Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Políticas declarativas en AWS Organizations
Las políticas declarativas le permiten configurar Servicios de AWS y gestionar sus funciones de forma centralizada. La forma en que esas políticas afectan a las unidades organizativas y a las cuentas que las heredan depende del tipo de política declarativa que se aplique. AWS Organizations Revise los temas de esta sección para comprender los términos y conceptos relevantes sobre las políticas declarativas.
Las políticas declarativas le permiten declarar y aplicar de forma centralizada la configuración que desee para una determinada escala Servicio de AWS en toda la organización. Una vez asociada, la configuración siempre se mantiene cuando el servicio agrega nuevas características o API. Utilice las políticas declarativas para evitar acciones que no son compatibles. Por ejemplo, puede bloquear el acceso público a Internet a los recursos de Amazon VPC en su organización.
Las principales ventajas de utilizar las políticas declarativas son las siguientes:
-
Facilidad de uso: puede aplicar la configuración básica para una Servicio de AWS con unas cuantas selecciones en las AWS Control Tower consolas AWS Organizations y o con unos pocos comandos mediante los AWS CLI & AWS SDK.
-
Configúralo una vez y olvídalo: la configuración básica de an siempre Servicio de AWS se mantiene, incluso cuando el servicio introduce nuevas funciones o API. La configuración básica también se mantiene cuando se agregan nuevas cuentas a una organización o cuando se crean nuevas entidades principales y recursos.
-
Transparencia: el informe de estado de la cuenta permite revisar el estado actual de todos los atributos compatibles con las políticas declarativas de las cuentas incluidas en el ámbito de aplicación. Además, puede crear mensajes de error personalizables, que pueden ayudar a los administradores a redirigir a los usuarios finales a las páginas wiki internas o proporcionar un mensaje descriptivo que ayude a los usuarios finales a entender por qué se ha producido un error en una acción.
Funcionamiento de las políticas declarativas
Las políticas declarativas se aplican en el plano de control del servicio, lo que constituye una diferencia importante de las políticas de autorización, como las políticas de control de servicio (SCP) y las políticas de control de recursos (RCP). Si bien las políticas de autorización regulan el acceso a las API, las políticas declarativas se aplican directamente a nivel de servicio para garantizar una intención duradera. Esto garantiza que la configuración básica se aplique siempre, incluso cuando el servicio presente nuevas características o API.
La siguiente tabla ayuda a ilustrar esta distinción e indica algunos casos de uso.
| Políticas de control de servicios | Políticas de control de recursos | Políticas declarativas | |
|---|---|---|---|
| ¿Por qué? |
Para definir y aplicar de forma centralizada los controles de acceso coherentes para las entidades principales (como los usuarios de IAM y los roles de IAM) a gran escala. |
Para definir y aplicar de forma centralizada los controles de acceso coherentes a los recursos a gran escala |
Para definir y aplicar de forma centralizada la configuración básica de los servicios de AWS a gran escala. |
| ¿Cómo? |
Al controlar los permisos de acceso máximos disponibles de las entidades principales a nivel de API. |
Al controlar los permisos de acceso máximos disponibles para los recursos a nivel de API. |
Aplicando la configuración deseada de y Servicio de AWS sin utilizar acciones de API. |
| ¿Controla los roles vinculados a servicios? | No | No | Sí |
| Ejemplo de política de | Impida que las cuentas de los miembros abandonen la organización |
Restrinja el acceso a sus recursos únicamente a las conexiones HTTPS |
Configuración de imágenes permitida |
Una vez que haya creado y asociado una política declarativa, se aplicará en la organización. Las políticas declarativas se pueden aplicar a toda la organización, a las unidades organizativas (UO) o a las cuentas. Las cuentas que se unan a una organización heredarán automáticamente la política declarativa de la organización. Para obtener más información, consulte Comprensión de la herencia de políticas declarativas.
La política en vigor es el conjunto de reglas que se heredan desde la raíz de la organización y las unidades organizativas junto con las asociadas directamente a la cuenta. La política en vigor especifica el conjunto de reglas final que se aplican a la cuenta. Para obtener más información, consulte Visualización de políticas declarativas efectivas.
Si se desvincula una política declarativa, el estado del atributo volverá a su estado anterior antes de que se asocie la política declarativa.
Temas
