继承术语 - AWS Organizations

继承术语

本主题在讨论管理策略继承时将使用以下术语。

策略继承

组织内不同级别的策略之间的交互,从组织的顶层根下移经过组织单位 (OU) 层次结构直到单个账户。

您可以将策略附加到组织根、OU、单个账户以及这些组织实体的任意组合。策略继承是指附加到组织根或 OU 的管理策略。管理策略所附加到的组织根或 OU 的所有成员账户都将继承该策略。

例如,当管理策略附加到组织根时,组织中的所有账户都将继承该策略。这是因为组织中的所有账户始终位于组织根之下。当您将某个策略附加到特定 OU 时,直接位于该 OU 下的账户或任何子 OU 将继承该策略。由于您可以将策略附加到组织中的多个级别,因此账户可以继承单个策略类型的多个策略文档。

父策略

附加到组织树中的策略,其位置高于附加到树中较低位置实体的策略。

例如,如果您将管理策略 A 附加到组织根,则它只是一个策略。如果您还将策略 B 附加到根下的一个 OU,则策略 A 是策略 B 的父策略。策略 B 是策略 A 的子策略。策略 A 和策略 B 合并以便为该 OU 中的账户创建有效标签策略。

子策略

在组织树中附加的级别低于父策略的策略。

有效策略

最后,指定应用于账户的规则的单个策略文档。有效策略是账户继承的任何策略以及直接附加到账户的任何策略的聚合。有关更多信息,请参阅 查看有效管理策略

继承运算符

控制继承策略如何合并到单个有效策略中的运算符。这些运算符被视为是一项高级功能。经验丰富的策略作者可以使用它们来限制子策略可以进行的更改以及如何合并策略中的设置。有关更多信息,请参阅 继承运算符