Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Deklarative Richtlinien in AWS Organizations
Deklarative Richtlinien ermöglichen es Ihnen, ihre Funktionen zentral zu konfigurieren AWS-Services und zu verwalten. Wie sich diese Richtlinien auf die Organisationseinheiten und Konten auswirken, die sie erben, hängt von der Art der deklarativen Richtlinie ab, für die Sie sich entscheiden. AWS Organizations Lesen Sie sich die Themen in diesem Abschnitt durch, um sich mit den relevanten Begriffen und Konzepten deklarativer Richtlinien vertraut zu machen.
Mit deklarativen Richtlinien können Sie Ihre gewünschte Konfiguration für eine bestimmte Größe AWS-Service im gesamten Unternehmen zentral deklarieren und durchsetzen. Einmal hinzugefügt, wird die Konfiguration immer beibehalten, wenn der Service neue Funktionen oder APIs hinzufügt. Verwenden Sie deklarative Richtlinien, um nicht konforme Aktionen zu verhindern. Sie können beispielsweise den öffentlichen Internetzugang zu Amazon VPC-Ressourcen in Ihrer gesamten Organisation blockieren.
Die wichtigsten Vorteile der Verwendung deklarativer Richtlinien sind:
-
Benutzerfreundlichkeit: Sie können die Basiskonfiguration für eine AWS-Service mit wenigen Auswahlen in den AWS Organizations und AWS Control Tower -Konsolen oder mit einigen Befehlen mithilfe der AWS CLI & AWS SDKs erzwingen.
-
Einmal einrichten und vergessen: Die Basiskonfiguration für eine AWS-Service wird immer beibehalten, auch wenn der Service neue Funktionen oder APIs einführt. Die Basiskonfiguration wird auch beibehalten, wenn einer Organisation neue Konten hinzugefügt werden oder wenn neue Prinzipale und Ressourcen erstellt werden.
-
Transparenz: Mit dem Kontostatusbericht können Sie den aktuellen Status aller Attribute überprüfen, die durch deklarative Richtlinien für die betreffenden Konten unterstützt werden. Sie können auch anpassbare Fehlermeldungen erstellen, die Administratoren dabei helfen können, Endbenutzer auf interne Wiki-Seiten weiterzuleiten, oder eine beschreibende Meldung bereitstellen, die Endbenutzern hilft, zu verstehen, warum eine Aktion fehlgeschlagen ist.
Wie funktionieren deklarative Richtlinien
Deklarative Richtlinien werden auf der Kontrollebene des Dienstes durchgesetzt. Dies ist ein wichtiger Unterschied zu Autorisierungsrichtlinien wie Service Control Policies (SCPs) und Resource Control Policies (RCPs). Während Autorisierungsrichtlinien den Zugriff auf APIs regeln, werden deklarative Richtlinien direkt auf der Serviceebene angewendet, um dauerhafte Absichten durchzusetzen. Dadurch wird sichergestellt, dass die Basiskonfiguration immer durchgesetzt wird, auch wenn der Dienst neue Funktionen oder APIs einführt.
Die folgende Tabelle verdeutlicht diesen Unterschied und enthält einige Anwendungsfälle.
| Service-Kontrollrichtlinien | Ressourcen-Kontrollrichtlinien | Deklarative Richtlinien | |
|---|---|---|---|
| Warum? |
Um konsistente Zugriffskontrollen für Prinzipale (wie IAM-Benutzer und IAM-Rollen) zentral und in großem Umfang zu definieren und durchzusetzen. |
Zentrale Definition und Durchsetzung einheitlicher Zugriffskontrollen für Ressourcen in großem Umfang |
Um die Basiskonfiguration für skalierbare AWS Services zentral zu definieren und durchzusetzen. |
| Wenn ja, wie? |
Durch die Steuerung der maximal verfügbaren Zugriffsberechtigungen von Prinzipalen auf API-Ebene. |
Durch die Steuerung der maximal verfügbaren Zugriffsberechtigungen für Ressourcen auf API-Ebene. |
Durch die Durchsetzung der gewünschten Konfiguration von und AWS-Service ohne Verwendung von API-Aktionen. |
| Regelt serviceverknüpfte Rollen? | Nein | Nein | Ja |
| Beispielrichtline | Verweigern Sie Mitgliedskonten, die Organisation zu verlassen |
Beschränken Sie den Zugriff auf Ihre Ressourcen nur auf HTTPS-Verbindungen |
Einstellungen für zulässige Bilder |
Nachdem Sie eine deklarative Richtlinie erstellt und angehängt haben, wird sie in Ihrer gesamten Organisation angewendet und durchgesetzt. Deklarative Richtlinien können auf eine gesamte Organisation, Organisationseinheiten (OUs) oder Konten angewendet werden. Konten, die einer Organisation beitreten, erben automatisch die deklarativen Richtlinien in der Organisation. Weitere Informationen finden Sie unter Grundlegendes zur deklarativen Richtlinienvererbung.
Die effektive Richtlinie ist der Satz von Regeln, die vom Organisationsstamm und Organisationsverwalter zusammen mit den direkt an das Konto angefügten Regeln geerbt werden. Die gültige Richtlinie legt die endgültigen Regeln fest, die für das Konto gelten. Weitere Informationen finden Sie unter Effektive deklarative Richtlinien anzeigen.
Wenn eine deklarative Richtlinie getrennt wird, wird der Status des Attributs auf den vorherigen Status zurückgesetzt, bevor die deklarative Richtlinie angehängt wurde.
Themen
