本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
查看有效的管理策略
确定组织中账户的有效管理政策。
什么是有效的管理政策?
有效策略为管理策略类型指定了 AWS 账户 适用于的最终规则。它是账户继承的管理策略以及直接关联到该账户的该管理策略类型的所有策略的聚合。当您将管理策略附加到组织的根目录时,它会应用于组织中的所有账户。当您将管理策略附加到组织单位 (OU) 时,它适用于属于OUs该组织单位的所有账户。当您将管理策略直接附加到账户时,它仅适用于该账户 AWS 账户。
有关如何将策略组合到最终有效策略中的信息,请参阅了解管理策略继承。
Backup 策略示例
附加到组织根目录的备份策略可能会指定组织中的所有账户都要备份所有 Amazon DynamoDB 表,默认备份频率为每周一次。直接附加到一个成员账户的单独备份策略(在表中包含关键信息)可以用每天一次的值覆盖该频率。这些备份策略的组合构成有效备份策略。该有效备份策略是为组织中的每个账户单独确定的。此示例中的结果是,组织中的所有账户每周备份一次自己的 DynamoDB 表,但有一个账户每天备份它的表。
标签策略示例
附加到组织根目录的标签策略可能会定义一个具有四个合规值的CostCenter标签。附加到账户的单独标签策略可能会将 CostCenter 限制为四个合规值中的两个。这些标签策略的组合组成了有效标签策略。结果是,在组织根标签策略中定义的四个合规标签值中,只有两个符合该账户的要求。
聊天机器人政策示例
AWS Chatbot 将根据有效的聊天机器人策略重新评估之前创建的任何 AWS Chatbot 配置,如果这些操作与有效策略中允许的设置和防护措施一致,则拒绝任何先前允许的操作。成员账户的有效政策定义了允许的设置和护栏。例如,如果将拒绝访问公共 Slack 频道的聊天机器人政策应用于成员账户,则该成员账户中公共 Slack 频道的现有 AWS Chatbot 配置将被禁用。Chatbot 不会发送通知,频道成员也无法在被屏蔽的频道中运行任何任务。 AWS Chatbot 控制台会将受影响的频道标记为已禁用,并在其旁边显示相应的错误消息。
AI 服务选择退出示例
附加到组织根目录的 AI 服务选择退出政策可能会规定组织中的所有账户都选择不允许所有 AWS 机器学习服务使用内容。直接附加到一个成员账户的单独 AI 服务选择退出策略指定它只为 Amazon Rekognition 选择启用内容使用服务。这些 AI 服务选择退出策略的组合构成了有效的 AI 服务选择退出策略。结果是,除了一个选择加入 Amazon Rekognition 的账户外,组织中的所有 AWS 服务账户都选择退出所有账户。
如何看待有效的管理政策
您可以从 AWS Management Console、 AWS API或中查看账户管理策略类型的有效策略 AWS Command Line Interface。
最小权限
要查看账户管理策略类型的有效策略,您必须拥有运行以下操作的权限:
-
organizations:DescribeEffectivePolicy -
organizations:DescribeOrganization– 仅当使用 Organizations 控制台时才需要
