \
    --type AISERVICES_OPT_OUT_POLICY \
    --name "MyTestPolicy" \
    --description "My test policy" \
    --content file://policy.json
{
    "Policy": {
        "Content": "{\"services\":{\"default\":{\"opt_out_policy\":{\"@@assign\":\"optOut\"}},\"rekognition\":{\"opt_out_policy\":{\"@@assign\":\"optIn\"}}}}",
        "PolicySummary": {
            "Id": "p-i9j8k7l6m5"
            "Arn": "arn:aws:organizations::o-aa111bb222:policy/aiservices_opt_out_policy/p-i9j8k7l6m5",
            "Description": "My test policy",
            "Name": "MyTestPolicy",
            "Type": "AISERVICES_OPT_OUT_POLICY"
        }
    }
}

  • AWS SDKs: CreatePolicy
O que fazer em seguida

Depois de criar uma política de exclusão dos serviços de IA, você pode colocar suas opções de exclusão em vigor. Para isso, você pode anexar a política à raiz da organização, unidades organizacionais (UOs), Contas da AWS dentro da organização ou uma combinação de tudo isso.