Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

# Evaluación de RCP
<a name="orgs_manage_policies_rcps_evaluation"></a>

**nota**  
La información de esta sección ***no*** se aplica a los tipos de políticas de administración, incluidas las políticas de copia de seguridad, las políticas de etiquetas, las políticas de aplicaciones de chat o las políticas de exclusión de los servicios de IA. Para obtener más información, consulte [Descripción de la herencia de políticas de administración](orgs_manage_policies_inheritance_mgmt.md).

Como puede adjuntar varias políticas de control de recursos (RCPs) en diferentes niveles AWS Organizations, comprender cómo RCPs se evalúan puede ayudarle a redactar las RCPs que arrojen el resultado correcto.

## Estrategia de uso RCPs
<a name="how_rcps_deny"></a>

La `RCPFullAWSAccess` política es una política AWS gestionada. Se adjunta automáticamente a la raíz de la organización, a todas las unidades organizativas y a todas las cuentas de la organización cuando se activan las políticas de control de recursos (RCPs). No se puede desvincular esta política. Este RCP predeterminado permite que el acceso a todos los principios y acciones pase por una evaluación del RCP, lo que significa que, hasta que comience a crear y adjuntar RCPs, todos sus permisos de IAM actuales seguirán funcionando como antes. Esta política AWS gestionada no concede el acceso.

Puede utilizar las declaraciones `Deny` para bloquear el acceso a los recursos de su organización. Si se **niega** un recurso para una cuenta específica, **cualquier RCP** desde la raíz hasta cada unidad organizativa situada en la ruta directa a la cuenta (incluida la propia cuenta de destino) puede denegar ese permiso.

Las instrucciones `Deny` son una forma eficaz de implementar restricciones que deberían aplicarse a una parte más amplia de la organización. Por ejemplo, puede adjuntar una política para evitar que identidades externas a su organización accedan a sus recursos a nivel raíz y que sea efectiva para todas las cuentas de la organización. AWS le recomienda encarecidamente que no se vincule RCPs a la raíz de su organización sin comprobar exhaustivamente el impacto que la política tiene en los recursos de sus cuentas. Para obtener más información, consulte [Probando los efectos de RCPs](orgs_manage_policies_rcps.md#rcp-warning-testing-effect).

En la figura 1, hay una RCP asociada a la OU de producción que tiene una instrucción `Deny` explícita especificada para un servicio determinado. Como resultado, se negará el acceso al servicio tanto a la cuenta A como a la cuenta B, ya que se evalúa una política de denegación aplicable a cualquier nivel de la organización para todas las cuentas OUs y las cuentas de los miembros que dependen de él.

![\[Ejemplo de estructura organizativa con una instrucción Deny asociada en la unidad organizativa de producción y su impacto en la cuenta A y B.\]](http://docs.aws.amazon.com/es_es/organizations/latest/userguide/images/rcp_deny_1.png)


*Figura 1: Ejemplo de estructura organizativa con una instrucción `Deny` asociada en la OU de producción y su impacto en la cuenta A y B*