Operadores de herança - AWS Organizations

Operadores de herança

Operadores de herança controlam como as políticas herdadas e as políticas de conta se fundem na política efetiva da conta. Esses operadores incluem operadores de definição de valor e operadores de controle filho.

Quando você usa o editor visual no console do AWS Organizations, você pode usar apenas o operador @@assign. Outros operadores são considerados um recurso avançado. Para usar os outros operadores, você deve criar manualmente a política JSON. Os autores experientes de política podem usar os operadores de herança para controlar quais valores são aplicados à política efetiva e limitar as alterações que as políticas filho podem fazer.

Operadores de definição de valor

Você pode usar os seguintes operadores de definição de valor para controlar como a política interage com suas políticas pai:

  • @@assignSubstitui quaisquer configurações de política herdadas pelas configurações especificadas. Se a configuração especificada não for herdada, esse operador a adicionará à política efetiva. Esse operador pode se aplicar a qualquer configuração de política de qualquer tipo.

    • Para configurações de valor único, esse operador substitui o valor herdado pelo valor especificado.

    • Para configurações de valores múltiplos (matrizes JSON), esse operador remove quaisquer valores herdados e os substitui pelos valores especificados por esta política.

  • @@appendAdiciona as configurações especificadas às herdadas (sem remover nenhuma). Se a configuração especificada não for herdada, esse operador a adicionará à política efetiva. Você pode usar esse operador apenas com configurações de vários valores.

    • Este operador adiciona os valores especificados a quaisquer valores na matriz herdada.

  • @@removeRemove as configurações herdadas especificadas da política em vigor, se houver. Você pode usar esse operador apenas com configurações de vários valores.

    • Esse operador remove somente os valores especificados da matriz de valores herdados das políticas pai. Outros valores podem continuar a existir na matriz e podem ser herdados por políticas filho.

Operadores de controle filho

O uso de operadores de controle filho é opcional. Você pode usar o operador @@operators_allowed_for_child_policies para controlar quais operadores de definição de valor as políticas filho podem usar. Você pode permitir todos os operadores, alguns operadores específicos ou nenhum operador. Por padrão, todos os operadores (@@all) são permitidos.

  • "@@operators_allowed_for_child_policies":["@@all"] – UOs e contas subordinadas podem usar qualquer operador em políticas. Por padrão, todos os operadores são permitidos em políticas filho.

  • "@@operators_allowed_for_child_policies":["@@assign", "@@append", "@@remove"] – Contas e UOs subordinadas podem usar somente os operadores especificados em políticas subordinadas. Você pode especificar um ou mais operadores de definição de valor neste operador de controle filho.

  • "@@operators_allowed_for_child_policies":["@@none"] – UOs e contas subordinadas não podem usar operadores em políticas. Você pode usar este operador para bloquear efetivamente valores definidos em uma política pai de modo que as políticas filho não possam adicionar, acrescentar ou remover tais valores.

nota

Se um operador de controle filho herdado limitar o uso de um operador, você não poderá reverter essa regra em uma política filho. Se você incluir operadores de controle filho em uma política pai, eles limitarão os operadores de definição de valor em todas as políticas filho.