Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
# Gérer les politiques de l'organisation avec AWS Organizations
Les politiques vous AWS Organizations permettent d'appliquer des types de gestion supplémentaires au Comptes AWS sein de votre organisation. Vous pouvez utiliser des politiques lorsque [toutes les fonctions sont activées](orgs_manage_org_support-all-features.md) dans votre organisation.
La AWS Organizations console affiche le statut activé ou désactivé pour chaque type de politique. Sous l'onglet **Organiser les comptes**, choisissez la racine (`Root`) dans le panneau de navigation de gauche. Le panneau de détails à droite de l'écran affiche tous les types de politiques disponibles. La liste indique ceux qui sont activés et ceux qui sont désactivés dans cette racine d'organisation. Si l'option **Activer** est présente pour un type, ce type est actuellement désactivé. Si l'option **Désactiver** est présente pour un type, ce type est actuellement activé.
**Topics**
+ [Types de politiques](#orgs-policy-types)
+ [Politiques d'autorisation](orgs_manage_policies_authorization_policies.md)
+ [Politiques de gestion](orgs_manage_policies_management_policies.md)
+ [Administrateur délégué pour AWS Organizations](orgs_delegate_policies.md)
+ [Désactivation d'un type de politique](enable-policy-type.md)
+ [Désactivation d'un type de politique](disable-policy-type.md)
+ [Création de stratégies](orgs_policies_create.md)
+ [Mettre à jour les politiques](orgs_policies_update.md)
+ [Modification des balises associées aux politiques](orgs_policies_edit.md)
+ [Joindre des politiques](orgs_policies_attach.md)
+ [Politiques de détachement](orgs_policies_detach.md)
+ [Obtenir les détails des politiques](orgs_manage_policies_info-operations.md)
+ [Supprimer des politiques](orgs_policies_delete.md)
## Types de politiques
Organizations propose des types de politiques dans les deux grandes catégories suivantes :
### Politiques d'autorisation
Les politiques d'autorisation vous aident à gérer de manière centralisée la sécurité Comptes AWS au sein d'une organisation.
+ Les **[politiques de contrôle des services (SCPs)](orgs_manage_policies_scps.md)** permettent de contrôler de manière centralisée les autorisations maximales disponibles pour les utilisateurs IAM et les rôles IAM dans une organisation.
+ Les **[politiques de contrôle des ressources (RCPs)](orgs_manage_policies_rcps.md)** permettent de contrôler de manière centralisée les autorisations maximales disponibles pour les ressources d'une organisation.
### Politiques de gestion
Les politiques de gestion vous aident à configurer et à gérer Services AWS de manière centralisée leurs fonctionnalités au sein d'une organisation.
+ Les **[politiques déclaratives](orgs_manage_policies_declarative.md)** vous permettent de déclarer et d'appliquer de manière centralisée les configurations souhaitées pour une donnée Service AWS à grande échelle au sein d'une organisation. Une fois connectée, la configuration est toujours maintenue lorsque le service ajoute de nouvelles fonctionnalités ou APIs.
+ Les **[politiques de sauvegarde](orgs_manage_policies_backup.md)** vous permettent de gérer et d'appliquer de manière centralisée des plans de sauvegarde aux AWS ressources des comptes d'une organisation.
+ Les **[politiques relatives aux balises](orgs_manage_policies_tag-policies.md)** vous permettent de standardiser les balises associées aux AWS ressources dans les comptes d'une organisation.
+ **[Les politiques relatives aux applications de chat](orgs_manage_policies_chatbot.md)** vous permettent de contrôler l'accès aux comptes d'une organisation à partir d'applications de chat telles que Slack et Microsoft Teams.
+ Les **[politiques de désabonnement aux services d'IA](orgs_manage_policies_ai-opt-out.md)** vous permettent de contrôler la collecte de données pour les services d' AWS IA pour tous les comptes d'une organisation.
+ Les **[politiques du Security Hub](orgs_manage_policies_security_hub.md)** vous permettent de combler les lacunes en matière de couverture de sécurité conformément aux exigences de sécurité de votre entreprise et de les appliquer de manière centralisée à l'ensemble de l'organisation.
+ Les **[politiques Amazon Inspector](orgs_manage_policies_inspector.md)** vous permettent d'activer et de gérer Amazon Inspector de manière centralisée pour tous les comptes de votre AWS organisation.
+ Les **[politiques d'Amazon Bedrock](orgs_manage_policies_bedrock.md)** vous permettent d'appliquer automatiquement les mesures de protection configurées dans Amazon Bedrock Guardrails à tous les éléments de la structure de votre organisation pour tous les appels d'inférence de modèles adressés à Amazon Bedrock.
+ Les **[politiques de déploiement des mises à niveau](orgs_manage_policies_upgrade_rollout.md)** vous permettent de gérer de manière centralisée et d'échelonner les mises à niveau automatiques sur plusieurs AWS ressources et comptes de votre organisation.
+ Les **[politiques Amazon S3](orgs_manage_policies_s3.md)** vous permettent de gérer de manière centralisée les configurations des ressources Amazon S3 à grande échelle sur l'ensemble des comptes d'une organisation.
Le tableau suivant résume certaines des caractéristiques de chaque type de politique. Pour des caractéristiques supplémentaires concernant ces types de politiques, consultez la rubrique [Quotas et limites de service pour AWS Organizations](orgs_reference_limits.md).
| Type de politique | Catégorie de politique | Concerne le compte de gestion | Nombre maximal que vous pouvez attacher à une racine, une UO ou un compte | Taille maximum | Prend en charge l'affichage de la politique effective de l'unité d'organisation |
| --- | --- | --- | --- | --- | --- |
| SCP | Autorisation | ![\[No\]](http://docs.aws.amazon.com/fr_fr/organizations/latest/userguide/images/icon-no.png) Non | 5 | 5 120 octets | ![\[No\]](http://docs.aws.amazon.com/fr_fr/organizations/latest/userguide/images/icon-no.png) Non |
| RCP | Autorisation | ![\[No\]](http://docs.aws.amazon.com/fr_fr/organizations/latest/userguide/images/icon-no.png) Non | 5 | 5 120 octets | ![\[No\]](http://docs.aws.amazon.com/fr_fr/organizations/latest/userguide/images/icon-no.png) Non |
| Politique déclarative | Gestion | ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/organizations/latest/userguide/images/icon-yes.png) Oui | 10 | 10 000 caractères | ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/organizations/latest/userguide/images/icon-yes.png) Oui |
| Politique de sauvegarde | Gestion | ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/organizations/latest/userguide/images/icon-yes.png) Oui | 10 | 10 000 caractères | ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/organizations/latest/userguide/images/icon-yes.png) Oui |
| Politique de balises | Gestion | ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/organizations/latest/userguide/images/icon-yes.png) Oui | 10 | 10 000 caractères | ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/organizations/latest/userguide/images/icon-yes.png) Oui |
| Politique relative aux applications de chat | Gestion | ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/organizations/latest/userguide/images/icon-yes.png) Oui | 5 | 10 000 caractères | ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/organizations/latest/userguide/images/icon-yes.png) Oui |
| Politique de désactivation des services IA | Gestion | ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/organizations/latest/userguide/images/icon-yes.png) Oui | 5 | 2 500 caractères | ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/organizations/latest/userguide/images/icon-yes.png) Oui |
| Politique du Security Hub | Gestion | ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/organizations/latest/userguide/images/icon-yes.png) Oui | 10 | 10 000 caractères | ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/organizations/latest/userguide/images/icon-yes.png) Oui |
| Politique d'Amazon Inspector | Gestion | ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/organizations/latest/userguide/images/icon-yes.png) Oui | 10 | 10 000 caractères | ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/organizations/latest/userguide/images/icon-yes.png) Oui |
| Politique d'Amazon Bedrock | Gestion | ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/organizations/latest/userguide/images/icon-yes.png) Oui | 10 | 10 000 caractères | ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/organizations/latest/userguide/images/icon-yes.png) Oui |
| Politique de déploiement des mises à niveau | Gestion | ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/organizations/latest/userguide/images/icon-yes.png) Oui | 10 | 10 000 caractères | ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/organizations/latest/userguide/images/icon-yes.png) Oui |
| Politique S3 | Gestion | ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/organizations/latest/userguide/images/icon-yes.png) Oui | 10 | 10 000 caractères | ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/organizations/latest/userguide/images/icon-yes.png) Oui |
# Politiques d'autorisation dans AWS Organizations
Les politiques d'autorisation vous AWS Organizations permettent de configurer et de gérer de manière centralisée l'accès des principaux et des ressources dans vos comptes membres. La manière dont ces politiques affectent les unités organisationnelles (OUs) et les comptes auxquels vous les appliquez dépend du type de politique d'autorisation que vous appliquez.
Il existe deux types de politiques d'autorisation AWS Organizations : les politiques de contrôle des services (SCPs) et les politiques de contrôle des ressources (RCPs).
**Topics**
+ [Différences entre SCPs et RCPs](#understanding-scps-and-rcps)
+ [Utilisation SCPs et RCPs](#when-to-use-scps-and-rcps)
+ [Politiques de contrôle des services](orgs_manage_policies_scps.md)
+ [Politiques de contrôle des ressources](orgs_manage_policies_rcps.md)
## Différences entre SCPs et RCPs
SCPs sont des commandes centrées sur le principal. SCPs créez un garde-fou en matière d'autorisations, ou fixez des limites, aux autorisations maximales accordées aux principaux sur vos comptes de membres. Vous pouvez utiliser un SCP lorsque vous souhaitez appliquer de manière centralisée des contrôles d'accès cohérents aux principaux de votre organisation. Cela peut inclure la spécification des services auxquels vos utilisateurs et rôles IAM peuvent accéder, des ressources auxquelles ils peuvent accéder ou des conditions dans lesquelles ils peuvent faire des demandes (par exemple, depuis des régions ou des réseaux spécifiques).
RCPs sont des contrôles centrés sur les ressources. RCPs créez un garde-fou en matière d'autorisations, ou fixez des limites, aux autorisations maximales disponibles pour les ressources de vos comptes membres. Vous pouvez utiliser un RCP lorsque vous souhaitez appliquer de manière centralisée des contrôles d'accès cohérents à l'ensemble des ressources de votre organisation. Cela peut restreindre l'accès à vos ressources afin que seules les identités appartenant à votre organisation puissent y accéder, ou spécifier les conditions dans lesquelles des identités externes à votre organisation peuvent accéder à vos ressources.
Certaines commandes peuvent être appliquées de la même manière via SCPs et RCPs. Par exemple, vous souhaiterez peut-être [empêcher vos utilisateurs de télécharger des objets non chiffrés sur S3](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps_examples_s3.html#example-s3-1), qui peuvent être écrits sous forme de SCP afin de contrôler les actions que vos principaux responsables peuvent effectuer sur vos compartiments S3. Ce contrôle peut également être écrit sous forme de RCP pour exiger le chiffrement chaque fois qu'un principal télécharge des objets dans votre compartiment S3. La deuxième option peut être préférée si votre compartiment permet à des entités extérieures à votre organisation, telles que des fournisseurs tiers, de télécharger des objets dans votre compartiment S3. Cependant, certains contrôles ne peuvent être implémentés que dans un RCP, et certains contrôles ne peuvent être implémentés que dans un SCP. Pour de plus amples informations, veuillez consulter [Cas d'utilisation généraux pour SCPs et RCPs](#scps-rcps-general-use-cases).
## Utilisation SCPs et RCPs
SCPs et RCPs sont des commandes indépendantes. Vous pouvez choisir d'activer uniquement SCPs ou RCPs d'utiliser les deux types de politique ensemble. En utilisant les deux SCPs et RCPs, vous pouvez créer un [périmètre de données](https://aws.amazon.com/identity/data-perimeters-on-aws/) autour de vos identités et de vos ressources.
SCPs offrent la possibilité de contrôler les ressources auxquelles vos identités peuvent accéder. Par exemple, vous pouvez autoriser vos identités à accéder aux ressources de votre AWS organisation. Toutefois, vous souhaiterez peut-être empêcher vos identités d'accéder à des ressources extérieures à votre organisation. Vous pouvez appliquer ce contrôle à l'aide de SCPs.
RCPs offrez la possibilité de contrôler quelles identités peuvent accéder à vos ressources. Par exemple, vous souhaiterez peut-être autoriser les identités de votre organisation à accéder aux ressources de votre organisation. Toutefois, vous souhaiterez peut-être empêcher les identités extérieures à votre organisation d'accéder à vos ressources. Vous pouvez appliquer ce contrôle à l'aide de RCPs. RCPs fournir la possibilité d'influencer les autorisations effectives pour les principaux externes à votre organisation qui accèdent à vos ressources. SCPs ne peut avoir d'impact que sur les autorisations effectives accordées aux directeurs au sein de votre AWS organisation.
### Cas d'utilisation généraux pour SCPs et RCPs
Le tableau suivant détaille les cas d'utilisation généraux d'un SCP et RCPs
****
| | **Répercussions** |
| --- |--- |
| **Cas d'utilisation** | **Type de politique** | **Vos identités** | **Identités externes** | **Vos ressources** | **Ressources externes (cible de la demande)** |
| --- |--- |--- |--- |--- |--- |
| Limitez les services ou les actions que vos identités peuvent utiliser | SCP | X | | X | X |
| Limitez les ressources auxquelles vos identités peuvent accéder | SCP | X | | X | X |
| Appliquez les exigences relatives à la manière dont vos identités peuvent accéder aux ressources | SCP | X | | X | X |
| Limitez les identités autorisées à accéder à vos ressources | RCP | X | X | X | |
| Protégez les ressources sensibles de votre organisation | RCP | X | X | X | |
| Appliquez les exigences relatives à l'accès à vos ressources | RCP | X | X | X | |
# Politiques de contrôle des services (SCPs)
Les politiques de contrôle des services (SCPs) sont un type de politique d'organisation que vous pouvez utiliser pour gérer les autorisations au sein de votre organisation. SCPs offrent un contrôle centralisé des autorisations maximales disponibles pour les utilisateurs IAM et les rôles IAM au sein de votre organisation. SCPs vous aider à garantir que vos comptes respectent les directives de contrôle d'accès de votre organisation. SCPsne sont disponibles que dans une organisation dont [toutes les fonctionnalités sont activées](orgs_manage_org_support-all-features.md). SCPs ne sont pas disponibles si votre organisation a activé uniquement les fonctionnalités de facturation consolidée. Pour obtenir des instructions sur l'activation SCPs, consultez[Désactivation d'un type de politique](enable-policy-type.md).
SCPs n'accordez pas d'autorisations aux utilisateurs IAM et aux rôles IAM au sein de votre organisation. Aucune autorisation n'est accordée par une SCP. Un SCP définit une barrière d'autorisation, ou fixe des limites, aux actions que les utilisateurs IAM et les rôles IAM de votre organisation peuvent effectuer. Pour accorder des autorisations, l'administrateur doit associer des politiques pour contrôler l'accès, telles que des politiques basées sur l'identité associées aux utilisateurs IAM et aux rôles IAM, et des politiques basées sur les ressources associées aux ressources de vos comptes. *Pour plus d'informations, consultez les sections Politiques basées sur l'[identité et politiques basées sur les ressources dans le Guide de l'](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_identity-vs-resource.html)utilisateur IAM.*
Les [autorisations effectives](#scp-effects-on-permissions) sont l'intersection logique entre ce qui est autorisé par le SCP et les [politiques de contrôle des ressources (RCPs)](orgs_manage_policies_rcps.md) et ce qui est autorisé par les politiques basées sur l'identité et les ressources.
**SCPs n'affectent pas les utilisateurs ou les rôles dans le compte de gestion**
SCPs n'affectent pas les utilisateurs ni les rôles dans le compte de gestion. Elles affectent uniquement les comptes membres de votre organisation. Cela signifie également que cela SCPs s'applique aux comptes de membres désignés comme administrateurs délégués.
****Rubriques dans cette page****
+ [Tester les effets de SCPs](#scp-warning-testing-effect)
+ [Taille maximale de SCPs](#scp-size-limit)
+ [SCPs Attachement aux différents niveaux de l'organisation](#scp-about-inheritance)
+ [Effets des SCP sur les autorisations](#scp-effects-on-permissions)
+ [Utiliser les données d'accès pour améliorer SCPs](#data-from-iam)
+ [Tâches et entités non limitées par SCPs](#not-restricted-by-scp)
+ [Évaluation du SCP](orgs_manage_policies_scps_evaluation.md)
+ [Syntaxe d’une stratégie de contrôle de service](orgs_manage_policies_scps_syntax.md)
+ [Exemples de politiques de contrôle des services](orgs_manage_policies_scps_examples.md)
+ [Résolution des problèmes liés aux politiques de contrôle des services (SCPs) avec AWS Organizations](org_troubleshoot_policies.md)
## Tester les effets de SCPs
AWS vous recommande vivement de ne pas vous attacher SCPs à la racine de votre organisation sans avoir testé de manière approfondie l'impact de la politique sur les comptes. À la place, créez une unité d'organisation dans laquelle vous pouvez déplacer vos comptes un par un, ou au moins en petits nombres, afin de veiller à ne pas accidentellement empêcher des utilisateurs d'accéder à des services clés. Pour déterminer si un service est utilisé par un compte, vous pouvez examiner les [Dernières informations consultées relatives aux services dans IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_access-advisor.html). Une autre méthode consiste [AWS CloudTrail à enregistrer l'utilisation du service au niveau de l'API](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/how-cloudtrail-works.html).
**Note**
Vous ne devez pas supprimer la AWSAccess politique **complète** à moins de la modifier ou de la remplacer par une politique distincte avec des actions autorisées, sinon toutes les AWS actions des comptes membres échoueront.
## Taille maximale de SCPs
Tous les caractères de votre SCP sont pris en compte dans le calcul de sa [taille maximale](orgs_reference_limits.md#min-max-values). Les exemples de ce guide montrent les SCPs formats avec des espaces blancs supplémentaires pour améliorer leur lisibilité. Toutefois, pour économiser de l'espace si la taille de votre politique approche de la taille maximale, vous pouvez supprimer les espaces, comme les espacements et les sauts de ligne qui ne figurent pas entre guillemets.
**Astuce**
Utilisez l'éditeur visuel pour créer votre politique de contrôle des services. Il supprime automatiquement les espaces superflus.
## SCPs Attachement aux différents niveaux de l'organisation
Pour une explication détaillée du SCPs fonctionnement, voir[Évaluation du SCP](orgs_manage_policies_scps_evaluation.md).
## Effets des SCP sur les autorisations
SCPs sont similaires aux politiques Gestion des identités et des accès AWS d'autorisation et utilisent presque la même syntaxe. Toutefois, une politique de contrôle des services n'accorde jamais d'autorisations. SCPs Il s'agit plutôt de contrôles d'accès qui spécifient les autorisations maximales disponibles pour les utilisateurs IAM et les rôles IAM au sein de votre organisation. Pour de plus amples informations, consultez [Logique d'évaluation des politiques](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_evaluation-logic.html) dans le *Guide de l'utilisateur IAM*.
+ SCPs ***concernent uniquement les utilisateurs et les rôles IAM*** gérés par des comptes faisant partie de l'organisation. SCPs n'affectent pas directement les politiques basées sur les ressources. Elles n'affectent pas les utilisateurs ni les rôles de comptes extérieurs à l'organisation. Par exemple, considérons un compartiment Amazon S3 détenu par le compte A d'une organisation. La politique du compartiment (politique basée sur une ressource) accorde l'accès aux utilisateurs du compte B qui est extérieur à l'organisation. Une politique SCP est attachée au compte A. Cette politique de contrôle des services ne s'applique pas aux utilisateurs externes du compte B. La politique de contrôle des services s'applique uniquement aux utilisateurs gérés par le compte A dans l'organisation.
+ Une SCP limite les autorisations des utilisateurs et des rôles IAM dans les comptes membres, y compris l'utilisateur racine du compte membre. Chaque compte ne dispose que des autorisations octroyées par ***chaque*** parent au-dessus de lui. Si une autorisation est bloquée à n'importe quel niveau au-dessus du compte, implicitement (en n'étant pas incluse dans une instruction de politique `Allow`) ou explicitement (en étant incluse dans une instruction de politique `Deny`), un utilisateur ou un rôle figurant dans le compte concerné ne peut pas utiliser cette autorisation, même si l'administrateur du compte attache à l'utilisateur la politique IAM `AdministratorAccess` avec des autorisations \$1/\$1.
+ SCPs concernent uniquement ***les comptes des membres*** de l'organisation. Elles n'ont aucun effet sur les utilisateurs ou les rôles du compte de gestion. Cela signifie également que cela SCPs s'applique aux comptes de membres désignés comme administrateurs délégués. Pour de plus amples informations, veuillez consulter [Bonnes pratiques relatives au compte de gestion](orgs_best-practices_mgmt-acct.md).
+ Les utilisateurs et les rôles doivent toujours se voir attribuer des autorisations avec les politiques d'autorisation IAM appropriées. Un utilisateur ne disposant d'aucune politique d'autorisation IAM n'a aucun accès, même si les règles applicables SCPs autorisent tous les services et toutes les actions.
+ Si un utilisateur ou un rôle dispose d'une politique d'autorisation IAM qui accorde l'accès à une action également autorisée par l'autorité applicable SCPs, l'utilisateur ou le rôle peut effectuer cette action.
+ Si un utilisateur ou un rôle dispose d'une politique d'autorisation IAM qui accorde l'accès à une action non autorisée ou explicitement refusée par l'autorité applicable SCPs, l'utilisateur ou le rôle ne peut pas effectuer cette action.
+ SCPs affectent tous les utilisateurs et rôles des comptes attachés, ***y compris l'utilisateur root***. Les seules exceptions sont celles décrites dans [Tâches et entités non limitées par SCPs](#not-restricted-by-scp).
+ SCPs ***n'***affectent aucun rôle lié à un service. Les rôles liés aux services permettent Services AWS aux autres de s'intégrer AWS Organizations et ne peuvent pas être limités par. SCPs
+ Lorsque vous désactivez le type de politique SCP dans une racine, toutes SCPs sont automatiquement détachées de toutes les AWS Organizations entités de cette racine. AWS Organizations les entités incluent les unités organisationnelles, les organisations et les comptes. Si vous le réactivez SCPs dans une racine, cette racine revient uniquement à la `FullAWSAccess` politique par défaut automatiquement attachée à toutes les entités de la racine. Toutes les pièces jointes d' AWS Organizations entités antérieures SCPs à la désactivation SCPs sont perdues et ne sont pas automatiquement récupérables, bien que vous puissiez les rattacher manuellement.
+ Si une limite d'autorisations (une fonctionnalité IAM avancée) et une politique de contrôle des services sont présentes, la limite, la politique de contrôle des services et la politique basée sur l'identité doivent toutes autoriser l'action.
## Utiliser les données d'accès pour améliorer SCPs
Lorsque vous êtes connecté avec les informations d'identification du compte de gestion, vous pouvez consulter les [données du dernier accès au service](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_access-advisor.html) pour une AWS Organizations entité ou une politique dans la **AWS Organizations**section de la console IAM. Vous pouvez également utiliser le AWS Command Line Interface (AWS CLI) ou l' AWS API dans IAM pour récupérer les dernières données du service auxquelles vous avez accédé. Ces données incluent des informations sur les services autorisés auxquels les utilisateurs et les rôles IAM d'un AWS Organizations compte ont tenté d'accéder pour la dernière fois et à quel moment. Vous pouvez utiliser ces informations pour identifier les autorisations non utilisées afin d'affiner les SCPs vôtres afin de mieux respecter le principe du [moindre privilège](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#grant-least-privilege).
Par exemple, vous pouvez avoir une [liste de refus SCP](orgs_manage_policies_scps_evaluation.md#how_scps_deny) qui interdit l'accès à trois Services AWS d'entre eux. Tous les services qui ne sont pas répertoriés dans l’instruction `Deny` de la SCP sont autorisés. Les données du dernier accès au service dans IAM vous indiquent celles qui Services AWS sont autorisées par le SCP mais qui ne sont jamais utilisées. Ces informations vous permettent de mettre à jour la SCP pour refuser l'accès aux services dont vous n'avez pas besoin.
Pour plus d'informations, consultez les rubriques suivantes dans le *Guide de l'utilisateur IAM* :
+ [Affichage des dernières informations relatives aux services pour Organizations](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_access-advisor-view-data-orgs.html)
+ [ Using Data to Refine Permissions for an Organizational Unit (Utilisation des données pour affiner les autorisations d’une unité d’organisation)](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_access-advisor-example-scenarios.html#access_policies_access-advisor-reduce-permissions-orgs)
## Tâches et entités non limitées par SCPs
Vous ***ne pouvez pas*** utiliser SCPs pour restreindre les tâches suivantes :
+ Toute action effectuée par le compte de gestion
+ Toute action réalisée à l'aide des autorisations attachées à un rôle lié à un service.
+ Enregistrement pour le plan Enterprise Support en tant qu'utilisateur racine
+ Fournir des fonctionnalités de signature fiables pour le contenu CloudFront privé
+ Configuration de DNS inverse pour un serveur de messagerie Amazon Lightsail et une instance Amazon EC2 en tant qu'utilisateur racine
+ Tâches AWS relatives à certains services connexes :
+ Alexa Top Sites
+ Alexa Web Information Service
+ Amazon Mechanical Turk
+ API Amazon Product Marketing
# Évaluation du SCP
**Note**
Les informations contenues dans cette section ne s'appliquent ***pas*** aux types de politiques de gestion, y compris les politiques de sauvegarde, les politiques de balises, les politiques relatives aux applications de chat ou les politiques de désactivation des services d'intelligence artificielle. Pour de plus amples informations, veuillez consulter [Fonctionnement de l'héritage des politiques de gestion](orgs_manage_policies_inheritance_mgmt.md).
Comme vous pouvez associer plusieurs politiques de contrôle des services (SCPs) à différents niveaux AWS Organizations, comprendre comment SCPs elles sont évaluées peut vous aider à rédiger des politiques SCPs qui donneront le bon résultat.
**Topics**
+ [Comment SCPs travailler avec Allow](#how_scps_allow)
+ [Comment SCPs travailler avec Deny](#how_scps_deny)
+ [Stratégie d'utilisation SCPs](#strategy_using_scps)
## Comment SCPs travailler avec Allow
Pour qu'une autorisation soit **accordée** pour un compte spécifique, une **instruction `Allow` explicite** est nécessaire à chaque niveau, de la racine via chaque UO sur le chemin d'accès direct au compte (y compris le compte cible lui-même). C'est pourquoi, lorsque vous l'activez SCPs, AWS Organizations elle associe une politique SCP AWS gérée nommée [Full AWSAccess](https://console.aws.amazon.com/organizations/v2/home/policies/service-control-policy/p-FullAWSAccess) qui autorise tous les services et actions. Si cette politique est supprimée et qu'elle n'est remplacée à aucun niveau de l'organisation, tous OUs les comptes inférieurs à ce niveau seront empêchés d'effectuer des actions.
Examinons le scénario des figures 1 et 2. Pour qu'une autorisation soit accordée ou qu'un service soit autorisé pour le compte B, une SCP accordant l'autorisation ou autorisant le service doit être attachée à la racine, à l'UO de production et au compte B.
L'évaluation du SCP suit un deny-by-default modèle, ce qui signifie que toutes les autorisations non explicitement autorisées dans le SCPs sont refusées. Si aucune instruction d'autorisation n'est présente dans aucun des niveaux tels que Root, Production OU ou Account B, l'accès est refusé. SCPs
![\[Exemple de structure organisationnelle avec une instruction Allow attachée à la racine, à l'unité d'organisation de production et au compte B\]](http://docs.aws.amazon.com/fr_fr/organizations/latest/userguide/images/scp_allow_1.png)
*Figure 1 : exemple de structure organisationnelle avec une instruction `Allow` attachée à la racine, à l'UO de production et au compte B*
![\[Exemple de structure organisationnelle avec une instruction Allow manquante à l'unité de production et son impact sur le compte B\]](http://docs.aws.amazon.com/fr_fr/organizations/latest/userguide/images/scp_allow_2.png)
*Figure 2 : exemple de structure organisationnelle avec une instruction `Allow` attachée à l'UO de production et impact sur le compte B*
## Comment SCPs travailler avec Deny
**N'importe quelle SCP** de la racine via chaque UO sur le chemin d'accès direct au compte (y compris le compte cible lui-même) peut **refuser** une autorisation pour un compte spécifique.
Supposons, par exemple, qu'une SCP attachée à l'UO de production comporte une instruction `Deny` explicite spécifiée pour un service donné. Une autre SCP attachée à la racine et au compte B autorise explicitement l'accès à ce même service, comme le montre la figure 3. Par conséquent, le compte A et le compte B se verront refuser l'accès au service, car une politique de refus attachée à tous les niveaux de l'organisation est évaluée pour tous les comptes OUs et membres sous-jacents.
![\[Exemple de structure organisationnelle avec une déclaration de refus jointe à l'unité de production et son impact sur le compte B\]](http://docs.aws.amazon.com/fr_fr/organizations/latest/userguide/images/scp_deny_1.png)
*Figure 3 : exemple de structure organisationnelle avec une instruction `Deny` attachée à l'UO de production et impact sur le compte B*
## Stratégie d'utilisation SCPs
Lorsque SCPs vous rédigez, vous pouvez utiliser une combinaison de `Deny` déclarations `Allow` et de déclarations pour autoriser les actions et les services prévus dans votre organisation. `Deny`les déclarations constituent un moyen efficace de mettre en œuvre des restrictions qui devraient s'appliquer à une plus grande partie de votre organisation ou OUs parce que lorsqu'elles sont appliquées à la racine ou au niveau de l'unité d'organisation, elles affectent tous les comptes qui en dépendent.
**Astuce**
Vous pouvez utiliser les [données du dernier accès au service](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_access-advisor.html) dans [IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction.html) pour les mettre à jour SCPs afin de restreindre l'accès aux seules données Services AWS dont vous avez besoin. Pour de plus amples informations, consultez [Affichage des dernière informations consultées pour Organizations](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_access-advisor-view-data-orgs.html) dans le *Guide de l'utilisateur IAM.*
AWS Organizations attache un SCP AWS géré nommé [https://console.aws.amazon.com/organizations/v2/home/policies/service-control-policy/p-FullAWSAccess](https://console.aws.amazon.com/organizations/v2/home/policies/service-control-policy/p-FullAWSAccess) à chaque racine, unité d'organisation et compte lors de sa création. Cette politique autorise tous les services et actions. Vous pouvez AWSAccess remplacer **Full** par une politique n'autorisant qu'un ensemble de services, de sorte que les nouveaux services ne Services AWS sont pas autorisés, sauf s'ils sont explicitement autorisés par le biais d'une mise à jour SCPs. Par exemple, si votre organisation souhaite uniquement autoriser l'utilisation d'un sous-ensemble de services dans votre environnement, vous pouvez utiliser une instruction `Allow` pour n'autoriser que certains services. Vous pouvez choisir de remplacer **Full AWSAccess** à la racine ou à tous les niveaux. Si vous associez une liste d'autorisations (SCP) spécifique à un service à la racine, elle s'applique automatiquement à tous les comptes OUs et aux comptes situés en dessous, ce qui signifie qu'une seule politique au niveau de la racine détermine la liste d'autorisations de service effective dans l'ensemble de l'organisation, comme indiqué dans le scénario 7. Vous pouvez également supprimer et remplacer **Full AWSAccess** au niveau de chaque unité organisationnelle et de chaque compte, ce qui vous permet de mettre en œuvre des listes d'autorisation de service plus détaillées qui diffèrent selon les unités organisationnelles ou les comptes individuels.
Remarque : Le fait de s'appuyer uniquement sur les instructions d'autorisation et le deny-by-default modèle implicite peut entraîner un accès involontaire, car les instructions Allow plus larges ou qui se chevauchent peuvent remplacer les instructions plus restrictives.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ec2:*",
"cloudwatch:*",
"organizations:*"
],
"Resource": "*"
}
]
}
```
------
L'exemple suivant montre une politique combinant les deux instructions, ce qui empêche les comptes membres de quitter l'organisation et autorise l'utilisation des services AWS souhaités. L'administrateur de l'organisation peut détacher la AWSAccess politique **complète** et joindre celle-ci à la place.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ec2:*",
"cloudwatch:*",
"organizations:*"
],
"Resource": "*"
},
{
"Effect": "Deny",
"Action":"organizations:LeaveOrganization",
"Resource": "*"
}
]
}
```
------
Pour démontrer comment plusieurs politiques de contrôle des services (SCPs) peuvent être appliquées dans une AWS organisation, considérez la structure organisationnelle et les scénarios suivants.
### Scénario 1 : Impact des politiques de refus
Ce scénario montre comment les politiques de refus appliquées aux niveaux supérieurs de l'organisation ont un impact sur tous les comptes ci-dessous. Lorsque l'unité d'organisation Sandbox possède à la fois des politiques « AWS accès complet » et « Refuser l'accès S3 », et que le compte B applique une politique « Refuser l'accès EC2 », le compte B ne peut pas accéder à S3 (depuis le refus au niveau de l'unité d'organisation) et à EC2 (depuis son refus au niveau du compte). Le compte A ne dispose pas d'un accès S3 (depuis le refus au niveau de l'unité d'organisation).
![\[Scénario 1 : Impact des politiques de refus\]](http://docs.aws.amazon.com/fr_fr/organizations/latest/userguide/images/scp_scenario_1.png)
### Scénario 2 : les politiques d'autorisation doivent exister à tous les niveaux
Ce scénario montre comment les politiques d'autorisation fonctionnent dans les SCP. Pour qu'un service soit accessible, il doit y avoir une autorisation explicite à tous les niveaux, depuis le root jusqu'au compte. Dans ce cas, étant donné que l'unité d'organisation Sandbox applique une politique « Autoriser l'accès EC2 », qui n'autorise explicitement que l'accès au service EC2, les comptes A et B auront uniquement accès à EC2.
![\[Scénario 2 : les politiques d'autorisation doivent exister à tous les niveaux\]](http://docs.aws.amazon.com/fr_fr/organizations/latest/userguide/images/scp_scenario_2.png)
### Scénario 3 : impact de l'absence d'une instruction Allow au niveau de la racine
L'absence d'une instruction « Autoriser » au niveau de la racine dans un SCP constitue une erreur de configuration critique qui bloquera efficacement tout accès aux AWS services et aux actions pour tous les comptes membres de votre organisation.
![\[Scénario 3 : impact de l'absence d'une instruction Allow au niveau de la racine\]](http://docs.aws.amazon.com/fr_fr/organizations/latest/userguide/images/scp_scenario_3.png)
### Scénario 4 : déclarations de refus en couches et autorisations qui en résultent
Ce scénario illustre une structure d'UO profonde à deux niveaux. L'unité d'organisation racine et l'unité d'organisation de charges de travail ont toutes deux un « AWS accès complet », l'unité d'organisation de test dispose d'un « AWS accès complet » avec « Refuser l'accès EC2 » et l'unité d'organisation de production dispose d'un « AWS accès complet ». Par conséquent, le compte D dispose de tous les accès aux services, à l'exception de l'EC2, et les comptes E et F ont tous les accès aux services.
![\[Scénario 4 : déclarations de refus en couches et autorisations qui en résultent\]](http://docs.aws.amazon.com/fr_fr/organizations/latest/userguide/images/scp_scenario_4.png)
### Scénario 5 : autoriser les politiques au niveau de l'unité d'organisation à restreindre l'accès aux services
Ce scénario montre comment les politiques d'autorisation peuvent être utilisées pour restreindre l'accès à des services spécifiques. L'UO de test applique une politique « Autoriser l'accès EC2 », ce qui signifie que seuls les services EC2 sont autorisés pour le compte D. L'UO de production maintient un « AWS accès complet », de sorte que les comptes E et F ont accès à tous les services. Cela montre comment des politiques d'autorisation plus restrictives peuvent être mises en œuvre au niveau de l'unité d'organisation tout en maintenant une autorisation plus large au niveau racine.
![\[Scénario 5 : autoriser les politiques au niveau de l'unité d'organisation à restreindre l'accès aux services\]](http://docs.aws.amazon.com/fr_fr/organizations/latest/userguide/images/scp_scenario_5.png)
### Scénario 6 : le refus au niveau root affecte tous les comptes, quelles que soient les autorisations de niveau inférieur
Ce scénario montre qu'une politique de refus au niveau racine affecte tous les comptes de l'organisation, quelles que soient les politiques d'autorisation aux niveaux inférieurs. La racine applique à la fois des politiques « AWS Accès complet » et « Refuser l'accès S3 ». Même si l'unité d'organisation de test applique une politique « Autoriser l'accès au S3 », le refus du S3 au niveau racine a la priorité. Le compte D n'a aucun accès au service car l'unité d'organisation de test autorise uniquement l'accès à S3, mais S3 est refusé au niveau racine. Les comptes E et F peuvent accéder à d'autres services à l'exception de S3 en raison du refus explicite au niveau de la racine.
![\[Scénario 6 : le refus au niveau root affecte tous les comptes, quelles que soient les autorisations de niveau inférieur\]](http://docs.aws.amazon.com/fr_fr/organizations/latest/userguide/images/scp_scenario_6.png)
### Scénario 7 : politiques d'autorisation personnalisées au niveau de la racine pour restreindre l'accès au niveau de l'unité d'organisation
Ce scénario montre comment, SCPs avec un service explicite, les listes d'autorisations fonctionnent lorsqu'elles sont appliquées au niveau de la racine dans un AWS Organizations. Au niveau de la racine de l'organisation, deux « Autorisations de service » personnalisées SCPs sont associées qui autorisent explicitement l'accès à un ensemble limité de AWS services : SCP\$11 autorise IAM et Amazon EC2, SCP\$12 autorise Amazon S3 et Amazon. CloudWatch Au niveau de l'unité organisationnelle (UO), la AWSAccess politique complète par défaut reste attachée. Cependant, en raison du comportement des intersections, les comptes A et B de ces UO ne peuvent accéder qu'aux services explicitement autorisés par le SCP de niveau racine. La politique racine la plus restrictive a la priorité, limitant efficacement l'accès aux seuls IAM, EC2, S3 et CloudWatch aux services, indépendamment des autorisations plus larges accordées aux niveaux organisationnels inférieurs.
![\[Scénario 7 : politiques d'autorisation personnalisées au niveau de la racine pour restreindre l'accès au niveau de l'unité d'organisation\]](http://docs.aws.amazon.com/fr_fr/organizations/latest/userguide/images/scp_scenario_7.png)
# Syntaxe d’une stratégie de contrôle de service
Les politiques de contrôle des services (SCPs) utilisent une syntaxe similaire à celle utilisée par les politiques d'autorisation Gestion des identités et des accès AWS (IAM) et les politiques [basées sur les ressources (comme les politiques relatives](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#policies_resource-based) aux compartiments Amazon S3). Pour plus d'informations sur les politiques IAM et leur syntaxe, consultez [Présentation des politiques IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html) dans le *Guide de l'utilisateur IAM*.
Une politique SCP est un fichier texte brut qui est structuré conformément aux règles de [JSON](http://json.org). Elle utilise les éléments qui sont décrits dans cette rubrique.
**Note**
Tous les caractères de votre SCP sont pris en compte dans le calcul de sa [taille maximale](orgs_reference_limits.md#min-max-values). Les exemples présentés dans ce guide montrent les SCPs fichiers formatés avec des espaces blancs supplémentaires pour améliorer leur lisibilité. Toutefois, pour économiser de l'espace si la taille de votre politique approche de la taille maximale, vous pouvez supprimer les espaces, comme les espacements et les sauts de ligne qui ne figurent pas entre guillemets.
Pour des informations générales sur SCPs, voir[Politiques de contrôle des services (SCPs)](orgs_manage_policies_scps.md).
## Récapitulatif des éléments
Le tableau suivant récapitule les éléments de stratégie que vous pouvez utiliser dans SCPs. Certains éléments de politique ne sont disponibles SCPs que dans les cas où les actions sont interdites. La colonne **Effets pris en charge** répertorie le type d'effet que vous pouvez utiliser avec chaque élément de politique SCPs.
| Element | Objectif | Effets pris en charge |
| --- | --- | --- |
| [Action](#scp-syntax-action) | Spécifie le AWS service et les actions que le SCP autorise ou refuse. | `Allow`, `Deny` |
| [Effet](#scp-syntax-effect) | Définit si l'instruction SCP [autorise](orgs_manage_policies_scps_evaluation.md#how_scps_allow) ou [refuse](orgs_manage_policies_scps_evaluation.md#how_scps_deny) l'accès aux utilisateurs et rôles IAM d'un compte. | `Allow`, `Deny` |
| [Instruction](#scp-syntax-statement) | Sert de conteneur pour les éléments de politique. Vous pouvez avoir plusieurs instructions dans SCPs. | `Allow`, `Deny` |
| [ID d’instruction (Sid)](#scp-syntax-sid) | (Facultatif) Fournit un nom simple pour l'instruction. | `Allow`, `Deny` |
| [Version](#scp-syntax-version) | Spécifie les règles de syntaxe du langage à utiliser pour le traitement de la politique. | `Allow`, `Deny` |
| [Condition](#scp-syntax-condition) | Spécifie les conditions lorsque l’instruction est vigueur. | `Allow,``Deny` |
| [NotAction](#scp-syntax-action) | Spécifie le AWS service et les actions exemptés du SCP. Utilisé au lieu de l'élément `Action`. | `Allow,``Deny` |
| [Ressource](#scp-syntax-resource) | Spécifie les AWS ressources auxquelles le SCP s'applique. | `Allow,``Deny` |
| [NotResource](#scp-syntax-resource) | Spécifie les AWS ressources exemptées du SCP. Utilisé au lieu de l'élément Resource. | `Allow`, `Deny` |
Les sections suivantes fournissent des informations supplémentaires et des exemples de la manière dont les éléments de politique sont utilisés dans SCPs.
**Topics**
+ [Récapitulatif des éléments](#scp-elements-table)
+ [Éléments `Action` et `NotAction`](#scp-syntax-action)
+ [Élément `Condition`](#scp-syntax-condition)
+ [Élément `Effect`](#scp-syntax-effect)
+ [`Resource`et `NotResource` élément](#scp-syntax-resource)
+ [Élément `Statement`](#scp-syntax-statement)
+ [Élément ID d'instruction (`Sid`)](#scp-syntax-sid)
+ [Élément `Version`](#scp-syntax-version)
+ [Élément non pris en charge](#scp-syntax-unsupported)
## Éléments `Action` et `NotAction`
La valeur de l'`NotAction`élément `Action` or est une liste (un tableau JSON) de chaînes identifiant les AWS services et les actions autorisés ou refusés par l'instruction.
Chaque chaîne est constituée de l'abréviation du service (par exemple, « s3 », « ec2 », « iam » ou « organizations »), en minuscules, suivie de deux points, puis d'une action de ce service. Les actions et les notactions ne font pas la distinction majuscules/majuscules. En général, ils sont tous saisis avec chaque mot commençant par une lettre majuscule et le reste par une minuscule. Par exemple : `"s3:ListAllMyBuckets"`.
Vous pouvez également utiliser des caractères génériques comme un astérisque (\$1) ou un point d'interrogation (?) dans une SCP :
+ Utilisez un astérisque (\$1) en tant que caractère générique pour faire correspondre plusieurs actions partageant une partie d'un nom. La valeur `"s3:*"` signifie toutes les actions dans le service Amazon S3. La valeur `"ec2:Describe*"` correspond uniquement aux actions EC2 commençant par « Describe ».
+ Utilisez le caractère générique point d'interrogation (?) pour faire correspondre un seul caractère.
Pour obtenir une liste de tous les services et des actions qu'ils prennent en charge dans les politiques d'autorisation IAM AWS Organizations SCPs et dans les politiques d'autorisation IAM, consultez la section [Actions, ressources et clés de condition pour les AWS services](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_actionsconditions.html) dans le guide de l'*utilisateur IAM*.
Pour plus d'informations, consultez les sections Éléments de [stratégie IAM JSON : action et Éléments](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_action.html) de [stratégie IAM JSON : NotAction](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_notaction.html) dans le guide de l'utilisateur *IAM*.
### Exemple d'élément `Action`
L'exemple suivant montre une politique de contrôle des services dans une instruction qui permet aux administrateurs de compte de déléguer les autorisations décrire, démarrer, arrêter et résilier pour les instances EC2 dans le compte. Il s'agit d'un exemple de [liste d'autorisations](orgs_manage_policies_scps_evaluation.md#how_scps_allow), qui est utile lorsque les politiques `Allow *` par défaut ne sont ***pas attachées*** afin que, par défaut, les autorisations soient implicitement refusées. Si la politique `Allow *` par défaut est encore attachée à la racine, à l'unité d'organisation ou au compte auquel la politique suivante est attachée, cette politique n'a aucun effet.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": {
"Effect": "Allow",
"Action": [
"ec2:DescribeInstances", "ec2:DescribeImages", "ec2:DescribeKeyPairs",
"ec2:DescribeSecurityGroups", "ec2:DescribeAvailabilityZones", "ec2:RunInstances",
"ec2:TerminateInstances", "ec2:StopInstances", "ec2:StartInstances"
],
"Resource": "*"
}
}
```
------
L'exemple suivant montre comment vous pouvez [refuser l’accès](orgs_manage_policies_scps_evaluation.md#how_scps_deny) à des services qui ne doivent pas être utilisés dans les comptes attachés. Il suppose que les politiques de contrôle des services `"Allow *"` par défaut sont encore attachées à toutes les unités d'organisation et à la racine. Cet exemple de politique empêche les administrateurs de compte dans les comptes attachés de déléguer des autorisations pour les services IAM, Amazon EC2 et Amazon RDS. Les actions d'autres services peuvent être déléguées dans la mesure où aucune autre politique attachée ne les refuse :
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": {
"Effect": "Deny",
"Action": [ "iam:*", "ec2:*", "rds:*" ],
"Resource": "*"
}
}
```
------
### Exemple d'élément `NotAction`
L'exemple suivant montre comment utiliser un `NotAction` élément pour exclure AWS des services de l'effet de la politique.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "LimitActionsInRegion",
"Effect": "Deny",
"NotAction": "iam:*",
"Resource": "*",
"Condition": {
"StringNotEquals": {
"aws:RequestedRegion": "us-west-1"
}
}
}
]
}
```
------
Avec cette instruction, les comptes concernés sont limités à l'exécution des actions spécifiées Région AWS, sauf lorsqu'ils utilisent des actions IAM.
## Élément `Condition`
Vous pouvez spécifier un `Condition` élément dans les instructions d'autorisation et de refus d'un SCP.
L'exemple suivant montre comment utiliser un élément de condition avec une instruction allow dans un SCP pour autoriser des principaux spécifiques à accéder AWS aux services.
```
{
"Version":"2012-10-17",
"Statement":[
{
"Sid":"AllowServicesForSpecificPrincipal",
"Effect":"Allow",
"Action":[
"ec2:*",
"s3:*",
"rds:*",
"lambda:*",
"cloudformation:*",
"iam:*",
"cloudwatch:*"
],
"Resource":"*",
"Condition":{
"StringEquals":{
"aws:PrincipalArn":[
"arn:aws:iam::123456789012:role/specific-role"
]
}
}
}
]
}
```
L'exemple suivant montre comment utiliser un élément de condition avec une déclaration de refus dans un SCP pour restreindre l'accès à toutes les opérations en dehors des `eu-west-1` régions `eu-central-1` et, à l'exception des actions dans les services spécifiés.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "DenyAllOutsideEU",
"Effect": "Deny",
"NotAction": [
"cloudfront:*",
"iam:*",
"route53:*",
"support:*"
],
"Resource": "*",
"Condition": {
"StringNotEquals": {
"aws:RequestedRegion": [
"eu-central-1",
"eu-west-1"
]
}
}
}
]
}
```
------
Pour plus d'informations, consultez [Éléments de politique JSON IAM : Condition](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) dans le *Guide de l’utilisateur IAM*.
## Élément `Effect`
Chaque instruction doit contenir un élément `Effect`. La valeur peut être `Allow` ou `Deny`. Cet élément affecte toutes les actions répertoriées dans la même instruction.
Pour plus d'informations, consultez [Éléments de politique JSON IAM : Effet](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_effect.html) dans le *Guide de l'utilisateur IAM*.
### `"Effect": "Allow"`
L'exemple suivant montre une politique de contrôle des services avec une instruction qui contient un élément `Effect` avec une valeur `Allow` qui permet aux utilisateurs de compte d'effectuer des actions pour le service Amazon S3. Cet exemple est utile dans une organisation qui utilise la [stratégie de liste d'autorisations](orgs_manage_policies_scps_evaluation.md#how_scps_allow) (où les politiques `FullAWSAccess` par défaut sont toutes détachées, de sorte que les autorisations sont implicitement refusées par défaut). Le résultat est que l'instruction [permet](orgs_manage_policies_scps_evaluation.md#how_scps_allow) les autorisations Amazon S3 pour les comptes attachés :
```
{
"Statement": {
"Effect": "Allow",
"Action": "s3:*",
"Resource": "*"
}
}
```
Même si cette instruction utilise le même mot clé de valeur `Allow` qu'une politique d'autorisation IAM, dans une politique SCP, cela n'autorise pas réellement un utilisateur à effectuer une action. SCPs Agissez plutôt comme des filtres qui spécifient les autorisations maximales pour les comptes d'une organisation, d'une unité organisationnelle (UO) ou d'un compte. Dans l'exemple précédent, même si une politique gérée `AdministratorAccess` est attachée à un utilisateur du compte, la politique de contrôle des services limite ***tous*** les utilisateurs des comptes concernés aux seules actions Amazon S3.
### `"Effect": "Deny"`
Dans une instruction dont la valeur de l'`Effect`élément est égale à`Deny`, vous pouvez également restreindre l'accès à des ressources spécifiques ou définir les conditions d'entrée en vigueur. SCPs
L'exemple suivant montre la façon d'utiliser une clé de condition dans une instruction de refus.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": {
"Effect": "Deny",
"Action": "ec2:RunInstances",
"Resource": "arn:aws:ec2:*:*:instance/*",
"Condition": {
"StringNotEquals": {
"ec2:InstanceType": "t2.micro"
}
}
}
}
```
------
Cette instruction dans une politique de contrôle des services définit une protection pour empêcher les comptes concernés (dans lesquels la politique de contrôle des services est attachée au compte lui-même ou à la racine de l'organisation ou à l'unité d'organisation qui contient le compte), de lancer des instances Amazon EC2 si l'instance Amazon EC2 n'est pas définie sur `t2.micro`. Même si une politique IAM qui permet cette action est attachée au compte, la protection créée par la politique de contrôle des services empêche cette action.
## `Resource`et `NotResource` élément
Dans les instructions où l'élément `Effect` a une valeur `Allow`, vous pouvez spécifier uniquement «\$1 » dans l'élément `Resource` d'une politique de contrôle des services (SCP). Vous ne pouvez pas spécifier de ressource Amazon Resource Names (ARNs) individuelle.
Vous pouvez utiliser des caractères génériques tels que l'astérisque (\$1) ou le point d'interrogation (?) dans l'élément ressource :
+ Utilisez un astérisque (\$1) en tant que caractère générique pour faire correspondre plusieurs actions partageant une partie d'un nom.
+ Utilisez le caractère générique point d'interrogation (?) pour faire correspondre un seul caractère.
Dans les instructions où l'`Effect`élément a une valeur égale à`Deny`, vous *pouvez* spécifier un élément individuel ARNs, comme indiqué dans l'exemple suivant.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "DenyAccessToAdminRole",
"Effect": "Deny",
"Action": [
"iam:AttachRolePolicy",
"iam:DeleteRole",
"iam:DeleteRolePermissionsBoundary",
"iam:DeleteRolePolicy",
"iam:DetachRolePolicy",
"iam:PutRolePermissionsBoundary",
"iam:PutRolePolicy",
"iam:UpdateAssumeRolePolicy",
"iam:UpdateRole",
"iam:UpdateRoleDescription"
],
"Resource": [
"arn:aws:iam::*:role/role-to-deny"
]
}
]
}
```
------
Cette politique de contrôle des services empêche les utilisateurs et les rôles IAM des comptes concernés de modifier un rôle IAM d'administration commun créé dans tous les comptes de votre organisation.
L'exemple suivant montre comment utiliser un `NotResource` élément pour exclure des modèles Amazon Bedrock spécifiques de l'effet de la politique.
```
{
"Version":"2012-10-17",
"Statement":[
{
"Sid":"Statement1",
"Effect":"Deny",
"Action":[
"bedrock:InvokeModel",
"bedrock:InvokeModelWithResponseStream"
],
"NotResource":[
"arn:aws:bedrock:*::foundation-model/model-to-permit"
]
}
]
}
```
Pour plus d'informations, consultez [Éléments de politique JSON IAM : Ressource](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_resource.html) dans le *Guide de l'utilisateur IAM*.
## Élément `Statement`
Une politique de contrôle des services est constituée d'un ou plusieurs éléments `Statement`. Vous ne pouvez avoir qu'un mot clé `Statement` dans une politique, mais la valeur peut être un tableau d'instructions JSON (encadré par des caractères [ ]).
L'exemple suivant montre une instruction unique qui se compose d'éléments `Effect`, `Action` et `Resource` uniques.
```
"Statement": {
"Effect": "Allow",
"Action": "*",
"Resource": "*"
}
```
L'exemple suivant inclut deux instructions sous la forme d'un tableau à l'intérieur d'un élément `Statement`. La première instruction autorise toutes les actions, tandis que la deuxième refuse toutes les actions EC2. Le résultat est un qu'administrateur du compte peut déléguer n'importe quelle autorisation, *à l'exception* de celles provenant d'Amazon Elastic Compute Cloud (Amazon EC2).
```
"Statement": [
{
"Effect": "Allow",
"Action": "*",
"Resource": "*"
},
{
"Effect": "Deny",
"Action": "ec2:*",
"Resource": "*"
}
]
```
Pour plus d'informations, consultez [Éléments de politique JSON IAM : Instruction](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_statement.html) dans le *Guide de l'utilisateur IAM*.
## Élément ID d'instruction (`Sid`)
L'élément `Sid` est un identifiant facultatif que vous pouvez fournir pour l'instruction de politique. Vous pouvez affecter une valeur `Sid` à chaque instruction d'un tableau d'instructions. L'exemple suivant de politique de contrôle des services présente un exemple d'instruction `Sid`.
```
{
"Statement": {
"Sid": "AllowsAllActions",
"Effect": "Allow",
"Action": "*",
"Resource": "*"
}
}
```
Pour plus d'informations, consultez [Éléments de politique JSON IAM : Id](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_id.html) dans le *Guide de l'utilisateur IAM*.
## Élément `Version`
Chaque politique de contrôle des services doit inclure un élément `Version` avec la valeur `"2012-10-17"`. Il s'agit de la même valeur de version que la version la plus récente des politiques d'autorisation IAM.
Pour plus d'informations, consultez [Éléments de politique JSON IAM : Version](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_version.html) dans le *Guide de l'utilisateur IAM*.
## Élément non pris en charge
Les éléments suivants ne sont pas pris en charge dans SCPs :
+ `NotPrincipal`
+ `Principal`
# Exemples de politiques de contrôle des services
Les exemples [de politiques de contrôle des services (SCPs)](orgs_manage_policies_scps.md) présentés dans cette rubrique sont fournis à titre informatif uniquement.
**Avant d'utiliser ces exemples**
Avant d'utiliser ces exemples SCPs dans votre organisation, tenez compte des points suivants :
Les [politiques de contrôle des services (SCPs)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html) sont destinées à être utilisées comme des barrières de sécurité grossières et n'accordent pas directement l'accès. L'administrateur doit toujours associer des [politiques basées sur l'identité ou les ressources](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_identity-vs-resource.html) aux principaux IAM ou aux ressources de vos comptes pour réellement accorder des autorisations. Les autorisations effectives sont l'intersection logique entre la politique de policy/Resource contrôle des services et une politique d'identité ou entre la politique de policy/Resource contrôle des services et une politique des ressources. Vous pouvez obtenir plus de détails sur les effets du SCP sur les autorisations [ici](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html#scp-effects-on-permissions).
Lorsqu'elle est associée à une organisation, à une unité organisationnelle ou à un compte, une [politique de contrôle des services (SCP)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html) permet de contrôler de manière centralisée les autorisations maximales disponibles pour tous les comptes de votre organisation, de votre unité organisationnelle ou d'un compte. Comme un SCP peut être appliqué à plusieurs niveaux dans une organisation, comprendre comment [SCPs sont évalués](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps_evaluation.html) peut vous aider à rédiger des articles SCPs qui donnent le bon résultat.
Les politiques de contrôle des services de ce référentiel sont présentées à titre d'exemples. Vous ne devez pas joindre une SCPs pièce jointe sans avoir testé de manière approfondie l'impact de la politique sur les comptes. Une fois que vous avez une politique prête à mettre en œuvre, nous vous recommandons de la tester dans une organisation ou une unité d'organisation distincte pouvant représenter votre environnement de production. Une fois le test effectué, vous devez déployer les modifications de manière plus spécifique, OUs puis les déployer progressivement de manière plus large OUs au fil du temps.
Les exemples de SCP de ce référentiel utilisent une [stratégie de liste de refus](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps_evaluation.html#strategy_using_scps), ce qui signifie que vous avez également besoin d'une AWSAccess politique [complète](https://console.aws.amazon.com/organizations/?#/policies/p-FullAWSAccess) ou d'une autre politique autorisant l'accès attaché aux entités de votre organisation pour autoriser les actions. Vous devez également accorder les autorisations appropriées à vos principaux en utilisant des politiques basées sur l'identité ou les ressources.
**Astuce**
Vous pouvez utiliser les [données du dernier accès au service](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_access-advisor.html) dans [IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction.html) pour les mettre à jour SCPs afin de restreindre l'accès aux seules données Services AWS dont vous avez besoin. Pour de plus amples informations, consultez [Affichage des dernière informations consultées pour Organizations](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_access-advisor-view-data-orgs.html) dans le *Guide de l'utilisateur IAM.*
## GitHub référentiel
+ [Exemples de politiques de contrôle des services](https://github.com/aws-samples/service-control-policy-examples) - Ce GitHub référentiel contient des exemples de politiques pour démarrer ou affiner votre utilisation de AWS SCPs
# Résolution des problèmes liés aux politiques de contrôle des services (SCPs) avec AWS Organizations
Utilisez les informations fournies ici pour vous aider à diagnostiquer et à corriger les erreurs courantes détectées dans les politiques de contrôle des services (SCPs).
Les politiques de contrôle des services (SCPs) AWS Organizations sont similaires aux politiques IAM et partagent une syntaxe commune. Cette syntaxe commence par les règles de la [notation d'JavaScript objet](http://www.json.org) (JSON). JSON décrit un *objet* avec des paires nom-valeur qui constituent l'objet. La [grammaire des politiques IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/policies-grammar.html) s'appuie sur cela en définissant les noms et les valeurs qui ont une signification et sont compris par ceux Services AWS qui utilisent des politiques pour accorder des autorisations.
AWS Organizations utilise un sous-ensemble de la syntaxe et de la grammaire IAM. Pour en savoir plus, consultez [Syntaxe d’une stratégie de contrôle de service](orgs_manage_policies_scps_syntax.md).
**Topics**
+ [Plus d'un objet de politique](#morethanonepolicyblock)
+ [Plusieurs éléments d'instruction](#morethanonestatement)
+ [La taille du document de politique dépasse la taille maximale autorisée](#scptoolong)
## Plus d'un objet de politique
Une politique SCP doit inclure un et un seul objet JSON. Vous désignez un objet en le plaçant entre accolades \$1 \$1. S'il est possible d'imbriquer d'autres objets au sein d'un objet JSON en incorporant des parenthèses \$1 \$1 supplémentaires dans la paire extérieure, une politique peut uniquement comporter une paire de parenthèses \$1 \$1 extérieure. L'exemple suivant est ***incorrect*** car il contient deux objets au niveau supérieur (appelés dans*red*) :
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "ec2:Describe*",
"Resource": "*"
},
{
"Effect": "Deny",
"Action": "s3:*",
"Resource": "*"
}
]
}
```
------
Toutefois, il est possible de réaliser ce que voulait faire l'exemple précédent en utilisant une grammaire correcte. Au lieu d'utiliser deux objets de politique complets, avec chacun son propre élément `Statement`, vous pouvez combiner les deux blocs en un seul élément `Statement`. La valeur de l'élément `Statement` est un tableau de deux objets, comme illustré dans l'exemple suivant :
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "ec2:Describe*",
"Resource": "*"
},
{
"Effect": "Deny",
"Action": "s3:*",
"Resource": "*"
}
]
}
```
Cet exemple ne peut pas être davantage compressé en une `Statement` ne comportant qu‘un seul élément car les deux éléments ont des effets différents. En général, vous pouvez combiner des instructions uniquement lorsque les éléments `Effect` et `Resource` de chaque instruction sont identiques.
## Plusieurs éléments d'instruction
Au premier abord, cette erreur peut sembler être une variante de l'erreur de la section précédente. Toutefois, d'un point de vue syntaxique, il s'agit d'un type d'erreur différent. L'exemple suivant comporte un seul objet de politique, comme indiqué par la paire de parenthèses \$1 \$1 unique au niveau supérieur. Toutefois, cet objet contient deux éléments `Statement`.
Une politique SCP ne peut comporter qu'un seul élément `Statement`, composé du nom (`Statement`) suivi de deux points, eux-mêmes suivis de sa valeur à droite. La valeur d'un élément `Statement` doit être un objet, indiqué par des accolades \$1 \$1, contenant un élément `Effect`, un élément `Action` et un élément `Resource`. L'exemple suivant est ***incorrect*** car il contient deux éléments `Statement` dans l'objet de politique :
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "ec2:Describe*",
"Resource": "*"
},
{
"Effect": "Deny",
"Action": "s3:*",
"Resource": "*"
}
]
}
```
------
Dans la mesure où un objet de valeur peut être un tableau de plusieurs objets de valeur, vous pouvez résoudre ce problème en combinant les deux éléments `Statement` en un seul élément avec un tableau d'objets, comme illustré dans l'exemple suivant :
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "ec2:Describe*",
"Resource":"*"
},
{
"Effect": "Deny",
"Action": "s3:*",
"Resource": "*"
}
]
}
```
------
La valeur de l'élément `Statement` est un tableau d'objets. Dans l'exemple, le tableau se compose de deux objets, chaque objet étant une valeur correcte pour un élément `Statement` Les objets du tableau sont séparés par des virgules.
## La taille du document de politique dépasse la taille maximale autorisée
La taille maximale d'un document SCP est de 5 120 octets. Cette taille maximale inclut tous les caractères, y compris les espaces blancs. Pour réduire la taille de votre politique SCP, vous pouvez supprimer tous les espaces (comme les espacements et les sauts de ligne) qui ne figurent pas entre guillemets.
**Note**
Si vous enregistrez la politique en utilisant le AWS Management Console, les espaces blancs supplémentaires entre les éléments JSON et en dehors des guillemets sont supprimés et ne sont pas pris en compte. Si vous enregistrez la politique à l'aide d'une opération du SDK ou du AWS CLI, elle est enregistrée exactement comme vous l'avez indiqué et aucun caractère n'est automatiquement supprimé.
# Politiques de contrôle des ressources (RCPs)
**Note**
**Politiques de contrôle des services (SCPs) et politiques de contrôle des ressources (RCPs)**
Utilisez un SCP lorsque vous devez limiter les autorisations des principaux IAM sur les comptes membres de votre organisation.
Utilisez un RCP lorsque vous devez empêcher les principaux IAM externes aux comptes de votre organisation de faire des demandes d'accès aux ressources des comptes membres de votre organisation.
Pour plus d'informations, voir [Comprendre SCPs et RCPs](orgs_manage_policies_authorization_policies.md).
Les politiques de contrôle des ressources (RCPs) sont un type de politique d'organisation que vous pouvez utiliser pour gérer les autorisations au sein de votre organisation. RCPs offrent un contrôle centralisé sur le maximum d'autorisations disponibles pour les ressources de votre organisation. RCPs vous aider à garantir que les ressources de vos comptes respectent les directives de contrôle d'accès de votre organisation. RCPs ne sont disponibles que dans une organisation dont [toutes les fonctionnalités sont activées](orgs_manage_org_support-all-features.md). RCPs ne sont pas disponibles si votre organisation a activé uniquement les fonctionnalités de facturation consolidée. Pour obtenir des instructions sur l'activation RCPs, consultez[Désactivation d'un type de politique](enable-policy-type.md).
RCPs ne suffisent pas à eux seuls à octroyer des autorisations aux ressources de votre organisation. Aucune autorisation n'est accordée par un RCP. Un RCP définit un garde-fou en matière d'autorisations, ou fixe des limites, aux actions que les identités peuvent effectuer sur les ressources de vos organisations. L'administrateur doit toujours associer des politiques basées sur l'identité aux utilisateurs ou aux rôles IAM, ou des politiques basées sur les ressources aux ressources de vos comptes pour réellement accorder des autorisations. *Pour plus d'informations, consultez les sections Politiques basées sur l'[identité et politiques basées sur les ressources dans le Guide de l'](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_identity-vs-resource.html)utilisateur IAM.*
Les [autorisations effectives](#rcp-effects-on-permissions) sont l'intersection logique entre ce qui est autorisé par les RCPs [politiques de contrôle des services (SCPs)](orgs_manage_policies_scps.md) et ce qui est autorisé par les politiques basées sur l'identité et les ressources.
**RCPs n'affectent pas les ressources du compte de gestion**
RCPs n'affectent pas les ressources du compte de gestion. Ils n'affectent que les ressources des comptes membres de votre organisation. Cela signifie également que cela RCPs s'applique aux comptes de membres désignés comme administrateurs délégués.
****Rubriques dans cette page****
+ [Liste de Services AWS ce support RCPs](#rcp-supported-services)
+ [Tester les effets de RCPs](#rcp-warning-testing-effect)
+ [Taille maximale de RCPs](#rcp-size-limit)
+ [RCPs Attachement aux différents niveaux de l'organisation](#rcp-about-inheritance)
+ [Effets du RCP sur les autorisations](#rcp-effects-on-permissions)
+ [Ressources et entités non limitées par RCPs](#actions-not-restricted-by-rcps)
+ [Évaluation du RCP](orgs_manage_policies_rcps_evaluation.md)
+ [Syntaxe d’une RCP](orgs_manage_policies_rcps_syntax.md)
+ [Exemples de politiques de contrôle des ressources](orgs_manage_policies_rcps_examples.md)
## Liste de Services AWS ce support RCPs
RCPs s'appliquent aux actions suivantes Services AWS :
+ [Amazon S3](https://docs.aws.amazon.com/s3)
+ [AWS Security Token Service](https://docs.aws.amazon.com/iam)
+ [AWS Key Management Service](https://docs.aws.amazon.com/kms)
+ [Amazon SQS](https://docs.aws.amazon.com/sqs)
+ [AWS Secrets Manager](https://docs.aws.amazon.com/secretsmanager)
+ [Amazon Cognito](https://docs.aws.amazon.com/cognito)
+ [Amazon CloudWatch Logs](https://docs.aws.amazon.com/cloudwatch)
+ [Amazon DynamoDB](https://docs.aws.amazon.com/dynamodb)
+ [Amazon Elastic Container Registry](https://docs.aws.amazon.com/ecr)
+ [Amazon OpenSearch sans serveur](https://docs.aws.amazon.com/opensearch-service)
## Tester les effets de RCPs
AWS vous recommande vivement de ne pas vous rattacher RCPs à la racine de votre organisation sans avoir testé de manière approfondie l'impact de la politique sur les ressources de vos comptes. Vous pouvez commencer par les rattacher RCPs à des comptes de test individuels, les déplacer vers le OUs bas de la hiérarchie, puis gravir les échelons de la structure organisationnelle selon les besoins. L'un des moyens de déterminer l'impact consiste à examiner AWS CloudTrail les journaux pour détecter les erreurs d'accès refusé.
## Taille maximale de RCPs
Tous les caractères de votre RCP sont pris en compte dans sa [taille maximale](orgs_reference_limits.md#min-max-values). Les exemples présentés dans ce guide montrent les RCPs fichiers formatés avec des espaces blancs supplémentaires pour améliorer leur lisibilité. Toutefois, pour économiser de l'espace si la taille de votre politique approche de la taille maximale, vous pouvez supprimer les espaces, comme les espacements et les sauts de ligne qui ne figurent pas entre guillemets.
**Astuce**
Utilisez l'éditeur visuel pour créer votre RCP. Il supprime automatiquement les espaces superflus.
## RCPs Attachement aux différents niveaux de l'organisation
Vous pouvez les joindre RCPs directement à des comptes individuels ou à la racine de l'organisation. OUs Pour une explication détaillée du RCPs fonctionnement, voir[Évaluation du RCP](orgs_manage_policies_rcps_evaluation.md).
## Effets du RCP sur les autorisations
RCPs sont un type de politique Gestion des identités et des accès AWS (IAM). Elles sont étroitement liées aux politiques [basées sur les ressources](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_identity-vs-resource.html). Cependant, un RCP n'accorde jamais d'autorisations. RCPs Il s'agit plutôt de contrôles d'accès qui spécifient les autorisations maximales disponibles pour les ressources de votre organisation. Pour plus d’informations, consultez [Logique d’évaluation des politiques](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_evaluation-logic.html) dans le *Guide de l’utilisateur IAM*.
+ RCPs s'appliquent aux ressources d'un sous-ensemble de. Services AWS Pour de plus amples informations, veuillez consulter [Liste de Services AWS ce support RCPs](#rcp-supported-services).
+ RCPs ***affectent uniquement les ressources*** gérées par des comptes appartenant à l'organisation à laquelle le RCPs. Ils n'affectent pas les ressources provenant de comptes extérieurs à l'organisation. Prenons l'exemple d'un compartiment Amazon S3 appartenant au compte A d'une organisation. La politique de compartiment (une politique basée sur les ressources) accorde l'accès aux utilisateurs depuis le compte B en dehors de l'organisation. Un RCP est joint au compte A. Ce RCP s'applique au compartiment S3 du compte A même lorsque les utilisateurs y accèdent depuis le compte B. Cependant, ce RCP ne s'applique pas aux ressources du compte B lorsque les utilisateurs y accèdent depuis le compte A.
+ Un RCP restreint les autorisations pour les ressources dans les comptes des membres. Toute ressource d'un compte possède uniquement les autorisations autorisées par ***chaque*** parent supérieur. Si une autorisation est bloquée à un niveau supérieur au compte, une ressource du compte concerné ne dispose pas de cette autorisation, même si le propriétaire de la ressource applique une politique basée sur les ressources qui autorise un accès complet à n'importe quel utilisateur.
+ RCPs s'appliquent aux ressources autorisées dans le cadre d'une demande d'opération. Ces ressources se trouvent dans la colonne « Type de ressource » du tableau Action de la [référence d'autorisation de service](https://docs.aws.amazon.com/service-authorization/latest/reference/reference_policies_actions-resources-contextkeys.html#actions_table). Si une ressource est spécifiée dans la colonne « Type de ressource », les ressources RCPs du compte principal appelant sont appliquées. `s3:GetObject`Autorise, par exemple, la ressource de l'objet. Chaque fois qu'une `GetObject` demande est faite, un RCP applicable s'applique pour déterminer si le principal demandeur peut invoquer l'`GetObject`opération. Un *RCP applicable* est un RCP qui a été attaché à un compte, à une unité organisationnelle (UO) ou à la racine de l'organisation propriétaire de la ressource à laquelle vous accédez.
+ RCPs affectent uniquement les ressources des comptes des ***membres*** de l'organisation. Ils n'ont aucun effet sur les ressources du compte de gestion. Cela signifie également que cela RCPs s'applique aux comptes de membres désignés comme administrateurs délégués. Pour de plus amples informations, veuillez consulter [Bonnes pratiques relatives au compte de gestion](orgs_best-practices_mgmt-acct.md).
+ Lorsqu'un principal fait une demande pour accéder à une ressource d'un compte auquel est attaché un RCP (une ressource associée à un RCP applicable), le RCP est inclus dans la logique d'évaluation des politiques afin de déterminer si l'accès est autorisé ou refusé au principal.
+ RCPs ont un impact sur les autorisations effectives des principaux qui tentent d'accéder aux ressources d'un compte membre avec un RCP applicable, que les principaux appartiennent ou non aux mêmes organisations. Cela inclut les utilisateurs root. L'exception est lorsque les principaux sont des rôles liés à un service, car ils ne s'appliquent RCPs pas aux appels effectués par des rôles liés à un service. Les rôles liés à un service permettent Services AWS d'effectuer les actions nécessaires en votre nom et ne peuvent pas être limités par. RCPs
+ Les utilisateurs et les rôles doivent toujours bénéficier d'autorisations conformément aux politiques d'autorisation IAM appropriées, y compris les politiques basées sur l'identité et les ressources. Un utilisateur ou un rôle sans politique d'autorisation IAM n'a aucun accès, même si un RCP applicable autorise tous les services, toutes les actions et toutes les ressources.
## Ressources et entités non limitées par RCPs
Vous ***ne pouvez pas*** utiliser RCPs pour restreindre les éléments suivants :
+ Toute action sur les ressources du compte de gestion.
+ RCPs n'ont aucune incidence sur les autorisations effectives d'un rôle lié à un service. Les rôles liés à un service sont un type unique de rôle IAM directement lié à un AWS service et comprenant toutes les autorisations dont le service a besoin pour appeler d'autres AWS services en votre nom. Les autorisations des rôles liés à un service ne peuvent pas être limitées par. RCPs RCPs n'ont pas non plus d'impact sur AWS la capacité des services à assumer un rôle lié au service ; c'est-à-dire que la politique de confiance du rôle lié au service n'est pas non plus affectée par. RCPs
+ RCPs ne postulez pas auprès [Clés gérées par AWS de AWS Key Management Service](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#aws-managed-cmk). Clés gérées par AWS sont créés, gérés et utilisés en votre nom par un Service AWS. Vous ne pouvez pas modifier ou gérer leurs autorisations.
+ RCPs n'ont aucune incidence sur les autorisations suivantes :
****
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/organizations/latest/userguide/orgs_manage_policies_rcps.html)
# Évaluation du RCP
**Note**
Les informations contenues dans cette section ne s'appliquent ***pas*** aux types de politiques de gestion, notamment les politiques de sauvegarde, les politiques de balises, les politiques relatives aux applications de chat ou les politiques de désactivation des services d'intelligence artificielle. Pour de plus amples informations, veuillez consulter [Fonctionnement de l'héritage des politiques de gestion](orgs_manage_policies_inheritance_mgmt.md).
Comme vous pouvez associer plusieurs politiques de contrôle des ressources (RCPs) à différents niveaux AWS Organizations, comprendre comment RCPs elles sont évaluées peut vous aider à rédiger des politiques RCPs qui donneront le bon résultat.
## Stratégie d'utilisation RCPs
La `RCPFullAWSAccess` politique est une politique AWS gérée. Il est automatiquement attaché à la racine de l'organisation, à chaque unité d'organisation et à chaque compte de votre organisation lorsque vous activez les politiques de contrôle des ressources (RCPs). Vous ne pouvez pas dissocier cette politique. Ce RCP par défaut permet à tous les principaux et à toutes les actions de passer par une évaluation RCP, ce qui signifie que jusqu'à ce que vous commenciez à créer et à joindre RCPs, toutes vos autorisations IAM existantes continuent de fonctionner comme elles le faisaient. Cette politique AWS gérée n'accorde pas d'accès.
Vous pouvez utiliser des `Deny` instructions pour bloquer l'accès aux ressources de votre organisation. Lorsqu'une autorisation est **refusée** pour une ressource d'un compte spécifique, **tout RCP** partant de la racine et passant par chaque unité d'organisation située sur le chemin direct vers le compte (y compris le compte cible lui-même) peut refuser cette autorisation.
`Deny`les déclarations constituent un moyen efficace de mettre en œuvre des restrictions qui devraient s'appliquer à une plus grande partie de votre organisation. Par exemple, vous pouvez joindre une politique pour empêcher les identités externes à votre organisation d'accéder au niveau racine de vos ressources. Cette politique sera effective pour tous les comptes de l'organisation. AWS vous recommande vivement de ne pas vous rattacher RCPs à la racine de votre organisation sans avoir testé de manière approfondie l'impact de la politique sur les ressources de vos comptes. Pour de plus amples informations, veuillez consulter [Tester les effets de RCPs](orgs_manage_policies_rcps.md#rcp-warning-testing-effect).
Dans la figure 1, un RCP rattaché à l'unité d'organisation de production possède une `Deny` instruction explicite spécifiée pour un service donné. Par conséquent, le compte A et le compte B se verront refuser l'accès au service car une politique de refus attachée à tous les niveaux de l'organisation est évaluée pour tous les comptes OUs et membres sous-jacents.
![\[Exemple de structure organisationnelle avec une déclaration de refus jointe à l'unité de production et son impact sur le compte A et le compte B\]](http://docs.aws.amazon.com/fr_fr/organizations/latest/userguide/images/rcp_deny_1.png)
*Figure 1 : Exemple de structure organisationnelle avec une `Deny` déclaration jointe à l'unité de production et son impact sur le compte A et le compte B*
# Syntaxe d’une RCP
Les politiques de contrôle des ressources (RCPs) utilisent une syntaxe similaire à celle utilisée par les politiques [basées sur les ressources](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#policies_resource-based). Pour plus d'informations sur les politiques IAM et leur syntaxe, consultez [Présentation des politiques IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html) dans le *Guide de l'utilisateur IAM*.
Un RCP est structuré selon les règles du [JSON](http://json.org). Elle utilise les éléments qui sont décrits dans cette rubrique.
**Note**
Tous les caractères de votre RCP sont pris en compte dans sa [taille maximale](orgs_reference_limits.md#min-max-values). Les exemples présentés dans ce guide montrent les RCPs fichiers formatés avec des espaces blancs supplémentaires pour améliorer leur lisibilité. Toutefois, pour économiser de l'espace si la taille de votre politique approche de la taille maximale, vous pouvez supprimer les espaces, comme les espacements et les sauts de ligne qui ne figurent pas entre guillemets.
Pour des informations générales sur RCPs, voir[Politiques de contrôle des ressources (RCPs)](orgs_manage_policies_rcps.md).
## Récapitulatif des éléments
Le tableau suivant récapitule les éléments de stratégie que vous pouvez utiliser dans RCPs.
**Note**
**L'effet de n'`Allow`est pris en charge que pour la `RCPFullAWSAccess` politique**
L'effet de n'`Allow`est pris en charge que pour la `RCPFullAWSAccess` politique. Cette politique est automatiquement attachée à la racine de l'organisation, à chaque unité d'organisation et à chaque compte de votre organisation lorsque vous activez les politiques de contrôle des ressources (RCPs). Vous ne pouvez pas dissocier cette politique. Ce RCP par défaut permet à tous les principaux et à toutes les actions de passer par une évaluation RCP, ce qui signifie que jusqu'à ce que vous commenciez à créer et à joindre RCPs, toutes vos autorisations IAM existantes continuent de fonctionner comme elles le faisaient. Cela n'autorise pas l'accès.
| Element | Objectif |
| --- | --- |
| [Version](#rcp-syntax-version) | Spécifie les règles de syntaxe du langage à utiliser pour le traitement de la politique. |
| [Instruction](#rcp-syntax-statement) | Sert de conteneur pour les éléments de politique. Vous pouvez avoir plusieurs instructions dans RCPs. |
| [ID d’instruction (Sid)](#rcp-syntax-sid) | (Facultatif) Fournit un nom simple pour l'instruction. |
| [Effet](#rcp-syntax-effect) | Définit si l'instruction RCP refuse l'accès aux ressources d'un compte. |
| [Principal](#rcp-syntax-principal) | Spécifie le principal auquel l'accès aux ressources d'un compte est autorisé ou refusé. |
| [Action](#rcp-syntax-action) | Spécifie le AWS service et les actions que le RCP autorise ou refuse. |
| [Ressource](#rcp-syntax-resource) | Spécifie les AWS ressources auxquelles le RCP s'applique. |
| [NotResource](#rcp-syntax-resource) | Spécifie les AWS ressources exemptées du RCP. Utilisé au lieu de l'élément `Resource`. |
| [Condition](#rcp-syntax-condition) | Spécifie les conditions lorsque l’instruction est vigueur. |
**Topics**
+ [Récapitulatif des éléments](#rcp-elements-table)
+ [Élément `Version`](#rcp-syntax-version)
+ [Élément `Statement`](#rcp-syntax-statement)
+ [Élément ID d'instruction (`Sid`)](#rcp-syntax-sid)
+ [Élément `Effect`](#rcp-syntax-effect)
+ [Élément `Principal`](#rcp-syntax-principal)
+ [Élément `Action`](#rcp-syntax-action)
+ [Éléments `Resource` et `NotResource`](#rcp-syntax-resource)
+ [Élément `Condition`](#rcp-syntax-condition)
+ [Élément non pris en charge](#rcp-syntax-unsupported)
## Élément `Version`
Chaque RCP doit inclure un `Version` élément avec la valeur**"2012-10-17"**. Il s'agit de la même valeur de version que la version la plus récente des politiques d'autorisation IAM.
Pour plus d'informations, consultez [Éléments de politique JSON IAM : Version](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_version.html) dans le *Guide de l'utilisateur IAM*.
## Élément `Statement`
Un RCP est composé d'un ou de plusieurs `Statement` éléments. Vous ne pouvez avoir qu'un mot clé `Statement` dans une politique, mais la valeur peut être un tableau d'instructions JSON (encadré par des caractères [ ]).
L'exemple suivant montre une instruction unique composée d'`Resource`éléments simples `Effect` `Principal``Action`,, et.
```
{
"Statement": {
"Effect": "Deny",
"Principal": "*",
"Action": "s3:PutBucketPublicAccessBlock",
"Resource": "*"
}
}
```
Pour plus d'informations, consultez [Éléments de politique JSON IAM : Instruction](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_statement.html) dans le *Guide de l'utilisateur IAM*.
## Élément ID d'instruction (`Sid`)
L'élément `Sid` est un identifiant facultatif que vous pouvez fournir pour l'instruction de politique. Vous pouvez affecter une valeur `Sid` à chaque instruction d'un tableau d'instructions. L'exemple de RCP suivant montre un exemple d'`Sid`instruction.
```
{
"Statement": {
"Sid": "DenyBPAConfigurations",
"Effect": "Deny",
"Principal": "*",
"Action": "s3:PutBucketPublicAccessBlock",
"Resource": "*"
}
}
```
Pour plus d'informations, consultez [IAM JSON Policy Elements : Sid](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_sid.html) dans le guide de l'*utilisateur IAM*.
## Élément `Effect`
Chaque instruction doit contenir un élément `Effect`. En utilisant la valeur de `Deny` dans l'`Effect`élément, vous pouvez restreindre l'accès à des ressources spécifiques ou définir les conditions d'entrée en vigueur. RCPs Pour RCPs que vous puissiez créer cela, la valeur doit être`Deny`. Pour plus d'informations, consultez [Évaluation du RCP](orgs_manage_policies_rcps_evaluation.md) la section [Eléments de politique JSON IAM : effet](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_effect.html) dans le guide de l'*utilisateur IAM*.
## Élément `Principal`
Chaque déclaration doit contenir l'`Principal`élément. Vous ne pouvez spécifier « `*` » que dans l'`Principal`élément d'un RCP. Utilisez l'`Conditions`élément pour restreindre des principes spécifiques.
Pour plus d'informations, voir [IAM JSON Policy Elements : Principal](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html) dans le guide de l'*utilisateur IAM*.
## Élément `Action`
Chaque déclaration doit contenir l'`Action`élément.
La valeur de l'`Action`élément est une chaîne ou une liste (un tableau JSON) de chaînes identifiant les AWS services et les actions autorisés ou refusés par l'instruction.
Chaque chaîne est composée de l'abréviation du service (telle que « s3 », « sqs » ou « sts »), en minuscules, suivie de deux points, puis d'une action de ce service. En général, ils sont tous saisis avec chaque mot commençant par une lettre majuscule et le reste par une minuscule. Par exemple : `"s3:ListAllMyBuckets"`.
Vous pouvez également utiliser des caractères génériques tels que l'astérisque (\$1) ou le point d'interrogation (?) dans un RCP :
+ Utilisez un astérisque (\$1) en tant que caractère générique pour faire correspondre plusieurs actions partageant une partie d'un nom. La valeur `"s3:*"` signifie toutes les actions dans le service Amazon S3. La valeur `"sts:Get*"` correspond uniquement aux AWS STS actions qui commencent par « Obtenir ».
+ Utilisez le caractère générique point d'interrogation (?) pour faire correspondre un seul caractère.
**Note**
Caractères **génériques (\$1) et points d'interrogation (?) peut être utilisé n'importe où dans le nom de l'action**
Vous ne pouvez pas utiliser « \$1 » dans l'élément Action d'un RCP géré par le client et vous devez spécifier l'abréviation du service (tel que « s3 », « sqs » ou « sts ») auquel vous souhaitez restreindre l'accès.
Pour obtenir la liste des services pris en charge RCPs, consultez[Liste de Services AWS ce support RCPs](orgs_manage_policies_rcps.md#rcp-supported-services). Pour obtenir la liste des actions prises en Service AWS charge, consultez la section [Actions, ressources et clés de condition pour les AWS services](https://docs.aws.amazon.com/service-authorization/latest/reference/reference_policies_actions-resources-contextkeys.html.html) dans la *référence d'autorisation des services*.
Pour plus d'informations, consultez [Éléments de politique JSON IAM : Action](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_action.html) dans le *Guide de l'utilisateur IAM*.
## Éléments `Resource` et `NotResource`
Chaque instruction doit contenir l'`NotResource`élément `Resource` or.
Vous pouvez utiliser des caractères génériques tels que l'astérisque (\$1) ou le point d'interrogation (?) dans l'élément ressource :
+ Utilisez un astérisque (\$1) comme caractère générique pour faire correspondre plusieurs ressources qui partagent une partie du même nom.
+ Utilisez le caractère générique point d'interrogation (?) pour faire correspondre un seul caractère.
Pour plus d'informations, consultez [IAM JSON Policy Elements : Resource](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_resource.html) et [IAM JSON Policy Elements : NotResource](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_notresource.html) dans le guide de l'utilisateur *IAM*.
## Élément `Condition`
Vous pouvez spécifier un `Condition` élément dans les instructions de refus d'un RCP.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Deny",
"Principal": "*",
"Action": "s3:*",
"Resource": "*",
"Condition": {
"BoolIfExists": {
"aws:SecureTransport": "false"
}
}
}
]
}
```
------
Ce RCP refuse l'accès aux opérations et aux ressources d'Amazon S3 sauf si la demande est envoyée via un transport sécurisé (la demande a été envoyée via TLS).
Pour plus d'informations, consultez [Éléments de politique JSON IAM : Condition](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) dans le *Guide de l'utilisateur IAM*.
## Élément non pris en charge
Les éléments suivants ne sont pas pris en charge dans RCPs :
+ `NotPrincipal`
+ `NotAction`
# Exemples de politiques de contrôle des ressources
Les exemples de [politiques de contrôle des ressources (RCPs)](orgs_manage_policies_rcps.md) présentés dans cette rubrique sont fournis à titre informatif uniquement.
**Avant d'utiliser ces exemples**
Avant d'utiliser ces exemples RCPs dans votre organisation, tenez compte des points suivants :
Les [politiques de contrôle des ressources (RCPs)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_rcps.html) sont destinées à être utilisées comme des contrôles préventifs grossiers et n'accordent pas d'accès. Vous devez toujours associer des [politiques basées sur l'identité ou les ressources](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_identity-vs-resource.html) aux principaux IAM ou aux ressources de vos comptes pour accorder réellement des autorisations. Les autorisations effectives sont l'intersection logique entre SCP/RCP et une politique d'identité ou une politique de ressources. SCP/RCP Vous pouvez obtenir plus de détails sur les effets du RCP sur les autorisations [ici](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_rcps.html#rcp-effects-on-permissions).
Les politiques de contrôle des ressources de ce référentiel sont présentées à titre d'exemples. Vous ne devez pas joindre une RCPs pièce jointe sans avoir testé de manière approfondie l'impact de la politique sur les ressources de vos comptes. Une fois que vous avez une politique prête à mettre en œuvre, nous vous recommandons de la tester dans une organisation ou une unité d'organisation distincte pouvant représenter votre environnement de production. Une fois le test effectué, vous devez déployer les modifications à tester, OUs puis les déployer progressivement sur un ensemble plus large de données OUs au fil du temps.
La [RCPFullAWSAccess](https://console.aws.amazon.com/organizations/v2/home/policies/resource-control-policy/p-RCPFullAWSAccess)politique est automatiquement attachée à la racine de l'organisation, à chaque unité d'organisation et à chaque compte de votre organisation lorsque vous activez les politiques de contrôle des ressources (RCPs). Ce RCP par défaut permet à tous les principaux et à tous les accès aux actions de passer par une évaluation RCP. Vous pouvez utiliser les instructions Deny pour restreindre l'accès aux ressources de votre organisation. Vous devez également accorder les autorisations appropriées à vos principaux en utilisant des politiques basées sur l'identité ou les ressources.
Lorsqu'elle est attachée à une racine d'organisation, à une unité organisationnelle ou à un compte, une [politique de contrôle des ressources (RCP)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_rcps.html) permet de contrôler de manière centralisée les autorisations maximales disponibles pour les ressources de votre organisation, de votre unité organisationnelle ou d'un compte. Comme un RCP peut être appliqué à plusieurs niveaux dans une organisation, comprendre comment [RCPs sont évalués](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_rcps_evaluation.html) peut vous aider à rédiger des informations RCPs qui produiront les résultats attendus.
Les exemples de politiques présentés dans cette section illustrent la mise en œuvre et l'utilisation de RCPs. Ils ne sont ***pas*** destinés à être interprétés comme des recommandations ou des bonnes pratiques AWS officielles à mettre en œuvre exactement comme indiqué. Il est de votre responsabilité de tester soigneusement toute politique afin de déterminer si elle répond aux exigences commerciales de votre environnement. Les politiques de contrôle des ressources basées sur le refus peuvent involontairement limiter ou bloquer votre utilisation des AWS services, sauf si vous ajoutez les exceptions nécessaires à la politique.
**Astuce**
Avant la mise en œuvre RCPs, outre l'examen [AWS CloudTrail des journaux](https://aws.amazon.com/cloudtrail/), l'évaluation des [résultats d'accès externe d'IAM Access Analyzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-findings-view.html#access-analyzer-findings-view-external) peut aider à comprendre quelles ressources sont actuellement publiques ou partagées en externe.
## GitHub référentiel
+ [Exemples de politiques de contrôle des ressources](https://github.com/aws-samples/resource-control-policy-examples) - Ce GitHub référentiel contient des exemples de politiques pour démarrer ou affiner votre utilisation de AWS RCPs
# Politiques de gestion dans AWS Organizations
Les politiques de gestion vous permettent de configurer et de gérer Services AWS leurs fonctionnalités de manière centralisée. L'impact de ces politiques sur les comptes OUs et les comptes qui en héritent dépend du type de stratégie de gestion que vous appliquez. AWS Organizations Consultez les rubriques de cette section pour comprendre les termes et concepts pertinents relatifs aux politiques de gestion.
**Topics**
+ [Conditions préalables et autorisations](orgs_manage_policies_prereqs.md)
+ [Présentation de l'héritage des politiques](orgs_manage_policies_inheritance_mgmt.md)
+ [Afficher les politiques efficaces](orgs_manage_policies_effective.md)
+ [Alertes de politique non valides](invalid-policy-alerts.md)
+ [Politiques déclaratives](orgs_manage_policies_declarative.md)
+ [Politiques de sauvegarde](orgs_manage_policies_backup.md)
+ [Politiques de balises](orgs_manage_policies_tag-policies.md)
+ [Politiques relatives aux applications de chat](orgs_manage_policies_chatbot.md)
+ [Politiques de désactivation des services IA](orgs_manage_policies_ai-opt-out.md)
+ [Politiques du Security Hub](orgs_manage_policies_security_hub.md)
+ [Politiques d'Amazon Bedrock](orgs_manage_policies_bedrock.md)
+ [Politiques d'Amazon Inspector](orgs_manage_policies_inspector.md)
+ [Mettre à niveau les politiques de déploiement](orgs_manage_policies_upgrade_rollout.md)
+ [Politiques Amazon S3](orgs_manage_policies_s3.md)
+ [AWS Shield Politiques du directeur de la sécurité réseau](orgs_manage_policies_network_security_director.md)
# Conditions préalables et autorisations pour les politiques de gestion pour AWS Organizations
Cette page décrit les prérequis et les autorisations requises pour les politiques de gestion pour AWS Organizations.
**Topics**
+ [Conditions requises pour les politiques de gestion](#manage-policies-prereqs-overview)
+ [Autorisations pour les politiques de gestion](#manage-policies-permissions)
## Conditions requises pour les politiques de gestion
L'utilisation de politiques de gestion pour une organisation nécessite les éléments suivants :
+ [Toutes les fonctions doivent être activées](orgs_manage_org_support-all-features.md) pour votre organisation.
+ Vous devez être connecté au compte de gestion de votre organisation ou être un administrateur délégué.
+ Votre utilisateur ou rôle Gestion des identités et des accès AWS (IAM) doit disposer des autorisations répertoriées dans la section suivante.
## Autorisations pour les politiques de gestion
L'exemple de politique IAM suivant fournit des autorisations pour utiliser tous les aspects des politiques de gestion dans une organisation.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "OrganizationPolicies",
"Effect": "Allow",
"Action": [
"organizations:AttachPolicy",
"organizations:CreatePolicy",
"organizations:DeletePolicy",
"organizations:DescribeAccount",
"organizations:DescribeCreateAccountStatus",
"organizations:DescribeEffectivePolicy",
"organizations:DescribeOrganization",
"organizations:DescribeOrganizationalUnit",
"organizations:DescribePolicy",
"organizations:DetachPolicy",
"organizations:DisableAWSServiceAccess",
"organizations:DisablePolicyType",
"organizations:EnableAWSServiceAccess",
"organizations:EnablePolicyType",
"organizations:ListAccounts",
"organizations:ListAccountsForParent",
"organizations:ListAWSServiceAccessForOrganization",
"organizations:ListCreateAccountStatus",
"organizations:ListOrganizationalUnitsForParent",
"organizations:ListParents",
"organizations:ListPolicies",
"organizations:ListPoliciesForTarget",
"organizations:ListRoots",
"organizations:ListTargetsForPolicy",
"organizations:UpdatePolicy"
],
"Resource": "*"
}
]
}
```
------
Pour plus d'informations sur les politiques et les autorisations IAM, consultez le [Guide de l'utilisateur IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/).
# Fonctionnement de l'héritage des politiques de gestion
**Important**
Les informations de cette section ne s'appliquent ***pas*** aux politiques d'autorisation : politiques de contrôle des services (SCPs) et politiques de contrôle des ressources (RCPs). Pour plus d'informations sur le fonctionnement SCPs et le RCPs fonctionnement d'une AWS Organizations hiérarchie, reportez-vous [Évaluation du SCP](orgs_manage_policies_scps_evaluation.md) aux sections et[Évaluation du RCP](orgs_manage_policies_rcps_evaluation.md).
Vous pouvez attacher des politiques de gestion à n'importe quelle entité de votre organisation (racine, unité d'organisation [UO] ou compte) :
+ Lorsque vous attachez une stratégie de gestion à la racine de l'organisation, tous OUs les comptes de l'organisation héritent de cette politique.
+ Lorsque vous attachez une politique de gestion à une UO spécifique, les comptes sous-jacents à cette UO ou à une UO enfant héritent de cette politique.
+ Lorsque vous attachez une politique de gestion à un compte spécifique, elle affecte uniquement ce compte.
Étant donné que vous pouvez attacher des politiques de gestion à plusieurs niveaux de l'organisation, les comptes peuvent hériter de plusieurs politiques.
Les rubriques suivantes expliquent comment les politiques relatives aux parents et aux enfants sont intégrées à la politique effective d'un compte.
**Topics**
+ [Terminologie](inheritance-terminology.md)
+ [Types de politiques de gestion](syntax-inheritance.md)
+ [Opérateurs d'héritage](policy-operators.md)
+ [Exemples d'héritages](inheritance-examples.md)
# Terminologie de l'héritage
Cette rubrique utilise les termes suivants en ce qui concerne l'héritage des politiques de gestion.
**Héritage de politique**
Interaction des politiques à différents niveaux d'une organisation, allant de la racine supérieure de l'organisation, en passant par la hiérarchie des unités d'organisation (UO) jusqu'aux comptes individuels.
Vous pouvez associer des politiques à la racine de l'organisation OUs, à des comptes individuels et à n'importe quelle combinaison de ces entités d'organisation. L'héritage de politique désigne les politiques attachées à la racine de l'organisation ou à une UO. Tous les comptes membres de la racine de l'organisation ou de l'UO à laquelle une politique de gestion est attachée *héritent* de cette politique.
Par exemple, lorsque des politiques de gestion sont attachées à la racine de l'organisation, tous les comptes de l'organisation héritent de cette politique. En effet, tous les comptes d'une organisation se trouvent toujours sous la racine de l'organisation. Lorsque vous attachez une politique à une unité d'organisation spécifique, les comptes qui se trouvent directement sous cette unité d'organisation ou sous une unité d'organisation enfant héritent de cette politique. Étant donné que vous pouvez attacher des politiques à plusieurs niveaux de l'organisation, les comptes peuvent hériter de plusieurs documents de politique pour un même type de politique.
**Politiques parentes**
Politiques attachées plus haut dans l'arborescence de l'organisation que les politiques attachées à des entités plus bas dans l'arborescence.
Par exemple, si vous attachez la politique de gestion A à la racine de l'organisation, il s'agit simplement d'une politique. Si vous attachez également la politique B à une unité d'organisation sous cette racine, la politique A devient la politique parente de la politique B. La politique B est la politique enfant de la politique A. La politique A et la politique B fusionnent pour créer la politique effective pour les comptes de l'unité d'organisation.
**Politiques enfants**
Politiques attachées à un niveau plus bas dans l'arborescence de l'organisation que la politique parente.
**Politiques effectives**
Document de politique unique final qui spécifie les règles qui s'appliquent à un compte. La politique effective correspond à l'agrégation de toutes les politiques héritées par le compte, ainsi que des politiques directement attachées au compte. Pour de plus amples informations, veuillez consulter [Afficher les politiques de gestion efficaces](orgs_manage_policies_effective.md).
**Opérateurs d'héritage**
Opérateurs qui contrôlent la façon dont les politiques héritées fusionnent en une seule politique effective. Ces opérateurs sont considérés comme une fonction avancée. Les auteurs de politiques expérimentés peuvent les utiliser pour limiter les modifications qu'une politique enfant peut apporter et la manière dont les paramètres des politiques fusionnent. Pour de plus amples informations, veuillez consulter [Opérateurs d'héritage](policy-operators.md).
# Syntaxe des politiques et héritage pour les types de politiques de gestion
La manière exacte dont les politiques affectent les comptes OUs et qui en héritent dépend du type de stratégie de gestion que vous choisissez. Les types de politiques de gestion sont les suivants :
+ [Politiques déclaratives](orgs_manage_policies_declarative.md)
+ [Stratégies de sauvegarde](orgs_manage_policies_backup.md)
+ [Stratégies de balises](orgs_manage_policies_tag-policies.md)
+ [Politiques relatives aux applications de chat](orgs_manage_policies_chatbot.md)
+ [Politiques de désabonnement aux services d'IA](orgs_manage_policies_ai-opt-out.md)
+ [Politiques du Security Hub](orgs_manage_policies_security_hub.md)
+ [Politiques de Bedrock](orgs_manage_policies_bedrock.md)
+ [Politiques relatives aux inspecteurs](orgs_manage_policies_inspector.md)
+ [Mettre à niveau les politiques de déploiement](orgs_manage_policies_upgrade_rollout.md)
+ [Politiques S3](orgs_manage_policies_s3.md)
+ [AWS Shield Politiques du directeur de la sécurité réseau](orgs_manage_policies_network_security_director.md)
La syntaxe des types de politique de gestion inclut *[Opérateurs d'héritage](policy-operators.md)*les éléments suivants : ils vous permettent de spécifier avec une fine granularité quels éléments des politiques parentes sont appliqués et quels éléments peuvent être remplacés ou modifiés en cas d'héritage par un enfant OUs ou un compte.
La *politique efficace* est l'ensemble des règles héritées de la racine de l'organisation OUs et associées à celles directement associées au compte. La politique effective spécifie l'ensemble final des règles qui s'appliquent au compte. Vous pouvez afficher la politique effective pour un compte, qui inclut l'effet de tous les opérateurs d'héritage dans les politiques appliquées. Pour de plus amples informations, veuillez consulter [Afficher les politiques de gestion efficaces](orgs_manage_policies_effective.md).
# Opérateurs d'héritage
Les opérateurs d'héritage contrôlent la façon dont les politiques héritées et les politiques attachées à un compte fusionnent pour former la politique effective de ce compte. Ces opérateurs comprennent les opérateurs de définition de valeurs et les opérateurs de contrôle enfants.
Lorsque vous utilisez l'éditeur visuel de la AWS Organizations console, vous ne pouvez utiliser que l'`@@assign`opérateur. Les autres opérateurs sont considérés comme une fonction avancée. Pour utiliser les autres opérateurs, vous devez créer la politique JSON manuellement. Les auteurs de politiques expérimentés peuvent utiliser les opérateurs d'héritage pour contrôler les valeurs appliquées à la politique effective et limiter les modifications que les politiques enfants peuvent apporter.
Pour plus d'informations sur le fonctionnement de l'héritage des politiques dans une organisation, consultez[Exemples d'héritages](inheritance-examples.md).
## Opérateurs de définition de valeurs
Vous pouvez utiliser les opérateurs de définition de valeurs suivants pour contrôler la façon dont votre politique interagit avec ses politiques parentes :
+ `@@assign` : **remplace** tous les paramètres de politique hérités par les paramètres spécifiés. Si le paramètre spécifié n'est pas hérité, cet opérateur l'ajoute à la politique effective. Cet opérateur peut s'appliquer à n'importe quel paramètre de politique de n'importe quel type.
+ Pour les paramètres à valeur unique, cet opérateur remplace la valeur héritée par la valeur spécifiée.
+ Pour les paramètres à valeurs multiples (tableaux JSON), cet opérateur supprime toutes les valeurs héritées et les remplace par les valeurs spécifiées par cette politique.
+ `@@append` : **ajoute** les paramètres spécifiés (sans en supprimer) aux paramètres hérités. Si le paramètre spécifié n'est pas hérité, cet opérateur l'ajoute à la politique effective. Vous pouvez utiliser cet opérateur avec des paramètres à valeurs multiples uniquement.
+ Cet opérateur ajoute les valeurs spécifiées à toutes les valeurs du tableau hérité.
+ `@@remove` : **supprime** les paramètres hérités spécifiés de la politique effective, s'ils existent. Vous pouvez utiliser cet opérateur avec des paramètres à valeurs multiples uniquement.
+ Cet opérateur supprime uniquement les valeurs spécifiées du tableau de valeurs héritées des politiques parentes. D'autres valeurs peuvent continuer à exister dans le tableau et peuvent être héritées par les politiques enfants.
## Opérateurs de contrôle enfants
L'utilisation d'opérateurs de contrôle enfants est facultative. Vous pouvez utiliser l'opérateur `@@operators_allowed_for_child_policies` pour contrôler les opérateurs de définition de valeurs que les politiques enfants peuvent utiliser. Vous pouvez autoriser tous les opérateurs, certains opérateurs spécifiques, ou aucun opérateur. Par défaut, tous les opérateurs (`@@all`) sont autorisés.
+ `"@@operators_allowed_for_child_policies"`: `["@@all"]` — L'enfant OUs et les comptes peuvent utiliser n'importe quel opérateur dans les politiques. Par défaut, tous les opérateurs sont autorisés dans les politiques enfants.
+ `"@@operators_allowed_for_child_policies"`: `["@@assign", "@@append", "@@remove"]` — L'enfant OUs et les comptes ne peuvent utiliser que les opérateurs spécifiés dans les politiques relatives aux enfants. Vous pouvez spécifier un ou plusieurs opérateurs de définition de valeurs dans cet opérateur de contrôle enfant.
+ `"@@operators_allowed_for_child_policies"`: `["@@none"]` — L'enfant OUs et les comptes ne peuvent pas utiliser d'opérateurs dans les politiques. Vous pouvez utiliser cet opérateur pour verrouiller efficacement les valeurs définies dans une politique parente afin que les politiques enfants ne puissent pas ajouter, compléter ou supprimer ces valeurs.
**Note**
Si un opérateur de contrôle enfant hérité limite l'utilisation d'un opérateur, vous ne pouvez pas inverser cette règle dans une politique enfant. Si vous incluez des opérateurs de contrôle enfants dans une politique parente, ils limitent les opérateurs de définition de valeurs dans toutes les politiques enfants.
# Exemples d'héritages
Ces exemples illustrent le fonctionnement de l'héritage de politiques. Ils indiquent comment les politiques de balises parentes et enfants sont fusionnées en une politique de balises effective pour un compte.
Les exemples supposent que vous disposez de la structure d'organisation présentée dans le diagramme suivant.
![\[Une organisation dotée d'une racine, de deux OUs et de plusieurs comptes.\]](http://docs.aws.amazon.com/fr_fr/organizations/latest/userguide/images/org-structure-inheritance.png)
**Topics**
+ [Exemple 1 : Autoriser les stratégies enfants à remplacer *uniquement* les valeurs de balise](#example-assign-operator)
+ [Exemple 2 : Ajouter de nouvelles valeurs aux balises héritées](#example-append-operator)
+ [Exemple 3 : Supprimer des valeurs de balises héritées](#example-remove-operator)
+ [Exemple 4 : Restreindre les modifications dans les politiques enfants](#example-restrict-child)
+ [Exemple 5 : Conflits avec les opérateurs de contrôle enfants](#multiple-same-node-operators)
+ [Exemple 6 : Conflits liés à l'ajout de valeurs au même niveau de hiérarchie](#multiple-same-node-values)
## Exemple 1 : Autoriser les stratégies enfants à remplacer *uniquement* les valeurs de balise
La politique de balises suivante définit la clé de balise `CostCenter` et deux valeurs admises : `Development` et `Support`. Si vous l'attachez à la racine de l'organisation, la politique de balises s'applique à tous les comptes de l'organisation.
**Politique A : politique d'identifications attachée à la racine de l'organisation**
```
{
"tags": {
"costcenter": {
"tag_key": {
"@@assign": "CostCenter"
},
"tag_value": {
"@@assign": [
"Development",
"Support"
]
}
}
}
}
```
Supposons que vous souhaitiez que les OU1 utilisateurs utilisent une valeur de balise différente pour une clé et que vous souhaitiez appliquer la politique de balise pour des types de ressources spécifiques. Étant donné que la politique A ne spécifie pas les opérateurs de contrôle enfants qui sont autorisés, tous les opérateurs sont autorisés. Vous pouvez utiliser l'`@@assign`opérateur et créer une politique de balises telle que la suivante à laquelle vous pouvez vous associer OU1.
**Stratégie B — politique des OU1 balises**
```
{
"tags": {
"costcenter": {
"tag_key": {
"@@assign": "CostCenter"
},
"tag_value": {
"@@assign": [
"Sandbox"
]
},
"enforced_for": {
"@@assign": [
"redshift:*",
"dynamodb:table"
]
}
}
}
}
```
La spécification de l'opérateur `@@assign` pour la balise entraîne le résultat suivant lorsque la politique A et la politique B fusionnent pour constituer la *politique de balises effective* d'un compte :
+ La politique B remplace les deux valeurs de balise spécifiées dans la politique parente (la politique A). Le résultat est que `Sandbox` est la seule valeur conforme pour la clé de balise `CostCenter`.
+ L'ajout de `enforced_for` indique que la balise `CostCenter` *doit* être la valeur de balise spécifiée sur toutes les ressources Amazon Redshift et les tables Amazon DynamoDB.
Comme le montre le diagramme, OU1 inclut deux comptes : 111111111111 et 222222222222.
**Stratégie de balise effective obtenue pour les comptes 111111111111 et 222222222222**
**Note**
Vous ne pouvez pas utiliser directement le contenu d'une politique effective affichée comme contenu d'une nouvelle politique. La syntaxe n'inclut pas les opérateurs nécessaires pour contrôler la fusion avec d'autres politiques enfants et parentes. L'affichage d'une politique effective n'a pour but que de comprendre les résultats de la fusion.
```
{
"tags": {
"costcenter": {
"tag_key": "CostCenter",
"tag_value": [
"Sandbox"
],
"enforced_for": [
"redshift:*",
"dynamodb:table"
]
}
}
}
```
## Exemple 2 : Ajouter de nouvelles valeurs aux balises héritées
Dans certains cas, vous souhaitez que tous les comptes de votre organisation spécifient une clé de balise avec une courte liste de valeurs admises. Pour les comptes d'une unité d'organisation, vous souhaiterez peut-être autoriser une valeur supplémentaire que seuls ces comptes peuvent spécifier lors de la création de ressources. Cet exemple spécifie la procédure à suivre à l'aide de l'opérateur `@@append`. L'opérateur `@@append` est une fonction avancée.
Comme pour l'exemple 1, cet exemple commence par la politique A comme politique de balises attachée à la racine de l'organisation.
**Politique A : politique d'identifications attachée à la racine de l'organisation**
```
{
"tags": {
"costcenter": {
"tag_key": {
"@@assign": "CostCenter"
},
"tag_value": {
"@@assign": [
"Development",
"Support"
]
}
}
}
}
```
Pour cet exemple, attachez la politique C à OU2. La différence dans cet exemple est que l'utilisation de l'opérateur `@@append` dans la politique C *ajoute* des valeurs à la liste des valeurs admises ainsi que la règle `enforced_for` plutôt que d'écraser la liste.
**Stratégie C — politique de OU2 balises pour l'ajout de valeurs**
```
{
"tags": {
"costcenter": {
"tag_key": {
"@@assign": "CostCenter"
},
"tag_value": {
"@@append": [
"Marketing"
]
},
"enforced_for": {
"@@append": [
"redshift:*",
"dynamodb:table"
]
}
}
}
}
```
L'association de la politique C à OU2 a les effets suivants lorsque la politique A et la politique C fusionnent pour former la politique de balises effective pour un compte :
+ Étant donné que la politique C inclut l'opérateur `@@append`, elle permet d'*ajouter* des valeurs à la liste des valeurs de balise admises spécifiées dans la politique A (plutôt que d'écraser la liste).
+ Comme dans la politique B, l'ajout de `enforced_for` indique que la balise `CostCenter` doit être utilisée comme valeur de balise spécifiée sur toutes les ressources Amazon Redshift et les tables Amazon DynamoDB. L'écrasement (`@@assign`) et l'ajout (`@@append`) ont le même effet si la politique parente n'inclut pas d'opérateur de contrôle enfant qui limite les valeurs qu'une politique enfant peut spécifier.
Comme le montre le schéma, OU2 inclut un compte : 999999999999. La politique A et la politique C fusionnent pour créer la politique de balises effective du compte 999999999999.
**Stratégie de balise effective pour le compte 999999999999**
**Note**
Vous ne pouvez pas utiliser directement le contenu d'une politique effective affichée comme contenu d'une nouvelle politique. La syntaxe n'inclut pas les opérateurs nécessaires pour contrôler la fusion avec d'autres politiques enfants et parentes. L'affichage d'une politique effective n'a pour but que de comprendre les résultats de la fusion.
```
{
"tags": {
"costcenter": {
"tag_key": "CostCenter",
"tag_value": [
"Development",
"Support",
"Marketing"
],
"enforced_for": [
"redshift:*",
"dynamodb:table"
]
}
}
}
```
## Exemple 3 : Supprimer des valeurs de balises héritées
Dans certains cas, la politique de balises attachée à l'organisation peut définir plus de valeurs de balise que vous ne souhaitez qu'un compte en utilise. Cet exemple décrit comment réviser une politique de balise à l'aide de l'opérateur `@@remove`. `@@remove` est une fonction avancée.
Comme pour les autres exemples, cet exemple commence par la politique A comme politique de balises attachée à la racine de l'organisation.
**Politique A : politique d'identifications attachée à la racine de l'organisation**
```
{
"tags": {
"costcenter": {
"tag_key": {
"@@assign": "CostCenter"
},
"tag_value": {
"@@assign": [
"Development",
"Support"
]
}
}
}
}
```
Pour cet exemple, attachez la politique D au compte 999999999999.
**Politique D : politique d'identifications attachée au compte 999999999999 pour supprimer des valeurs**
```
{
"tags": {
"costcenter": {
"tag_key": {
"@@assign": "CostCenter"
},
"tag_value": {
"@@remove": [
"Development",
"Marketing"
],
"enforced_for": {
"@@remove": [
"redshift:*",
"dynamodb:table"
]
}
}
}
}
}
```
L'attachement de la politique D au compte 999999999999 a les effets suivants lorsque la politique A, la politique C et la politique D fusionnent pour constituer la politique de balises effective :
+ En supposant que vous ayez suivi tous les exemples précédents, les politiques B, C et C sont des politiques secondaires de A. La politique B est uniquement attachée à OU1, elle n'a donc aucun effet sur le compte 9999999999999.
+ Pour le compte 9999999999999, la seule valeur admise pour la clé de balise `CostCenter` est `Support`.
+ La conformité n'est pas appliquée pour la clé de balise `CostCenter`.
**Nouvelle stratégie de balise effective pour le compte 999999999999**
**Note**
Vous ne pouvez pas utiliser directement le contenu d'une politique effective affichée comme contenu d'une nouvelle politique. La syntaxe n'inclut pas les opérateurs nécessaires pour contrôler la fusion avec d'autres politiques enfants et parentes. L'affichage d'une politique effective n'a pour but que de comprendre les résultats de la fusion.
```
{
"tags": {
"costcenter": {
"tag_key": "CostCenter",
"tag_value": [
"Support"
]
}
}
}
```
Si vous ajoutez ultérieurement d'autres comptes OU2, leurs politiques en matière de balises en vigueur seront différentes de celles du compte 999999999999. En effet, la politique D plus restrictive n'est attachée qu'au niveau du compte et pas à l'unité d'organisation.
## Exemple 4 : Restreindre les modifications dans les politiques enfants
Vous souhaiterez peut-être, dans certains cas, restreindre les modifications apportées dans les politiques enfants. Cet exemple décrit la procédure à suivre à l'aide d'opérateurs de contrôle enfants.
Cet exemple commence par une nouvelle politique de balises attachée à la racine de l'organisation et suppose que les politiques de balises ne sont pas encore attachées aux entités d'organisation.
**Politique E : politique de balises attachée à la racine de l'organisation pour restreindre les modifications apportées dans les politiques enfants**
```
{
"tags": {
"project": {
"tag_key": {
"@@operators_allowed_for_child_policies": ["@@none"],
"@@assign": "Project"
},
"tag_value": {
"@@operators_allowed_for_child_policies": ["@@append"],
"@@assign": [
"Maintenance",
"Escalations"
]
}
}
}
}
```
Lorsque vous attachez la politique E à la racine de l'organisation, elle empêche les politiques enfants de modifier la clé de balise `Project`. Les politiques enfants peuvent cependant remplacer ou ajouter des valeurs de balise.
Supposons que vous attachez ensuite la politique F suivante à une unité d'organisation.
**Politique F : politique d'identifications attachée à une unité organisationnelle**
```
{
"tags": {
"project": {
"tag_key": {
"@@assign": "PROJECT"
},
"tag_value": {
"@@append": [
"Escalations - research"
]
}
}
}
}
```
La fusion de la politique E et de la politique F a les effets suivants sur les comptes de l'unité d'organisation :
+ La politique F est une politique enfant de la politique E.
+ La politique F tente de modifier le traitement de la casse, mais elle ne le peut pas. En effet, la politique E inclut l'opérateur `"@@operators_allowed_for_child_policies": ["@@none"]` pour la clé de balise.
+ La politique F peut cependant ajouter des valeurs de balises pour la clé. En effet, la politique E inclut `"@@operators_allowed_for_child_policies": ["@@append"]` comme valeur de balise.
**Stratégie effective pour les comptes de l'unité organisationnelle**
**Note**
Vous ne pouvez pas utiliser directement le contenu d'une politique effective affichée comme contenu d'une nouvelle politique. La syntaxe n'inclut pas les opérateurs nécessaires pour contrôler la fusion avec d'autres politiques enfants et parentes. L'affichage d'une politique effective n'a pour but que de comprendre les résultats de la fusion.
```
{
"tags": {
"project": {
"tag_key": "Project",
"tag_value": [
"Maintenance",
"Escalations",
"Escalations - research"
]
}
}
}
```
## Exemple 5 : Conflits avec les opérateurs de contrôle enfants
Des opérateurs de contrôle enfants peuvent figurer dans des politiques de balises attachées au même niveau dans la hiérarchie de l'organisation. Dans ce cas, l'intersection des opérateurs autorisés est utilisée lorsque les politiques fusionnent pour constituer la politique effective des comptes.
Supposons que la politique G et la politique H sont attachées à la racine de l'organisation.
**Politique G : politique d'identifications 1 attachée à la racine de l'organisation**
```
{
"tags": {
"project": {
"tag_value": {
"@@operators_allowed_for_child_policies": ["@@append"],
"@@assign": [
"Maintenance"
]
}
}
}
}
```
**Politique H : politique d'identifications 2 attachée à la racine de l'organisation**
```
{
"tags": {
"project": {
"tag_value": {
"@@operators_allowed_for_child_policies": ["@@append", "@@remove"]
}
}
}
}
```
Dans cet exemple, une politique attachée à la racine de l'organisation définit que les valeurs de la clé de balise peuvent uniquement être complétées. L'autre politique attachée à la racine de l'organisation permet aux politiques enfants d'ajouter et de supprimer des valeurs. L'intersection de ces deux autorisations est utilisée pour les politiques enfants. Le résultat est que les politiques enfants peuvent ajouter des valeurs, mais pas les supprimer. Par conséquent, la politique enfant peut ajouter une valeur à la liste des valeurs de balise, mais ne peut pas supprimer la valeur `Maintenance`.
## Exemple 6 : Conflits liés à l'ajout de valeurs au même niveau de hiérarchie
Vous pouvez attacher plusieurs politiques de balises à chaque entité d'organisation. Lorsque vous effectuez cette opération, les politiques de balises attachées à la même entité d'organisation peuvent inclure des informations conflictuelles. Ces politiques sont évaluées en fonction de l'ordre dans lequel elles ont été attachées à l'entité d'organisation. Pour changer l'ordre d'évaluation des politiques, vous pouvez détacher une politique, puis la rattacher.
Supposons que la politique J est attachée à la racine de l'organisation en premier, puis que la politique K est attachée à la racine de l'organisation.
**PolitiqueJ : première politique d'identifications attachée à la racine de l'organisation**
```
{
"tags": {
"project": {
"tag_key": {
"@@assign": "PROJECT"
},
"tag_value": {
"@@append": ["Maintenance"]
}
}
}
}
```
**Politique K : deuxième politique d'identifications attachée à la racine de l'organisation**
```
{
"tags": {
"project": {
"tag_key": {
"@@assign": "project"
}
}
}
}
```
Dans cet exemple, la clé de balise `PROJECT` est utilisée dans la politique de balises effective car la politique qui l'a définie a été attachée à la racine de l'organisation en premier.
**Politique JK : politique d'identifications effective du compte**
La politique effective du compte est la suivante.
**Note**
Vous ne pouvez pas utiliser directement le contenu d'une politique effective affichée comme contenu d'une nouvelle politique. La syntaxe n'inclut pas les opérateurs nécessaires pour contrôler la fusion avec d'autres politiques enfants et parentes. L'affichage d'une politique effective n'a pour but que de comprendre les résultats de la fusion.
```
{
"tags": {
"project": {
"tag_key": "PROJECT",
"tag_value": [
"Maintenance"
]
}
}
}
```
# Afficher les politiques de gestion efficaces
Déterminez la politique de gestion efficace pour un compte au sein de votre organisation.
## Qu'est-ce qu'une politique de gestion efficace ?
La *politique effective* spécifie les règles finales qui s'appliquent à et Compte AWS pour un type de stratégie de gestion. Il s'agit de l'agrégation d'une politique de gestion dont le compte hérite, ainsi que de toutes les politiques relatives à ce type de stratégie de gestion directement associées au compte. Lorsque vous associez une politique de gestion à la racine de l'organisation, elle s'applique à tous les comptes de votre organisation. Lorsque vous associez une politique de gestion à une unité organisationnelle (UO), elle s'applique à tous OUs les comptes appartenant à l'UO. Lorsque vous associez une politique de gestion directement à un compte, elle ne s'applique qu'à celui-ci Compte AWS.
Pour de plus amples informations sur la façon dont les politiques de désactivation des services IA se combinent pour former politique effective finale, consultez [Fonctionnement de l'héritage des politiques de gestion](orgs_manage_policies_inheritance_mgmt.md).
**Exemple de politique de sauvegarde**
La politique de sauvegarde attachée à la racine de l'organisation peut spécifier que tous les comptes de l'organisation sauvegardent toutes les tables Amazon DynamoDB avec une fréquence de sauvegarde par défaut d'une fois par semaine. Une politique de sauvegarde séparée directement attachée à un compte membre contenant des informations critiques dans une table peut remplacer la fréquence par une valeur d'une fois par jour. La combinaison de ces politiques de sauvegarde constitue la politique de sauvegarde effective. Cette politique de sauvegarde effective est déterminée individuellement pour chaque compte de l'organisation. Le résultat de cet exemple est que tous les comptes de l'organisation sauvegardent leurs tables DynamoDB une fois par semaine, à l'exception d'un compte qui les sauvegarde chaque jour.
**Exemple de politique en matière de balises**
La politique de balises attachée à la racine de l'organisation peut définir une `CostCenter` balise avec quatre valeurs conformes. Une autre politique de balises attachée au compte peut limiter la clé `CostCenter` à seulement deux des quatre valeurs conformes. La combinaison de ces politiques de balises constitue la politique de balises effective. Au final, seules deux des quatre valeurs de balise conformes définies dans la politique de balises attachée à la racine de l'organisation sont conformes pour le compte.
**Exemple de politique d'applications de chat**
Amazon Q Developer dans les applications de chat réévaluera tout développeur Amazon Q créé précédemment dans les configurations d'applications de chat par rapport aux politiques d'applications de chat en vigueur et refusera toute action précédemment autorisée si elle est conforme aux paramètres autorisés et aux garde-fous de la politique effective. La politique en vigueur pour un compte membre définit les paramètres et les garde-fous autorisés. Par exemple, si une politique d'applications de chat interdisant l'accès aux chaînes publiques Slack est appliquée à un compte membre, le développeur Amazon Q existant dans les configurations d'applications de chat pour les chaînes publiques Slack du compte membre sera désactivé. Amazon Q Developer dans les applications de chat n'enverra pas de notifications et les membres de la chaîne ne pourront exécuter aucune tâche dans le canal bloqué. Dans la console des applications de chat Amazon Q Developer, les canaux concernés seront marqués comme désactivés avec un message d'erreur approprié à côté.
**Exemple de désabonnement aux services d'IA**
La politique de désactivation des services d'intelligence artificielle attachée à la racine de l'organisation peut spécifier que tous les comptes de l'organisation refusent l'utilisation du contenu par tous les services d'apprentissage AWS automatique. Une politique distincte de désactivation des services IA attachée directement à un compte membre spécifie qu'il accepte l'utilisation du contenu uniquement pour Amazon Rekognition. La combinaison de ces politiques de désactivation des services IA constitue la politique effective de désactivation des services IA. Par conséquent, tous les comptes de l'organisation sont désactivés Services AWS, à l'exception d'un compte qui souscrit à Amazon Rekognition.
## Comment consulter la politique de gestion efficace
Vous pouvez consulter la politique effective d'un type de politique de gestion pour un compte à partir de l' AWS Management Console AWS API ou AWS Command Line Interface.
**Autorisations minimales**
Pour consulter la politique effective d'un type de stratégie de gestion pour un compte, vous devez être autorisé à exécuter les actions suivantes :
`organizations:DescribeEffectivePolicy`
`organizations:DescribeOrganization` — requis uniquement si vous utilisez la console Organizations
------
#### [ AWS Management Console ]
**Pour consulter la politique effective d'un type de politique de gestion pour un compte**
1. Connectez-vous à la [console AWS Organizations](https://console.aws.amazon.com/organizations/v2). Vous devez vous connecter en tant qu'utilisateur IAM, assumer un rôle IAM ou vous connecter en tant qu'utilisateur racine ([non recommandé](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials)) dans le compte de gestion de l'organisation.
1. Sur la **[Comptes AWS](https://console.aws.amazon.com/organizations/v2/home/accounts)**page, choisissez le nom du compte pour lequel vous souhaitez consulter la politique effective. Vous devrez peut-être développer OUs (choisir le![\[Gray cloud icon representing cloud computing or storage services.\]](http://docs.aws.amazon.com/fr_fr/organizations/latest/userguide/images/console-expand.png)) pour trouver le compte que vous souhaitez.
1. Dans l'onglet **Stratégies**, choisissez le type de stratégie de gestion pour lequel vous souhaitez afficher la politique effective.
1. Choisissez **Afficher la politique effective pour cela Compte AWS**.
La console affiche la politique effective appliquée au compte spécifié.
**Note**
Vous ne pouvez pas copier-coller une politique efficace et l'utiliser comme JSON pour une autre politique sans modifications importantes. Les documents de politique doivent inclure les [opérateurs d'héritage](policy-operators.md) qui spécifient comment chaque paramètre est fusionné dans la politique effective finale.
------
#### [ AWS CLI & AWS SDKs ]
**Pour consulter la politique effective d'un type de politique de gestion pour un compte**
Vous pouvez utiliser l'une des méthodes suivantes pour afficher la politique effective :
+ AWS CLI: [describe-effective-policy](https://docs.aws.amazon.com/cli/latest/reference/organizations/describe-effective-policy.html)
L'exemple suivant illustre la politique effective de désactivation des services IA pour un compte.
```
$ aws organizations describe-effective-policy \
--policy-type AISERVICES_OPT_OUT_POLICY \
--target-id 123456789012
{
"EffectivePolicy": {
"PolicyContent": "{\"services\":{\"comprehend\":{\"opt_out_policy\":\"optOut\"}, ....TRUNCATED FOR BREVITY.... "opt_out_policy\":\"optIn\"}}}",
"LastUpdatedTimestamp": "2020-12-09T12:58:53.548000-08:00",
"TargetId": "123456789012",
"PolicyType": "AISERVICES_OPT_OUT_POLICY"
}
}
```
+ AWS SDKs: [DescribeEffectivePolicy](https://docs.aws.amazon.com/organizations/latest/APIReference/API_DescribeEffectivePolicy.html)
------
Pour plus d'informations sur les situations dans lesquelles une politique efficace peut devenir non valide, consultez la section [Affichage des alertes de stratégie non valides](https://docs.aws.amazon.com//organizations/latest/userguide/invalid-policy-alerts.html).
# À propos des alertes de politique efficaces non valides
*Les alertes de politique non valides* vous informent des politiques efficaces non valides et fournissent des mécanismes (APIs) pour identifier les comptes dont les politiques ne sont pas valides. AWS Organizations vous avertit de manière asynchrone lorsque la politique effective de l'un de vos comptes n'est pas valide. La notification apparaît sous forme de bannière sur la page de AWS Organizations console et est enregistrée en tant qu' AWS CloudTrail événement.
## Détectez les politiques de gestion efficaces non valides dans votre organisation
Vous pouvez consulter les politiques de gestion efficaces non valides de votre organisation de plusieurs manières : depuis la console de AWS gestion, l' AWS API, l'interface de ligne de AWS commande (CLI) ou sous forme d' AWS CloudTrail événement.
**Autorisations minimales**
Pour trouver les informations relatives aux politiques efficaces non valides d'un type de stratégie de gestion dans votre organisation, vous devez être autorisé à exécuter les actions suivantes :
`organizations:ListAccountsWithInvalidEffectivePolicy`
`organizations:ListEffectivePolicyValidationErrors`
`organizations:ListRoots`- obligatoire uniquement lors de l'utilisation de la console Organizations
------
#### [ AWS Management Console ]
**Pour afficher les politiques de gestion efficaces non valides depuis la console**
1. Connectez-vous à la [console AWS Organizations](https://console.aws.amazon.com/organizations/v2). Vous devez vous connecter en tant qu'utilisateur IAM, assumer un rôle IAM ou vous connecter en tant qu'utilisateur racine ([non recommandé](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials)) dans le compte de gestion de l'organisation.
1. Sur la **[Comptes AWS](https://console.aws.amazon.com/organizations/v2/home/accounts)**page de page, si les politiques en vigueur de votre organisation ne sont pas valides, une bannière d'avertissement s'affiche en haut de la page.
1. Dans la bannière, cliquez sur **Afficher les problèmes détectés** pour afficher la liste de tous les comptes de votre organisation dont les politiques en vigueur ne sont pas valides.
1. Pour chaque compte de la liste, sélectionnez **Afficher les problèmes** pour obtenir plus d'informations sur les erreurs associées à chaque compte figurant dans les sections **Problèmes de politique efficaces** de cette page.
------
#### [ AWS CLI & AWS SDKs ]
**Pour consulter la politique effective d'un type de politique de gestion pour un compte**
Les commandes suivantes vous permettent d'afficher les comptes dont les politiques efficaces ne sont pas valides.
+ AWS CLI: [list-accounts-with-invalid-politique efficace](https://docs.aws.amazon.com/cli/latest/reference/organizations/list-accounts-with-invalid-effective-policy.html)
+ AWS SDKs: [ListAccountsWithInvalidEffectivePolicy](https://docs.aws.amazon.com/organizations/latest/APIReference/API_ListAccountsWithInvalidEffectivePolicy.html)
**Les commandes suivantes vous aident à visualiser les erreurs de politique effectives sur un compte.**
+ AWS CLI: [list-effective-policy-validation-erreurs](https://docs.aws.amazon.com/cli/latest/reference/organizations/list-effective-policy-validation-errors.html)
+ AWS SDKs: [ListEffectivePolicyValidationErrors](https://docs.aws.amazon.com/organizations/latest/APIReference/API_ListEffectivePolicyValidationErrors.html)
------
**AWS CloudTrail**
Vous pouvez utiliser les AWS CloudTrail événements pour surveiller les cas où les comptes de votre organisation sont dotés de politiques de gestion efficaces non valides et lorsque ces politiques sont corrigées. Pour plus d'informations, consultez la section *Exemples de politiques efficaces* dans [Comprendre les entrées des fichiers AWS Organizations journaux](https://docs.aws.amazon.com//organizations/latest/userguide/orgs_cloudtrail-integration.html#understanding-service-name-entries).
Si vous recevez une notification de politique effective non valide, vous pouvez naviguer dans la AWS Organizations console ou les appeler APIs depuis votre compte de gestion ou d'administrateur délégué pour obtenir plus de détails sur le statut de comptes et de politiques spécifiques :
+ `ListAccountsWithInvalidEffectivePolicy`— Renvoie une liste des comptes de l'organisation dont les politiques effectives d'un type spécifié ne sont pas valides.
+ `ListEffectivePolicyValidationErrors`— Renvoie la liste des erreurs de validation pour un compte et un type de politique de gestion spécifiés. Les erreurs de validation contiennent des détails, notamment le code d'erreur, la description de l'erreur et les politiques contributives qui ont rendu la politique effective invalide.
## Quand une politique de gestion efficace peut être considérée comme non valide
Les politiques efficaces d'un compte peuvent devenir invalides si elles enfreignent les contraintes définies pour le type de politique en question. Par exemple, il se peut qu'il manque un paramètre obligatoire dans la politique effective finale ou qu'il dépasse certains quotas définis pour le type de stratégie.
**Exemple de politique de sauvegarde**
Supposons que vous créiez une politique de sauvegarde comportant neuf règles de sauvegarde et que vous l'associiez à la racine de votre organisation. Plus tard, vous créez une autre politique de sauvegarde pour le même plan de sauvegarde (avec deux règles supplémentaires) et vous l'associez à n'importe quel compte de l'organisation. Dans ce cas, il existe une politique en vigueur non valide sur le compte. Elle n'est pas valide car l'agrégation des deux politiques définit 11 règles pour le plan de sauvegarde. La limite est de 10 règles de sauvegarde par plan.
**Avertissement**
Si un compte de l'organisation possède une politique effective non valide, ce compte ne recevra pas de mises à jour de politique effectives pour le type de politique en question. Elle se poursuit avec la dernière politique valide appliquée pour le compte, sauf si toutes les erreurs sont corrigées.
**Exemples d'erreurs possibles pour des politiques efficaces**
+ `ELEMENTS_TOO_MANY`— Se produit lorsqu'un attribut spécifique d'une politique effective dépasse la limite autorisée, par exemple lorsque plus de 10 règles sont définies pour un plan de sauvegarde.
+ `ELEMENTS_TOO_FEW`— Se produit lorsqu'un attribut particulier d'une politique efficace n'atteint pas la limite minimale, par exemple lorsqu'aucune région n'est définie pour un plan de sauvegarde.
+ `KEY_REQUIRED`— Se produit lorsqu'une configuration requise est absente de la politique effective, par exemple lorsqu'une règle de sauvegarde est absente d'un plan de sauvegarde.
AWS Organizations valide les politiques efficaces avant de les appliquer aux comptes de votre organisation. Ce processus d'audit est particulièrement utile si votre structure organisationnelle est importante et si les politiques de votre organisation sont gérées par plusieurs équipes.
# Politiques déclaratives
Les politiques déclaratives vous permettent de déclarer et d'appliquer de manière centralisée la configuration souhaitée pour une donnée Service AWS à grande échelle au sein d'une organisation. Une fois connectée, la configuration est toujours maintenue lorsque le service ajoute de nouvelles fonctionnalités ou APIs. Utilisez des politiques déclaratives pour empêcher les actions non conformes. Par exemple, vous pouvez bloquer l'accès public à Internet aux ressources Amazon VPC au sein de votre organisation.
Les principaux avantages de l'utilisation de politiques déclaratives sont les suivants :
+ **Facilité d'utilisation** : vous pouvez appliquer la configuration de base pour un Service AWS avec quelques sélections dans les AWS Control Tower consoles AWS Organizations et ou avec quelques commandes à l'aide du AWS CLI & AWS SDKs.
+ **Définissez une fois et oubliez** : la configuration de base d'un Service AWS est toujours maintenue, même lorsque le service introduit de nouvelles fonctionnalités ou APIs. La configuration de base est également maintenue lorsque de nouveaux comptes sont ajoutés à une organisation ou lorsque de nouveaux directeurs et ressources sont créés.
+ **Transparence** : le rapport sur l'état du compte vous permet de consulter l'état actuel de tous les attributs pris en charge par les politiques déclaratives applicables aux comptes concernés. Vous pouvez également créer des messages d'erreur personnalisables, qui peuvent aider les administrateurs à rediriger les utilisateurs finaux vers des pages wiki internes ou fournir un message descriptif qui peut aider les utilisateurs finaux à comprendre pourquoi une action a échoué.
Pour obtenir la liste complète des attributs Services AWS et des attributs pris en charge, consultez[Supporté Services AWS et attributs](#orgs_manage_policies_declarative-supported-controls).
**Topics**
+ [Comment fonctionnent les politiques déclaratives](#orgs_manage_policies_declarative-how-work)
+ [Messages d'erreur personnalisés](#orgs_manage_policies_declarative-custom-message)
+ [Rapport sur l'état du compte](#orgs_manage_policies_declarative-account-status-report)
+ [Services pris en charge](#orgs_manage_policies_declarative-supported-controls)
+ [Prise en main](orgs_manage_policies-declarative_getting-started.md)
+ [Bonnes pratiques](orgs_manage_policies_declarative_best-practices.md)
+ [Génération du rapport sur l'état du compte](orgs_manage_policies_declarative_status-report.md)
+ [Syntaxe de politique déclarative et exemples](orgs_manage_policies_declarative_syntax.md)
## Comment fonctionnent les politiques déclaratives
Les politiques déclaratives sont appliquées dans le plan de contrôle du service, ce qui constitue une distinction importante par rapport aux politiques d'[autorisation telles que les politiques de contrôle des services (SCPs) et les politiques de contrôle des ressources (RCPs)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_authorization_policies.html). Alors que les politiques d'autorisation réglementent l'accès APIs, les politiques déclaratives sont appliquées directement au niveau du service pour faire respecter une intention durable. Cela garantit que la configuration de base est toujours appliquée, même lorsque de nouvelles fonctionnalités APIs sont introduites par le service.
Le tableau suivant permet d'illustrer cette distinction et fournit quelques cas d'utilisation.
****
| | Politiques de contrôle des services | Politiques de contrôle des ressources | Politiques déclaratives |
| --- | --- | --- | --- |
| Pourquoi ? | Définir et appliquer de manière centralisée des contrôles d'accès cohérents sur les principaux acteurs (tels que les utilisateurs IAM et les rôles IAM) à grande échelle. | Pour définir et appliquer de manière centralisée des contrôles d'accès cohérents sur les ressources à grande échelle | Définir et appliquer de manière centralisée la configuration de base pour les AWS services à grande échelle. |
| Comment ? | En contrôlant les autorisations d'accès maximales disponibles pour les principaux au niveau de l'API. | En contrôlant les autorisations d'accès maximales disponibles pour les ressources au niveau de l'API. | En appliquant la configuration souhaitée d'un Service AWS sans utiliser d'actions d'API. |
| Gère les rôles liés aux services ? | Non | Non | Oui |
| Mécanisme de feedback | Erreur SCP refusée à un accès non personnalisable. | Erreur RCP refusée à un accès non personnalisable. | Message d'erreur personnalisable. Pour de plus amples informations, veuillez consulter [Messages d'erreur personnalisés pour les politiques déclaratives](#orgs_manage_policies_declarative-custom-message). |
| Exemple de stratégie | [Empêcher les comptes des membres de quitter l'organisation](https://github.com/aws-samples/service-control-policy-examples/blob/main/Privileged-access-controls/Deny-member-accounts-from-leaving-your-AWS-organization.json) | [Limitez l'accès à vos ressources aux seules connexions HTTPS](https://github.com/aws-samples/resource-control-policy-examples/blob/main/Restrict-resource-access-patterns/Restrict-access-to-only-HTTPS-connections-to-your-resources.json) | [Paramètres des images autorisées](orgs_manage_policies_declarative_syntax.md#declarative-policy-ec2-ami-allowed-images) |
Une fois que vous avez [créé](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_policies_create.html#create-declarative-policy-procedure) et [joint](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_policies_attach.html) une politique déclarative, celle-ci est appliquée et appliquée dans l'ensemble de votre organisation. Les politiques déclaratives peuvent être appliquées à l'ensemble d'une organisation, à des unités organisationnelles (OUs) ou à des comptes. Les comptes rejoignant une organisation hériteront automatiquement de la politique déclarative de l'organisation. Pour de plus amples informations, veuillez consulter [Fonctionnement de l'héritage des politiques de gestion](orgs_manage_policies_inheritance_mgmt.md).
La *politique efficace* est l'ensemble des règles héritées de la racine de l'organisation OUs et associées à celles directement associées au compte. La politique effective spécifie l'ensemble final des règles qui s'appliquent au compte. Pour de plus amples informations, veuillez consulter [Afficher les politiques de gestion efficaces](orgs_manage_policies_effective.md).
Si une politique déclarative est [détachée](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_policies_detach.html), l'état de l'attribut revient à son état précédent avant que la politique déclarative ne soit attachée.
## Messages d'erreur personnalisés pour les politiques déclaratives
Les politiques déclaratives vous permettent de créer des messages d'erreur personnalisés. Par exemple, si une opération d'API échoue en raison d'une politique déclarative, vous pouvez définir le message d'erreur ou fournir une URL personnalisée, telle qu'un lien vers un wiki interne ou un lien vers un message décrivant l'échec. Si vous ne spécifiez pas de message d'erreur personnalisé, AWS Organizations fournit le message d'erreur par défaut suivant :`Example: This action is denied due to an organizational policy in effect`.
Vous pouvez également auditer le processus de création de politiques déclaratives, de mise à jour des politiques déclaratives et de suppression de politiques déclaratives avec. AWS CloudTrail CloudTrail peut signaler les défaillances des opérations d'API dues à des politiques déclaratives. Pour plus d'informations, consultez la section [Journalisation et surveillance](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_security_incident-response.html).
**Important**
N'incluez pas *d'informations personnelles identifiables (PII)* ou d'autres informations sensibles dans un message d'erreur personnalisé. Les informations personnelles incluent des informations générales qui peuvent être utilisées pour identifier ou localiser une personne. Il couvre des dossiers tels que les dossiers financiers, médicaux, éducatifs ou liés à l'emploi. Les exemples d'informations personnelles incluent les adresses, les numéros de compte bancaire et les numéros de téléphone.
## Rapport sur l'état du compte pour les politiques déclaratives
Le *rapport sur l'état du compte* vous permet de consulter l'état actuel de tous les attributs pris en charge par les politiques déclaratives applicables aux comptes concernés. Vous pouvez choisir les comptes et les unités organisationnelles (OUs) à inclure dans le champ d'application du rapport, ou choisir une organisation entière en sélectionnant la racine.
Ce rapport vous aide à évaluer le niveau de préparation en fournissant une ventilation par région et en indiquant si l'état actuel d'un attribut est *uniforme sur tous les comptes* (par le biais du`numberOfMatchedAccounts`) ou *incohérent* (par le`numberOfUnmatchedAccounts`). Vous pouvez également voir la *valeur la plus fréquente*, qui est la valeur de configuration la plus fréquemment observée pour l'attribut.
Dans la figure 1, un rapport d'état des comptes généré montre l'uniformité entre les comptes pour les attributs suivants : VPC Block Public Access et Image Block Public Access. Cela signifie que, pour chaque attribut, tous les comptes concernés ont la même configuration pour cet attribut.
Le rapport d'état des comptes généré indique des comptes incohérents pour les attributs suivants : paramètres d'images autorisés, valeurs par défaut des métadonnées d'instance, accès à la console série et accès public par blocage des instantanés. Dans cet exemple, chaque attribut présentant un compte incohérent est dû à l'existence d'un compte avec une valeur de configuration différente.
Si une valeur est la plus fréquente, elle est affichée dans la colonne correspondante. Pour des informations plus détaillées sur ce que contrôle chaque attribut, consultez [Syntaxe de politique déclarative et exemples de politiques](orgs_manage_policies_declarative_syntax.md).
Vous pouvez également développer un attribut pour voir la répartition par région. Dans cet exemple, l'accès public au bloc d'images est étendu et, dans chaque région, vous pouvez constater qu'il existe également une uniformité entre les comptes.
Le choix d'associer une politique déclarative pour appliquer une configuration de base dépend de votre cas d'utilisation spécifique. Utilisez le rapport sur l'état du compte pour vous aider à évaluer votre niveau de préparation avant de joindre une politique déclarative.
Pour plus d'informations, consultez la section [Génération du rapport sur l'état du compte](orgs_manage_policies_declarative_status-report.md).
![\[Exemple de rapport sur l'état du compte avec uniformité entre les comptes pour l'accès public par blocs VPC et par blocs d'images pour l'accès public\]](http://docs.aws.amazon.com/fr_fr/organizations/latest/userguide/images/declarative-status-report.png)
*Figure 1 : Exemple de rapport sur l'état du compte avec uniformité entre les comptes pour l'accès public par bloc VPC et pour l'accès public par bloc d'images.*
## Supporté Services AWS et attributs
### Attributs pris en charge pour les politiques déclaratives pour EC2
Le tableau suivant présente les attributs pris en charge pour les services liés à Amazon EC2.
**Politiques déclaratives pour EC2**
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/organizations/latest/userguide/orgs_manage_policies_declarative.html)
# Commencer à utiliser les politiques déclaratives
Suivez ces étapes pour commencer à utiliser les politiques déclaratives.
1. [Découvrez les autorisations dont vous devez disposer pour effectuer des tâches de politique déclarative](orgs_manage_policies_prereqs.md).
1. [Activez les politiques déclaratives pour votre organisation](enable-policy-type.md).
**Note**
**L'activation de l'accès sécurisé est requise**
Vous devez activer l'accès sécurisé pour le service où la politique déclarative appliquera une configuration de base. Cela crée un rôle lié à un service en lecture seule qui est utilisé pour générer le rapport d'état du compte indiquant la configuration existante pour les comptes de votre organisation.
**Utilisation de la console**
Si vous utilisez la console Organizations, cette étape fait partie du processus d'activation des politiques déclaratives.
**À l'aide du AWS CLI**
Si vous utilisez le AWS CLI, il en existe deux distincts APIs :
[EnablePolicyType](https://docs.aws.amazon.com/organizations/latest/APIReference/API_EnablePolicyType.html), que vous utilisez pour activer les politiques déclaratives.
[Activez AWSService Access](https://docs.aws.amazon.com/organizations/latest/APIReference/API_EnableAWSServiceAccess.html), que vous utilisez pour activer un accès sécurisé.
Pour plus d'informations sur la façon d'activer l'accès sécurisé pour un service spécifique à l'aide de la AWS CLI section, [Services AWS que vous pouvez utiliser avec AWS Organizations](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_integrate_services_list.html).
1. [Exécutez le rapport sur l'état du compte](orgs_manage_policies_declarative_status-report.md).
1. [Créez une politique déclarative](orgs_policies_create.md).
1. [Associez la politique déclarative à la racine, à l'unité d'organisation ou au compte de votre organisation](orgs_policies_attach.md).
1. [Consultez la politique déclarative effective combinée qui s'applique à un compte](orgs_manage_policies_effective.md).
Pour effectuer toutes ces étapes, vous devez vous connecter en tant qu'utilisateur IAM, assumer un rôle IAM ou vous connecter en tant qu'utilisateur racine ([non recommandé](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials)) dans le compte de gestion de l'organisation.
**Autres informations**
+ [Apprenez la syntaxe des politiques déclaratives et consultez des exemples de politiques](orgs_manage_policies_declarative_syntax.md)
# Bonnes pratiques d'utilisation des politiques déclaratives
AWS recommande les meilleures pratiques suivantes pour l'utilisation des politiques déclaratives.
## Tirez parti des évaluations de préparation
Utilisez le *rapport d'état des comptes* de politique déclarative pour évaluer l'état actuel de tous les attributs pris en charge par les politiques déclaratives pour les comptes concernés. Vous pouvez choisir les comptes et les unités organisationnelles (OUs) à inclure dans le champ d'application du rapport, ou choisir une organisation entière en sélectionnant la racine.
Ce rapport vous aide à évaluer le niveau de préparation en fournissant une ventilation par région et en indiquant si l'état actuel d'un attribut est *uniforme sur tous les comptes* (par le biais du`numberOfMatchedAccounts`) ou *incohérent* (par le`numberOfUnmatchedAccounts`). Vous pouvez également voir la *valeur la plus fréquente*, qui est la valeur de configuration la plus fréquemment observée pour l'attribut.
Le choix d'associer une politique déclarative pour appliquer une configuration de base dépend de votre cas d'utilisation spécifique.
Pour plus d'informations et un exemple illustratif, voir[Rapport sur l'état du compte pour les politiques déclaratives](orgs_manage_policies_declarative.md#orgs_manage_policies_declarative-account-status-report).
## Commencez petit, puis agrandissez
Pour simplifier le débogage, commencez par une politique de test. Validez le comportement et l'impact de chaque modification avant d'effectuer la suivante. Cette approche réduit le nombre de variables à prendre en compte en cas d'erreur ou de résultat inattendu.
Par exemple, vous pouvez commencer par une politique de test attachée à un compte unique dans un environnement de test non critique. Une fois que vous avez confirmé qu'elle fonctionne conformément à vos spécifications, vous pouvez déplacer progressivement la politique vers le haut de la structure de l'organisation pour inclure davantage de comptes et d'unités organisationnelles (OUs).
## Mettre en place des processus de révision
Mettez en œuvre des processus pour surveiller les nouveaux attributs déclaratifs, évaluer les exceptions aux politiques et apporter des ajustements afin de maintenir l'alignement sur les exigences opérationnelles et de sécurité de votre organisation.
## Validez les modifications en utilisant `DescribeEffectivePolicy`
Après avoir modifié une politique déclarative, vérifiez les politiques en vigueur pour les comptes représentatifs inférieurs au niveau auquel vous avez apporté la modification. Vous pouvez [consulter la politique effective à l'aide](orgs_manage_policies_effective.md) de l'opération [DescribeEffectivePolicy](https://docs.aws.amazon.com/organizations/latest/APIReference/API_DescribeEffectivePolicy.html)API AWS Management Console, de l'une de ses variantes AWS CLI ou du AWS SDK. Assurez-vous que la modification que vous avez apportée a eu l'impact escompté sur la politique effective.
## Communiquez et entraînez-vous
Assurez-vous que vos organisations comprennent l'objectif et l'impact de vos politiques déclaratives. Fournissez des conseils clairs sur les comportements attendus et sur la manière de gérer les défaillances dues à l'application des politiques.
# Génération du rapport sur l'état du compte pour les politiques déclaratives
Le *rapport sur l'état du compte* vous permet de consulter l'état actuel de tous les attributs pris en charge par les politiques déclaratives applicables aux comptes concernés. Vous pouvez choisir les comptes et les unités organisationnelles (OUs) à inclure dans le champ d'application du rapport, ou choisir une organisation entière en sélectionnant la racine.
Ce rapport vous aide à évaluer le niveau de préparation en fournissant une ventilation par région et en indiquant si l'état actuel d'un attribut est *uniforme sur tous les comptes* (par le biais du`numberOfMatchedAccounts`) ou *incohérent* (par le`numberOfUnmatchedAccounts`). Vous pouvez également voir la *valeur la plus fréquente*, qui est la valeur de configuration la plus fréquemment observée pour l'attribut.
Le choix d'associer une politique déclarative pour appliquer une configuration de base dépend de votre cas d'utilisation spécifique.
Pour plus d'informations et un exemple illustratif, voir[Rapport sur l'état du compte pour les politiques déclaratives](orgs_manage_policies_declarative.md#orgs_manage_policies_declarative-account-status-report).
## Conditions préalables
Avant de pouvoir générer un rapport sur l'état du compte, vous devez effectuer les étapes suivantes
1. L'`StartDeclarativePoliciesReport`API ne peut être appelée que par le compte de gestion ou les administrateurs délégués d'une organisation.
1. Vous devez disposer d'un compartiment S3 avant de générer le rapport (en créer un nouveau ou en utiliser un existant), il doit se trouver dans la même région que celle dans laquelle la demande est faite et il doit disposer d'une politique de compartiment S3 appropriée. Pour un exemple de politique S3, consultez *Exemple de politique Amazon S3* sous [Exemples](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_StartDeclarativePoliciesReport.html#API_StartDeclarativePoliciesReport_Examples) dans le manuel *Amazon EC2* API Reference
1. Vous devez activer l'accès sécurisé pour le service où la politique déclarative appliquera une configuration de base. Cela crée un rôle lié à un service en lecture seule qui est utilisé pour générer le rapport d'état du compte indiquant la configuration existante pour les comptes de votre organisation.
**Utilisation de la console**
Pour la console Organizations, cette étape fait partie du processus d'activation des politiques déclaratives.
**À l'aide du AWS CLI**
Pour ce faire AWS CLI, utilisez l'[API Enable AWSService Access](https://docs.aws.amazon.com/organizations/latest/APIReference/API_EnableAWSServiceAccess.html).
Pour plus d'informations sur la façon d'activer l'accès sécurisé pour un service spécifique à l'aide de la AWS CLI section, [Services AWS que vous pouvez utiliser avec AWS Organizations](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_integrate_services_list.html).
1. Un seul rapport par organisation peut être généré à la fois. Toute tentative de génération d'un rapport alors qu'un autre est en cours d'élaboration entraînera une erreur.
## Accédez au rapport sur l'état de conformité
**Autorisations minimales**
Pour générer un rapport sur l'état de conformité, vous devez être autorisé à exécuter les actions suivantes :
`ec2:StartDeclarativePoliciesReport`
`ec2:DescribeDeclarativePoliciesReports`
`ec2:GetDeclarativePoliciesReportSummary`
`ec2:CancelDeclarativePoliciesReport`
`organizations:DescribeAccount`
`organizations:DescribeOrganization`
`organizations:DescribeOrganizationalUnit`
`organizations:ListAccounts`
`organizations:ListDelegatedAdministrators`
`organizations:ListAWSServiceAccessForOrganization`
`s3:PutObject`
**Note**
Si votre compartiment Amazon S3 utilise le chiffrement SSE-KMS, vous devez également inclure l'`kms:GenerateDataKey`autorisation dans la politique.
------
#### [ AWS Management Console ]
Utilisez la procédure suivante pour générer un rapport sur l'état du compte.
**Pour générer un rapport sur l'état du compte**
1. Connectez-vous à la [console AWS Organizations](https://console.aws.amazon.com/organizations/v2). Vous devez vous connecter en tant qu'utilisateur IAM, assumer un rôle IAM ou vous connecter en tant qu'utilisateur racine ([non recommandé](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials)) dans le compte de gestion de l'organisation.
1. Sur la page **Politiques**, choisissez **Politiques déclaratives pour EC2**.
1. Sur la page **Politiques déclaratives pour EC2**, choisissez **Afficher le rapport d'état du compte** dans le menu déroulant **Actions**.
1. Sur la page **Afficher le rapport d'état du compte**, choisissez **Générer un rapport d'état**.
1. Dans le widget **Structure organisationnelle**, spécifiez les unités organisationnelles (OUs) que vous souhaitez inclure dans le rapport.
1. Sélectionnez **Soumettre**.
------
#### [ AWS CLI & AWS SDKs ]
**Pour générer un rapport sur l'état du compte**
Utilisez les opérations suivantes pour générer un rapport sur l'état de conformité, vérifier son état et consulter le rapport :
+ `ec2:start-declarative-policies-report`: Génère un rapport sur l'état du compte. Le rapport est généré de manière asynchrone et son élaboration peut prendre plusieurs heures. Pour plus d'informations, consultez [StartDeclarativePoliciesReport](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_StartDeclarativePoliciesReport.html)le manuel *Amazon EC2 API* Reference.
+ `ec2:describe-declarative-policies-report`: décrit les métadonnées d'un rapport sur l'état d'un compte, y compris l'état du rapport. Pour plus d'informations, consultez [DescribeDeclarativePoliciesReports](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_DescribeDeclarativePoliciesReports.html)le manuel *Amazon EC2 API* Reference.
+ `ec2:get-declarative-policies-report-summary`: Récupère un résumé du rapport sur l'état du compte. Pour plus d'informations, consultez [GetDeclarativePoliciesReportSummary](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_GetDeclarativePoliciesReportSummary.html)le manuel *Amazon EC2 API* Reference.
+ `ec2:cancel-declarative-policies-report`: annule la génération d'un rapport sur l'état du compte. Pour plus d'informations, consultez [CancelDeclarativePoliciesReport](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_CancelDeclarativePoliciesReport.html)le manuel *Amazon EC2 API* Reference.
Avant de générer un rapport, accordez aux politiques déclaratives EC2 un accès principal au compartiment Amazon S3 dans lequel le rapport sera stocké. Pour ce faire, associez la politique suivante au bucket. `amzn-s3-demo-bucket`Remplacez-le par le nom réel de votre compartiment Amazon S3 et `identity_ARN` par l'identité IAM utilisée pour appeler l'`StartDeclarativePoliciesReport`API.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "DeclarativePoliciesReportDelivery",
"Effect": "Allow",
"Principal": {
"AWS": "identity_ARN"
},
"Action": [
"s3:PutObject"
],
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket/*",
"Condition": {
"StringEquals": {
"aws:CalledViaLast": "organizations.amazonaws.com"
}
}
}
]
}
```
------
------
# Syntaxe de politique déclarative et exemples
Cette page décrit la syntaxe de la politique déclarative et fournit des exemples.
## Considérations
+ Lorsque vous configurez un attribut de service à l'aide d'une politique déclarative, cela peut avoir un impact sur plusieurs APIs. Toute action non conforme échouera.
+ Les administrateurs de compte ne seront pas en mesure de modifier la valeur de l'attribut de service au niveau du compte individuel.
## Syntaxe des politiques déclaratives
[Une politique déclarative est un fichier en texte brut structuré selon les règles du JSON.](http://json.org) La syntaxe des politiques déclaratives suit celle de tous les types de politiques de gestion. Pour une analyse complète de cette syntaxe, consultez [Syntaxe et héritage des politiques de gestion](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_inheritance_mgmt.html). Cette rubrique se concentre sur l'application de cette syntaxe générale aux exigences spécifiques du type de politique déclarative.
L'exemple suivant montre la syntaxe de base de la politique déclarative :
```
{
"ec2_attributes": {
"exception_message": {
"@@assign": "Your custom error message.https://myURL"
}
}
}
```
+ Le nom de clé du champ `ec2_attributes`. Les politiques déclaratives commencent toujours par un nom de clé fixe pour le donné Service AWS. Il s'agit de la ligne du haut dans l'exemple de politique ci-dessus. Actuellement, les politiques déclaratives ne prenaient en charge que les services liés à Amazon EC2.
+ Sous`ec2_attributes`, vous pouvez l'utiliser `exception_message` pour définir un message d'erreur personnalisé. Pour plus d'informations, consultez la section [Messages d'erreur personnalisés pour les politiques déclaratives](orgs_manage_policies_declarative.md#orgs_manage_policies_declarative-custom-message).
+ Sous`ec2_attributes`, vous pouvez insérer une ou plusieurs politiques déclaratives prises en charge. Pour ces schémas, voir[Politiques déclaratives prises en charge](#declarative-policy-examples).
## Politiques déclaratives prises en charge
Les attributs Services AWS et pris en charge par les politiques déclaratives sont les suivants. Dans certains des exemples suivants, la mise en forme des espaces JSON peut être compressée pour économiser de l'espace.
+ Accès public aux blocs VPC
+ Accès à la console série
+ Accès public au bloc d'images
+ Paramètres des images autorisées
+ Métadonnées de l'instance
+ Accès public à Snapshot Block
------
#### [ VPC Block Public Access ]
**Effet de la politique**
Contrôle si les ressources d'Amazon VPCs et des sous-réseaux peuvent accéder à Internet via des passerelles Internet ()IGWs. Pour plus d'informations, consultez [la section Configuration de l'accès à Internet](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-igw-internet-access.html) dans le *guide de l'utilisateur d'Amazon Virtual Private Cloud*.
**Contenu de la politique**
```
{
"ec2_attributes": {
"vpc_block_public_access": {
"internet_gateway_block": {
"mode": {
"@@assign": "block_ingress"
},
"exclusions_allowed": {
"@@assign": "enabled"
}
}
}
}
}
```
Les champs disponibles pour cet attribut sont les suivants :
+ `"internet_gateway"`:
+ `"mode"`:
+ `"off"`: le VPC BPA n'est pas activé.
+ `"block_ingress"`: Tout le trafic Internet vers le VPCs (à l'exception VPCs des sous-réseaux exclus) est bloqué. Seul le trafic à destination et en provenance des passerelles NAT et des passerelles Internet de sortie uniquement est autorisé, car ces passerelles autorisent uniquement l’établissement de connexions sortantes.
+ `"block_bidirectional"`: Tout le trafic à destination et en provenance des passerelles Internet et des passerelles Internet de sortie uniquement (à l'exception des réseaux exclus VPCs et des sous-réseaux) est bloqué.
+ `"exclusions_allowed"`: Une exclusion est un mode qui peut être appliqué à un seul VPC ou sous-réseau pour l'exempter du mode BPA VPC du compte et autoriser un accès bidirectionnel ou de sortie uniquement.
+ `"enabled"`: Les exclusions peuvent être créées par le compte.
+ `"disabled"`: Les exclusions ne peuvent pas être créées par le compte.
**Note**
Vous pouvez utiliser l'attribut pour configurer si les exclusions sont autorisées, mais vous ne pouvez pas créer d'exclusions avec cet attribut lui-même. Pour créer des exclusions, vous devez les créer dans le compte propriétaire du VPC. Pour plus d'informations sur la création d'exclusions BPA pour VPC, consultez la section [Créer et supprimer des exclusions](https://docs.aws.amazon.com//vpc/latest/userguide/security-vpc-bpa.html#security-vpc-bpa-exclusions) dans le guide de l'utilisateur Amazon *VPC*.
**Considérations**
Si vous utilisez cet attribut dans une politique déclarative, vous ne pouvez pas utiliser les opérations suivantes pour modifier la configuration appliquée aux comptes concernés. Cette liste n'est pas exhaustive :
+ `ModifyVpcBlockPublicAccessOptions`
+ `CreateVpcBlockPublicAccessExclusion`
+ `ModifyVpcBlockPublicAccessExclusion`
------
#### [ Serial Console Access ]
**Effet de la politique**
Contrôle si la console série EC2 est accessible. Pour plus d'informations sur la console série EC2, consultez la section Console série [EC2 dans le guide](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ec2-serial-console.html) de l'*utilisateur d'Amazon Elastic Compute Cloud*.
**Contenu de la politique**
```
{
"ec2_attributes": {
"serial_console_access": {
"status": {
"@@assign": "enabled"
}
}
}
}
```
Les champs disponibles pour cet attribut sont les suivants :
+ `"status"`:
+ `"enabled"`: l'accès à la console série EC2 est autorisé.
+ `"disabled"`: l'accès à la console série EC2 est bloqué.
**Considérations**
Si vous utilisez cet attribut dans une politique déclarative, vous ne pouvez pas utiliser les opérations suivantes pour modifier la configuration appliquée aux comptes concernés. Cette liste n'est pas exhaustive :
+ `EnableSerialConsoleAccess`
+ `DisableSerialConsoleAccess`
------
#### [ Image Block Public Access ]
**Effet de la politique**
Contrôle si Amazon Machine Images (AMIs) est partageable publiquement. Pour plus d'informations AMIs, consultez [Amazon Machine Images (AMIs)](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/AMIs.html) dans le *guide de l'utilisateur d'Amazon Elastic Compute Cloud*.
**Contenu de la politique**
```
{
"ec2_attributes": {
"image_block_public_access": {
"state": {
"@@assign": "block_new_sharing"
}
}
}
}
```
Les champs disponibles pour cet attribut sont les suivants :
+ `"state"`:
+ `"unblocked"`: Aucune restriction quant au partage public de AMIs.
+ `"block_new_sharing"`: Bloque le nouveau partage public de AMIs. AMIs qui ont déjà été partagés publiquement restent accessibles au public.
**Considérations**
Si vous utilisez cet attribut dans une politique déclarative, vous ne pouvez pas utiliser les opérations suivantes pour modifier la configuration appliquée aux comptes concernés. Cette liste n'est pas exhaustive :
+ `EnableImageBlockPublicAccess`
+ `DisableImageBlockPublicAccess`
------
#### [ Allowed Images Settings ]
**Effet de la politique**
Contrôle la découverte et l'utilisation d'Amazon Machine Images (AMI) dans Amazon EC2 avec Allowed. AMIs Pour plus d'informations AMIs, consultez la section [Contrôler la découverte et l'utilisation des AMI dans Amazon EC2 avec Autorisé AMIs](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ec2-allowed-amis.html) dans le guide de l'*utilisateur d'Amazon Elastic Compute Cloud*.
**Contenu de la politique**
Les champs disponibles pour cet attribut sont les suivants :
```
{
"ec2_attributes": {
"allowed_images_settings": {
"state": {
"@@assign": "enabled"
},
"image_criteria": {
"criteria_1": {
"allowed_image_providers": {
"@@append": [
"amazon"
]
}
}
}
}
}
}
```
+ `"state"`:
+ `"enabled"`: L'attribut est actif et appliqué.
+ `"disabled"`: L'attribut est inactif et n'est pas appliqué.
+ `"audit_mode"`: L'attribut est en mode audit. Cela signifie qu'il identifiera les images non conformes mais ne bloquera pas leur utilisation.
+ `"image_criteria"`: liste de critères. Support d'un maximum de 10 critères dont le nom est compris entre criteria\$11 et criteria\$110
+ `"allowed_image_providers"`: liste séparée par des virgules d'alias de compte IDs ou de propriétaire à 12 chiffres pour Amazon, aws\$1marketplace, aws\$1backup\$1vault.
+ `"image_names"`: noms des images autorisées. Les noms peuvent inclure des caractères génériques (? et \$1). Longueur : 1 à 128 caractères Avec ? , le minimum est de 3 caractères.
+ `"marketplace_product_codes"`: Les codes de produit AWS Marketplace pour les images autorisées. Longueur : 1 à 25 caractères Caractères valides : lettres (A—Z, a—z) et chiffres (0—9)
+ `"creation_date_condition"`: âge maximum pour les images autorisées.
+ `"maximum_days_since_created"`: nombre maximal de jours écoulés depuis la création de l'image. Plage valide : Valeur minimum de 0. Valeur maximale de 2147483647.
+ `"deprecation_time_condition"`: période maximale depuis la dépréciation pour les images autorisées.
+ `"maximum_days_since_deprecated"`: nombre maximal de jours écoulés depuis que l'image est devenue obsolète. Plage valide : Valeur minimum de 0. Valeur maximale de 2147483647.
**Considérations**
Si vous utilisez cet attribut dans une politique déclarative, vous ne pouvez pas utiliser les opérations suivantes pour modifier la configuration appliquée aux comptes concernés. Cette liste n'est pas exhaustive :
+ `EnableAllowedImagesSettings`
+ `ReplaceImageCriteriaInAllowedImagesSettings`
+ `DisableAllowedImagesSettings`
------
#### [ Instance Metadata ]
**Effet de la politique**
Contrôle les paramètres IMDS par défaut et l'application de l'IMDSv2 pour tous les nouveaux lancements d'instances EC2. Pour plus d'informations sur les paramètres par défaut et leur IMDSv2 mise en œuvre, consultez la section [Utiliser les métadonnées d'instance pour gérer votre instance EC2 dans le guide](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ec2-instance-metadata.html) de l'utilisateur *Amazon* EC2.
**Contenu de la politique**
Les champs disponibles pour cet attribut sont les suivants :
```
{
"ec2_attributes": {
"instance_metadata_defaults": {
"http_tokens": {
"@@assign": "required"
},
"http_put_response_hop_limit": {
"@@assign": "4"
},
"http_endpoint": {
"@@assign": "enabled"
},
"instance_metadata_tags": {
"@@assign": "enabled"
},
"http_tokens_enforced": {
"@@assign": "enabled"
}
}
}
}
```
+ `"http_tokens"`:
+ `"no_preference"`: Les autres valeurs par défaut s'appliquent. Par exemple, les paramètres par défaut de l'AMI, le cas échéant.
+ `"required"`: IMDSv2 doit être utilisé. IMDSv1 n'est pas autorisé.
+ `"optional"`: Les deux IMDSv1 IMDSv2 sont autorisés.
**Note**
**Version des métadonnées**
Avant `http_tokens` de définir sur `required` (IMDSv2 doit être utilisé), assurez-vous qu'aucune de vos instances ne passe d' IMDSv1 appel. Pour plus d'informations, consultez [Étape 1 : Identifier les instances avec IMDSv2 =optional et auditer IMDSv1 l'utilisation](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/instance-metadata-transition-to-version-2.html#path-step-1) dans le guide de l'*utilisateur Amazon EC2*.
+ `"http_put_response_hop_limit"`:
+ `"Integer"`: valeur entière comprise entre -1 et 64, représentant le nombre maximal de sauts que le jeton de métadonnées peut effectuer. Pour n'indiquer aucune préférence, spécifiez -1.
**Note**
**Limite de sauts**
Si `http_tokens` cette valeur est définie sur`required`, il est recommandé de `http_put_response_hop_limit` définir une valeur minimale de 2. Pour plus d'informations, consultez la section [Considérations relatives à l'accès aux métadonnées des instances](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/instancedata-data-retrieval.html#imds-considerations) dans le *guide de l'utilisateur d'Amazon Elastic Compute Cloud*.
+ `"http_endpoint"`:
+ `"no_preference"`: Les autres valeurs par défaut s'appliquent. Par exemple, les paramètres par défaut de l'AMI, le cas échéant.
+ `"enabled"`: le point de terminaison du service de métadonnées de l'instance est accessible.
+ `"disabled"`: le point de terminaison du service de métadonnées de l'instance n'est pas accessible.
+ `"instance_metadata_tags"`:
+ `"no_preference"`: Les autres valeurs par défaut s'appliquent. Par exemple, les paramètres par défaut de l'AMI, le cas échéant.
+ `"enabled"`: Les balises d'instance sont accessibles à partir des métadonnées de l'instance.
+ `"disabled"`: Les balises d'instance ne sont pas accessibles à partir des métadonnées de l'instance.
+ `"http_tokens_enforced":`
+ `"no_preference"`: Les autres valeurs par défaut s'appliquent. Par exemple, les paramètres par défaut de l'AMI, le cas échéant.
+ `"enabled"`: IMDSv2 doit être utilisé. Les tentatives de lancement d'une IMDSv1 instance ou d'activation IMDSv1 sur des instances existantes échoueront.
+ `"disabled"`: Les deux IMDSv1 IMDSv2 sont autorisés.
**Avertissement**
**IMDSv2 mise en application**
IMDSv2 L'activation de l'application tout en autorisant IMDSv1 et IMDSv2 (jeton facultatif) entraînera des échecs de lancement, sauf si elle IMDSv1 est explicitement désactivée, soit par le biais des paramètres de lancement, soit par le biais des paramètres de lancement ou des paramètres par défaut de l'AMI. Pour plus d'informations, consultez la section [Échec du lancement d'une instance IMDSv1 activée](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/troubleshooting-launch.html#launching-an-imdsv1-enabled-instance-fails) dans le guide de l'*utilisateur Amazon EC2.*
------
#### [ Snapshot Block Public Access ]
**Effet de la politique**
Contrôle si les instantanés Amazon EBS sont accessibles au public. Pour plus d'informations sur les instantanés EBS, consultez les instantanés [Amazon EBS dans le guide de l'utilisateur](https://docs.aws.amazon.com/ebs/latest/userguide/ebs-snapshots.html) d'*Amazon Elastic Block Store.*
**Contenu de la politique**
```
{
"ec2_attributes": {
"snapshot_block_public_access": {
"state": {
"@@assign": "block_new_sharing"
}
}
}
}
```
Les champs disponibles pour cet attribut sont les suivants :
+ `"state"`:
+ `"block_all_sharing"`: bloque tout partage public d'instantanés. Les instantanés déjà partagés publiquement sont considérés comme privés et ne sont plus accessibles au public.
+ `"block_new_sharing"`: bloque le nouveau partage public d'instantanés. Les instantanés déjà partagés publiquement restent accessibles au public.
+ `"unblocked"`: Aucune restriction quant au partage public des instantanés.
**Considérations**
Si vous utilisez cet attribut dans une politique déclarative, vous ne pouvez pas utiliser les opérations suivantes pour modifier la configuration appliquée aux comptes concernés. Cette liste n'est pas exhaustive :
+ `EnableSnapshotBlockPublicAccess`
+ `DisableSnapshotBlockPublicAccess`
------
# Politiques de sauvegarde
Les politiques de sauvegarde vous permettent de gérer et d'appliquer de manière centralisée des plans de sauvegarde aux AWS ressources des comptes d'une organisation.
[AWS Backup](https://docs.aws.amazon.com/aws-backup/latest/devguide/)vous permet de créer des [plans de sauvegarde](https://docs.aws.amazon.com/aws-backup/latest/devguide/about-backup-plans.html) qui définissent le mode de sauvegarde de vos AWS ressources. Les règles du plan incluent divers paramètres, tels que la fréquence des sauvegardes, la période pendant laquelle la sauvegarde a lieu, Région AWS le contenu des ressources à sauvegarder et le coffre-fort dans lequel stocker la sauvegarde. Vous pouvez ensuite appliquer un plan de sauvegarde aux groupes de AWS ressources identifiés à l'aide de balises. Vous devez également identifier un rôle Gestion des identités et des accès AWS (IAM) qui AWS Backup autorise l'exécution de l'opération de sauvegarde en votre nom.
Les politiques de sauvegarde AWS Organizations combinent tous ces éléments dans des documents texte [JSON](https://json.org). Vous pouvez associer une politique de sauvegarde à tous les éléments de la structure de votre organisation, tels que la racine, les unités organisationnelles (OUs) et les comptes individuels. Organizations applique des règles d'héritage pour combiner les politiques établies à la racine de l'organisation, celles de n'importe quel parent OUs ou celles associées au compte. Il en résulte une [politique de sauvegarde effective](orgs_manage_policies_effective.md) pour chaque compte. Cette politique efficace indique AWS Backup comment sauvegarder automatiquement vos AWS ressources.
## Comment fonctionnent les politiques de sauvegarde
Les politiques de sauvegarde vous procurent un contrôle granulaire sur la sauvegarde de vos ressources, quel que soit le niveau requis par votre organisation. Vous pouvez par exemple spécifier dans une politique attachée à la racine de l'organisation que toutes les tables Amazon DynamoDB doivent être sauvegardées. Cette politique peut inclure une fréquence de sauvegarde par défaut. Vous pouvez ensuite y associer une politique de sauvegarde OUs qui remplace la fréquence de sauvegarde en fonction des exigences de chaque unité d'organisation. Par exemple, l'UO `Developers` peut spécifier une fréquence de sauvegarde d'une fois par semaine, tandis que l'UO `Production` spécifie une fois par jour.
Vous pouvez créer des politiques de sauvegarde partielle qui incluent individuellement une partie seulement des informations requises pour sauvegarder correctement vos ressources. Vous pouvez associer ces politiques à différentes parties de l'arborescence organisationnelle, telles que la racine ou une unité d'organisation parent, dans le but que ces politiques partielles soient héritées par les comptes OUs et les niveaux inférieurs. Lorsque Organizations combine toutes les politiques d'un compte à l'aide de règles d'héritage, la politique effective obtenue doit posséder tous les éléments requis. Dans le cas contraire, AWS Backup considère que la politique n'est pas valide et ne sauvegarde pas les ressources concernées.
**Important**
AWS Backup ne peut effectuer une sauvegarde réussie que lorsqu'elle est invoquée par une politique efficace *complète* comportant tous les éléments requis.
Bien qu'une stratégie de politique partielle comme celle décrite plus haut puisse fonctionner, si une politique effective pour un compte est incomplète, elle provoque des erreurs ou ne sauvegarde pas correctement certaines ressources. Une autre stratégie consisterait à exiger que toutes les politiques de sauvegarde soient complètes et valables par elles-mêmes. Utilisez les valeurs par défaut fournies par les politiques attachées dans les niveaux supérieurs de la hiérarchie et remplacez-les si nécessaire dans les politiques enfants, en incluant des [opérateurs de contrôle enfants d'héritage](policy-operators.md).
Le plan de sauvegarde effectif pour chaque membre Compte AWS de l'organisation apparaît dans la AWS Backup console sous la forme d'un plan immuable pour ce compte. Vous pouvez le voir, mais pas le modifier. Vous pouvez toutefois ajouter ou supprimer des balises de plan de sauvegarde à l'aide de [TagResource](https://docs.aws.amazon.com/aws-backup/latest/devguide/API_TagResource.html)et [UntagResource](https://docs.aws.amazon.com/aws-backup/latest/devguide/API_UntagResource.html) APIs.
Lorsque AWS Backup commence une sauvegarde basée sur un plan de sauvegarde créé par des règles, vous pouvez voir l'état de la tâche de sauvegarde dans la AWS Backup console. Un utilisateur d'un compte membre peut voir l'état et les erreurs éventuelles des tâches de sauvegarde de ce compte membre. Si vous activez également l'accès aux services sécurisés avec AWS Backup, un utilisateur du compte de gestion de l'organisation peut voir le statut et les erreurs de toutes les tâches de sauvegarde de l'organisation. Pour de plus amples informations, consultez [Activation de la gestion intercompte](https://docs.aws.amazon.com/aws-backup/latest/devguide/manage-cross-account.html#enable-cross-account) dans le *Guide du développeur AWS Backup *.
# Mise en route avec les politiques de sauvegarde
Suivez ces étapes pour commencer à utiliser des politiques de sauvegarde.
1. [Découvrez les autorisations dont vous devez disposer pour effectuer des tâches de politique de sauvegarde](orgs_manage_policies_prereqs.md)
1. [Découvrez les bonnes pratiques que nous recommandons lors de l'utilisation de politiques de sauvegarde](orgs_manage_policies_backup_best-practices.md).
1. [Activez des politiques de sauvegarde pour votre organisation](enable-policy-type.md).
1. [Créez une politique de sauvegarde](orgs_policies_create.md#create-backup-policy-procedure).
1. [Attachez la politique de sauvegarde à la racine, une UO ou un compte de votre organisation](orgs_policies_attach.md).
1. [Affichez la politique de sauvegarde effective combinée qui s'applique à un compte](orgs_manage_policies_effective.md).
Pour effectuer toutes ces étapes, vous devez vous connecter en tant qu'utilisateur IAM, assumer un rôle IAM ou vous connecter en tant qu'utilisateur racine ([non recommandé](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials)) dans le compte de gestion de l'organisation.
**Autres informations**
+ [Découvrez la syntaxe des stratégies de sauvegarde et consultez des exemples de stratégies](orgs_manage_policies_backup_syntax.md)
# Bonnes pratiques pour l'utilisation des politiques de sauvegarde
AWS recommande les meilleures pratiques suivantes pour l'utilisation des politiques de sauvegarde.
## Décider d'une stratégie de politique de sauvegarde
Vous pouvez créer des politiques de sauvegarde en parties incomplètes qui sont héritées et fusionnées pour composer une politique complète pour chaque compte membre. Ce faisant, vous risquez d'obtenir une police effective incomplète si vous effectuez une modification à un niveau sans tenir compte de l'impact de cette dernière sur tous les comptes inférieurs à ce niveau. Pour éviter cela, nous vous recommandons de vous assurer que les politiques de sauvegarde que vous mettez en œuvre à tous les niveaux sont complètes en elles-mêmes. Traitez les politiques parentes comme des politiques par défaut qui peuvent être remplacées par des paramètres spécifiés dans les politiques enfants. De cette façon, même si une politique enfant n'existe pas, la politique héritée est complète et utilise les valeurs par défaut. Vous pouvez décider quels paramètres peuvent être ajoutés, modifiés ou supprimés par les stratégies enfants à l'aide des [opérateurs de contrôle d'héritage enfants](policy-operators.md#child-control-operators).
## Validez les modifications apportées à vos politiques de sauvegarde à l'aide de `GetEffectivePolicy`
Après avoir apporté une modification à une politique de sauvegarde, vérifiez les politiques effectives pour des comptes représentatifs inférieurs au niveau où la modification a été appliquée. Vous pouvez [consulter la politique effective à l'aide](orgs_manage_policies_effective.md) de l'opération [GetEffectivePolicy](https://docs.aws.amazon.com/organizations/latest/APIReference/API_GetEffectivePolicy.html)API AWS Management Console, de l'une de ses variantes AWS CLI ou du AWS SDK. Assurez-vous que la modification que vous avez apportée a eu l'impact escompté sur la politique effective.
## Commencez simplement en réalisant de petites modifications
Pour simplifier le débogage, commencez par des politiques simples et apportez des modifications à un élément à la fois. Validez le comportement et l'impact de chaque modification avant d'effectuer la suivante. Vous réduisez ainsi le nombre de variables dont vous devez tenir compte lorsqu'une erreur ou un résultat inattendu se produit.
## Stockez des copies de vos sauvegardes dans d'autres comptes Régions AWS et dans d'autres comptes de votre organisation
Pour améliorer votre position de reprise après sinistre, vous pouvez stocker des copies de vos sauvegardes.
+ **Une autre région** : si vous stockez des copies de la sauvegarde en plus Régions AWS, vous contribuez à protéger la sauvegarde contre toute corruption ou suppression accidentelle dans la région d'origine. Utilisez la section `copy_actions` de la politique pour spécifier un coffre-fort dans une ou plusieurs régions du même compte dans lequel le plan de sauvegarde s'exécute. Pour ce faire, identifiez le compte à l'aide de la variable `$account` lorsque vous spécifiez l'ARN du coffre-fort de sauvegarde dans lequel stocker la copie de la sauvegarde. La variable `$account ` est automatiquement remplacée au moment de l'exécution par l'ID du compte dans lequel la politique de sauvegarde est exécutée.
+ **Un autre compte** — Si vous stockez des copies de la sauvegarde en plus Comptes AWS, vous ajoutez une barrière de sécurité qui aide à vous protéger contre un acteur malveillant qui compromettrait l'un de vos comptes. Utilisez la section `copy_actions` de la politique pour spécifier un coffre-fort dans un ou plusieurs comptes de votre organisation, séparément du compte dans lequel le plan de sauvegarde s'exécute. Pour ce faire, identifiez le compte à l'aide de son numéro ID réel lorsque vous spécifiez l'ARN du coffre-fort de sauvegarde dans lequel stocker la copie de la sauvegarde.
## Limitez le nombre de plans par politique
Les politiques qui contiennent plusieurs plans sont plus compliquées à dépanner en raison du plus grand nombre de sorties qui doivent toutes être validées. Au lieu de cela, faites en sorte que chaque politique contienne un seul et unique plan de sauvegarde, pour simplifier le débogage et le dépannage. Vous pouvez ensuite ajouter des politiques supplémentaires avec d'autres plans pour satisfaire d'autres exigences. Cela permet de limiter à une seule politique les problèmes liés à un plan et d'éviter que ces problèmes compliquent la résolution des problèmes liés à d'autres politiques et à leurs plans.
## Utilisez des ensembles de piles pour créer les coffres-forts de sauvegarde et les rôles IAM requis
Utilisez l'intégration des ensembles de AWS CloudFormation piles avec Organizations pour créer automatiquement les coffres-forts de sauvegarde et les rôles Gestion des identités et des accès AWS (IAM) requis dans chacun des comptes membres de votre organisation. Vous pouvez créer un ensemble de ressources qui inclut les ressources que vous souhaitez voir automatiquement disponibles Compte AWS dans tous les membres de votre organisation. Vous pouvez ainsi exécuter vos plans de sauvegarde avec la garantie que les dépendances sont déjà respectées. Pour de plus amples informations, consultez [Créer un ensemble de piles avec des autorisations autogérées](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/stacksets-getting-started-create.html#create-stack-set-service-managed-permissions) dans le *Guide de l'utilisateur AWS CloudFormation *.
## Vérifiez vos résultats en examinant la première sauvegarde créée dans chaque compte
Lorsque vous modifiez une politique, vérifiez la sauvegarde suivante créée après cette modification pour vous assurer qu'elle a eu l'impact souhaité. Cette étape va au-delà de l'examen de la politique efficace et garantit l' AWS Backup interprétation de vos politiques et la mise en œuvre des plans de sauvegarde comme vous le souhaitiez.
# Utilisation d' AWS CloudTrail événements pour surveiller les politiques de sauvegarde au sein de votre entreprise
Vous pouvez utiliser les AWS CloudTrail événements pour surveiller le moment où des politiques de sauvegarde sont créées, mises à jour ou supprimées de n'importe quel compte de votre organisation, ou lorsqu'un plan de sauvegarde organisationnel n'est pas valide. Pour plus d'informations, consultez la rubrique [Journalisation des événements de gestion inter-comptes](https://docs.aws.amazon.com/aws-backup/latest/devguide/logging-using-cloudtrail.html#logging-cam-events) du *Guide du développeur AWS Backup *.
# Syntaxe et exemples d'une politique de sauvegarde
Cette page décrit la syntaxe d'une politique de sauvegarde et fournit des exemples.
## Syntaxe des politiques de sauvegarde
Une politique de sauvegarde est un fichier texte brut qui est structuré conformément aux règles de [JSON](http://json.org). La syntaxe des politiques de sauvegarde suit celle de tous les types de politiques de gestion. Pour plus d'informations, voir [Syntaxe des politiques et héritage pour les types de politiques de gestion](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_inheritance_mgmt.html). Cette rubrique se concentre sur l'application de cette syntaxe générale aux exigences spécifiques du type de politique de sauvegarde.
Pour plus d'informations sur AWS Backup les forfaits, consultez [CreateBackupPlan](https://docs.aws.amazon.com/aws-backup/latest/devguide/API_CreateBackupPlan.html)le *guide du AWS Backup développeur*.
## Considérations
**Syntaxe des politiques**
Les noms de clé dupliqués seront rejetés en JSON.
Les politiques doivent spécifier les ressources Régions AWS et les ressources à sauvegarder.
Les politiques doivent spécifier le rôle IAM assumé AWS Backup .
`@@assign`L'utilisation d'un opérateur au même niveau peut remplacer les paramètres existants. Pour plus d'informations, voir [Une politique relative aux enfants remplace les paramètres d'une politique parentale](#backup-policy-example-5).
Les opérateurs d'héritage contrôlent la façon dont les politiques héritées et les politiques attachées à un compte fusionnent pour former la politique effective de ce compte. Ces opérateurs comprennent les opérateurs de définition de valeurs et les opérateurs de contrôle enfants.
Pour plus d'informations, consultez les sections [Opérateurs d'héritage](policy-operators.md) et [Exemples de politiques de sauvegarde](#backup-policy-examples).
**Rôles IAM**
Le rôle IAM doit exister lors de la première création d'un plan de sauvegarde.
Le rôle IAM doit être autorisé à accéder aux ressources identifiées par une requête de balise.
Le rôle IAM doit être autorisé à effectuer la sauvegarde.
**Coffres-forts de sauvegarde**
Des coffres-forts doivent exister dans chaque unité spécifiée pour Régions AWS qu'un plan de sauvegarde puisse être exécuté.
Des coffres-forts doivent exister pour chaque AWS compte bénéficiant de la politique effective. Pour plus d'informations, consultez la section [Création et suppression d'un coffre de sauvegarde](https://docs.aws.amazon.com/aws-backup/latest/devguide/create-a-vault.html) dans le *Guide du AWS Backup développeur*.
Nous vous recommandons d'utiliser des ensembles de AWS CloudFormation piles et de les intégrer à Organizations pour créer et configurer automatiquement des coffres-forts de sauvegarde et des rôles IAM pour chaque compte membre de l'organisation. Pour de plus amples informations, consultez [Créer un ensemble de piles avec des autorisations autogérées](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/stacksets-getting-started-create.html#create-stack-set-service-managed-permissions) dans le *Guide de l'utilisateur AWS CloudFormation *.
**Quotas**
Pour une liste des quotas, voir « [AWS Backup quotas](https://docs.aws.amazon.com/aws-backup/latest/devguide/aws-backup-limits.html#aws-backup-policies-quotas-table) » dans le *Guide du AWS Backup développeur*.
## Syntaxe de sauvegarde : présentation
La syntaxe d'une politique de sauvegarde inclut les composants suivants :
```
{
"plans": {
"PlanName": {
"rules": { ... },
"regions": { ... },
"selections": { ... },
"advanced_backup_settings": { ... },
"backup_plan_tags": { ... },
"scan_settings": { ... }
}
}
}
```
**Éléments de la politique de sauvegarde**
| Element | Description | Obligatoire |
| --- | --- | --- |
| [règles](#backup-policy-rules) | Liste des règles de sauvegarde. Chaque règle définit le moment où les sauvegardes démarrent et la fenêtre d'exécution des ressources spécifiées dans les selections éléments regions et. | Oui |
| [régions](#backup-plan-regions) | Liste des domaines Régions AWS dans lesquels une politique de sauvegarde peut protéger les ressources. | Oui |
| [sélections](#backup-plan-selections) | Un ou plusieurs types de ressources dans les limites spécifiées regions que la sauvegarde rules protège. | Oui |
| [paramètres\$1de\$1sauvegarde avancés](#advanced-backup-settings) | Options de configuration pour des scénarios de sauvegarde spécifiques. Actuellement, le seul paramètre de sauvegarde avancé pris en charge consiste à activer les sauvegardes Microsoft Volume Shadow Copy Service (VSS) pour Windows ou SQL Server exécutées sur une instance Amazon EC2. | Non |
| [backup\$1plan\$1tags](#backup-plan-tags) | Tags que vous souhaitez associer à un plan de sauvegarde. Chaque balise est une étiquette composée d’une clé définie par l’utilisateur et d’une valeur. Les balises peuvent vous aider à gérer, identifier, organiser, rechercher et filtrer vos plans de sauvegarde. | Non |
| [paramètres de numérisation](#scan-settings) | Options de configuration pour les paramètres de numérisation. Actuellement, le seul paramètre de scan pris en charge est d'activer Amazon GuardDuty Malware Protection pour AWS Backup. | Non |
## Syntaxe de sauvegarde : règles
La clé `rules` de stratégie spécifie les tâches de sauvegarde planifiées qui AWS Backup s'exécutent sur les ressources sélectionnées.
**Éléments de règles de sauvegarde**
| Element | Description | Obligatoire |
| --- | --- | --- |
| schedule\$1expression | Expression Cron en UTC qui indique à quel moment une AWS Backup tâche de sauvegarde est lancée. Pour plus d'informations sur les expressions cron, consultez la section [Utilisation des expressions cron et rate pour planifier des règles](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-scheduled-rule-pattern.html) dans le guide de * EventBridge l'utilisateur Amazon*. | Oui |
| target\$1backup\$1vault\$1name | Coffre-fort de sauvegarde dans lequel les sauvegardes sont stockées. Les coffres-forts de sauvegarde sont identifiés par des noms propres au compte utilisé pour les créer et à l' Région AWS endroit où ils ont été créés. | Oui |
| target\$1logically\$1air\$1gapped\$1backup\$1vault\$1arn | ARN du coffre-fort logiquement espacé dans lequel les sauvegardes sont stockées. Si elles sont fournies, les ressources entièrement gérées prises en charge sont sauvegardées directement dans un coffre-fort à espacement logique, tandis que les autres ressources prises en charge créent un instantané temporaire (facturable) dans le coffre-fort de sauvegarde, puis le copient dans un coffre-fort à espacement logique. Les ressources non prises en charge ne sont sauvegardées que dans le coffre de sauvegarde spécifié. L'ARN doit utiliser les espaces réservés spéciaux `$region` et`$account`. Par exemple, pour un coffre nommé, `AirGappedVault` la valeur correcte est`arn:aws:backup:$region:$account:backup-vault:AirGappedVault`. | Non |
| start\$1backup\$1window\$1minutes | Le nombre de minutes à attendre avant d'annuler une tâche de sauvegarde sera annulé si elle ne démarre pas correctement. Si cette valeur est incluse, elle doit être d'au moins 60 minutes pour éviter les erreurs. | Non |
| complete\$1backup\$1window\$1minutes | Nombre de minutes après le démarrage réussi d'une tâche de sauvegarde avant qu'elle ne doive être terminée, faute de quoi elle sera annulée par AWS Backup. | Non |
| enable\$1continuous\$1backup | Spécifie s'il AWS Backup crée des sauvegardes continues. `True`provoque AWS Backup la création de sauvegardes continues capables de point-in-time restauration (PITR). `False`(ou non spécifiée) provoque AWS Backup la création de sauvegardes instantanées. Pour plus d'informations sur les sauvegardes continues, consultez [P oint-in-time recovery](https://docs.aws.amazon.com/aws-backup/latest/devguide/point-in-time-recovery.html) dans le *Guide du AWS Backup développeur*. **Remarque :** les sauvegardes compatibles PITR ont une durée de conservation maximale de 35 jours. | Non |
| lifecycle | Spécifie à AWS Backup quel moment une sauvegarde passe en stockage à froid et à quel moment elle expire. Les types de ressources pouvant passer au stockage à froid sont répertoriés dans le tableau Disponibilité des fonctionnalités par ressource [Disponibilité des fonctionnalités par ressource](https://docs.aws.amazon.com/aws-backup/latest/devguide/backup-feature-availability.html#features-by-resource) du *Guide du AWS Backup développeur*. Chaque cycle de vie contient les éléments suivants : [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/organizations/latest/userguide/orgs_manage_policies_backup_syntax.html) **Remarque** : Les sauvegardes transférées vers une chambre froide doivent être stockées dans une chambre froide pendant au moins 90 jours. Cela signifie que le délai `delete_after_days` doit être supérieur de 90 jours à`move_to_cold_storage_after_days`. | Non |
| copy\$1actions | Spécifie si une sauvegarde est AWS Backup copiée vers un ou plusieurs emplacements supplémentaires. Chaque action de copie contient les éléments suivants : [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/organizations/latest/userguide/orgs_manage_policies_backup_syntax.html) **Remarque** : Les sauvegardes transférées vers une chambre froide doivent être stockées dans une chambre froide pendant au moins 90 jours. Cela signifie que le délai `delete_after_days` doit être supérieur de 90 jours à`move_to_cold_storage_after_days`. | Non |
| recovery\$1point\$1tags | Tags que vous souhaitez attribuer aux ressources restaurées à partir d'une sauvegarde. Chaque balise contient les éléments suivants : [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/organizations/latest/userguide/orgs_manage_policies_backup_syntax.html) | Non |
| index\$1actions | Spécifie s'il AWS Backup crée un index de sauvegarde de vos instantanés Amazon EBS et des sauvegardes and/or Amazon S3. Des index de sauvegarde sont créés afin de rechercher les métadonnées de vos sauvegardes. Pour plus d'informations sur la création d'index de sauvegarde et la recherche de sauvegarde, consultez la section [Recherche de sauvegarde](https://docs.aws.amazon.com//aws-backup/latest/devguide/backup-search.html#backup-search-overview). **Remarque :** des [autorisations de rôle IAM](https://docs.aws.amazon.com//aws-backup/latest/devguide/backup-search.html#backup-search-access) supplémentaires sont requises pour créer un index de sauvegarde instantanée Amazon EBS. Chaque action d'indexation contient l'élément suivant : les types `resource_types` de ressources pris en charge pour l'indexation sont Amazon EBS et Amazon S3. Ce paramètre indique le type de ressource qui sera sélectionné pour l'indexation. | Non |
| scan\$1actions | Spécifie si une action d'analyse est activée pour une règle donnée. Vous devez spécifier un`ScanMode`. Vous devez utiliser `scan_settings` les éléments de politique de sauvegarde conjointement avec pour que `scan_actions` les tâches de numérisation démarrent correctement. Vérifiez également que vous disposez des [autorisations de rôle IAM](https://docs.aws.amazon.com//aws-backup/latest/devguide/malware-protection.html#malware-access) appropriées. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/organizations/latest/userguide/orgs_manage_policies_backup_syntax.html) | Non |
## Syntaxe de sauvegarde : régions
La clé de `regions` stratégie Régions AWS indique laquelle AWS Backup recherche les ressources qui répondent aux conditions de la `selections` clé.
**Éléments des régions de sauvegarde**
| Element | Description | Obligatoire |
| --- | --- | --- |
| regions | Spécifie les Région AWS codes. Par exemple : `["us-east-1", "eu-north-1"]`. | Oui |
## Syntaxe de sauvegarde : sélections
La clé `selections` de stratégie spécifie les ressources qui sont sauvegardées par les règles d'une stratégie de sauvegarde.
Il existe deux éléments qui s'excluent mutuellement : `tags` et`resources`. Pour être valide, une politique efficace **doit** être `resources` inscrite dans des balises `have` ou dans la sélection.
Si vous souhaitez une sélection comportant à la fois des conditions de balise et des conditions de ressources, utilisez les `resources` clés.
**Éléments de sélection de sauvegarde : Tags**
| Element | Description | Obligatoire |
| --- | --- | --- |
| iam\$1role\$1arn | Rôle IAM qui AWS Backup suppose d'interroger, de découvrir et de sauvegarder des ressources dans les régions spécifiées. Le rôle doit disposer d'autorisations suffisantes pour interroger les ressources en fonction des conditions des balises et effectuer des opérations de sauvegarde sur les ressources correspondantes. | Oui |
| tag\$1key | Nom de la clé de balise à rechercher. | Oui |
| tag\$1value | Valeur qui doit être associée au tag\$1key correspondant. AWS Backup inclut la ressource uniquement si tag\$1key et tag\$1value correspondent (distinction majuscules/minuscules). | Oui |
| conditions | Étiquetez les clés et les valeurs que vous souhaitez inclure ou exclure Utilisez string\$1equals ou string\$1not\$1equals pour inclure ou exclure les balises correspondant exactement à une correspondance. Utilisez string\$1like et string\$1not\$1like pour inclure ou exclure les balises contenant ou ne contenant pas de caractères spécifiques **Remarque :** Limité à 30 conditions pour chaque sélection. | Non |
**Éléments de sélection de sauvegarde : Ressources**
| Element | Description | Obligatoire |
| --- | --- | --- |
| iam\$1role\$1arn | Rôle IAM qui AWS Backup suppose d'interroger, de découvrir et de sauvegarder des ressources dans les régions spécifiées. Le rôle doit disposer d'autorisations suffisantes pour interroger les ressources en fonction des conditions des balises et effectuer des opérations de sauvegarde sur les ressources correspondantes. **Remarque :** Dans AWS GovCloud (US) Regions, vous devez ajouter le nom de la partition à l'ARN. Par exemple, « `arn:aws:ec2:*:*:volume/*` » doit être « `arn:aws-us-gov:ec2:*:*:volume/*` ». | Oui |
| resource\$1types | Types de ressources à inclure dans un plan de sauvegarde. | Oui |
| not\$1resource\$1types | Types de ressources à exclure d'un plan de sauvegarde. | Non |
| conditions | Étiquetez les clés et les valeurs que vous souhaitez inclure ou exclure Utilisez string\$1equals ou string\$1not\$1equals pour inclure ou exclure les balises correspondant exactement à une correspondance. Utilisez string\$1like et string\$1not\$1like pour inclure ou exclure les balises contenant ou ne contenant pas de caractères spécifiques **Remarque :** Limité à 30 conditions pour chaque sélection. | Non |
**Types de ressources pris en charge**
Organizations prend en charge les types de ressources suivants pour les `not_resource_types` éléments `resource_types` et :
+ AWS Backup gateway machines virtuelles : `"arn:aws:backup-gateway:*:*:vm/*"`
+ AWS CloudFormation piles : `"arn:aws:cloudformation:*:*:stack/*"`
+ Tables Amazon DynamoDB : `"arn:aws:dynamodb:*:*:table/*"`
+ Instances Amazon EC2 : `"arn:aws:ec2:*:*:instance/*"`
+ Volumes Amazon EBS : `"arn:aws:ec2:*:*:volume/*"`
+ Systèmes de fichiers Amazon EFS : `"arn:aws:elasticfilesystem:*:*:file-system/*"`
+ Clusters Amazon Aurora/Amazon DocumentDB/Amazon Neptune : `"arn:aws:rds:*:*:cluster:*"`
+ Bases de données Amazon RDS : `"arn:aws:rds:*:*:db:*"`
+ Clusters Amazon Redshift : `"arn:aws:redshift:*:*:cluster:*"`
+ Amazon S3 : `"arn:aws:s3:::*"`
+ Gestionnaire de systèmes AWS pour SAP Bases de données HANA : `"arn:aws:ssm-sap:*:*:HANA/*"`
+ AWS Storage Gateway passerelles : `"arn:aws:storagegateway:*:*:gateway/*"`
+ Bases de données Amazon Timestream : `"arn:aws:timestream:*:*:database/*"`
+ Systèmes de FSx fichiers Amazon : `"arn:aws:fsx:*:*:file-system/*"`
+ FSx Volumes Amazon : `"arn:aws:fsx:*:*:volume/*"`
+ Volumes Amazon Elastic Kubernetes Service : `"arn:aws:eks:*:*:cluster/*"`
**Exemples de code**
Pour plus d'informations, consultez les sections [Spécification des ressources à l'aide du bloc de balises](#backup-policy-example-6) et [Spécification des ressources à l'aide du bloc de ressources](#backup-policy-example-7).
## Syntaxe de sauvegarde : paramètres de sauvegarde avancés
La `advanced_backup_settings` clé spécifie les options de configuration pour des scénarios de sauvegarde spécifiques. Chaque paramètre contient les éléments suivants :
**Éléments de paramètres de sauvegarde avancés**
| Element | Description | Obligatoire |
| --- | --- | --- |
| advanced\$1backup\$1settings | Spécifie les paramètres pour des scénarios de sauvegarde spécifiques. Cette clé contient un ou plusieurs paramètres. Chaque paramètre est une chaîne d'objet JSON avec les éléments suivants : Actuellement, le seul paramètre de sauvegarde avancé pris en charge consiste à activer les sauvegardes Microsoft Volume Shadow Copy Service (VSS) pour Windows ou SQL Server exécutées sur une instance Amazon EC2. Chaque sauvegarde avancée définit les éléments suivants : [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/organizations/latest/userguide/orgs_manage_policies_backup_syntax.html) | Non |
**Exemple :**
```
"advanced_backup_settings": {
"ec2": {
"windows_vss": {
"@@assign": "enabled"
}
}
},
```
## Syntaxe de sauvegarde : balises du plan de sauvegarde
La clé de `backup_plan_tags` stratégie spécifie les balises associées au plan de sauvegarde lui-même. Cela n'a aucun impact sur les balises spécifiées pour `rules` ou`selections`.
**Éléments des balises du plan de sauvegarde**
| Element | Description | Obligatoire |
| --- | --- | --- |
| backup\$1plan\$1tags | Chaque balise est une étiquette composée d'une clé et d'une valeur définies par l'utilisateur : [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/organizations/latest/userguide/orgs_manage_policies_backup_syntax.html) | Non |
## Syntaxe de sauvegarde : paramètres de numérisation
La clé `scan_settings` de politique spécifie la configuration pour l'analyse des programmes malveillants à l'aide d'Amazon GuardDuty Malware Protection for AWS Backup. Vous devez les utiliser `scan_settings` conjointement avec vos règles `scan_actions` de sauvegarde pour que les tâches de numérisation démarrent correctement.
**Éléments des paramètres de numérisation**
| Element | Description | Obligatoire |
| --- | --- | --- |
| scan\$1settings | Options de configuration pour les paramètres de numérisation. Actuellement, les seuls paramètres de scan pris en charge sont l'activation d'Amazon GuardDuty Malware Protection pour AWS Backup. Vous devez spécifier le `ResourceTypes` et`ScannerRoleArn`. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/organizations/latest/userguide/orgs_manage_policies_backup_syntax.html) | Non |
**Exemple :**
Ce qui suit explique comment configurer `scan_actions` dans une règle de sauvegarde et `scan_settings` au niveau du plan pour activer l'analyse Amazon GuardDuty Malware Protection.
`scan_actions`dans une règle :
```
"scan_actions": {
"GUARDDUTY": {
"scan_mode": {
"@@assign": "INCREMENTAL_SCAN"
}
}
}
```
`scan_settings`au niveau du plan :
```
"scan_settings": {
"GUARDDUTY": {
"resource_types": {
"@@assign": ["EBS"]
},
"scanner_role_arn": {
"@@assign": "arn:aws:iam::$account:role/MyGuardDutyScannerRole"
}
}
}
```
## Exemples de politiques de sauvegarde
Les exemples de politiques de sauvegarde qui suivent sont fournis à titre informatif uniquement. Dans certains des exemples suivants, la mise en forme des espaces JSON peut être compressée pour économiser de l'espace.
+ [Exemple 1 : Politique attribuée à un nœud parent](#backup-policy-example-1)
+ [Exemple 2 : une politique parent est fusionnée avec une politique enfant](#backup-policy-example-2)
+ [Exemple 3 : Une politique parentale empêche toute modification par une politique enfant](#backup-policy-example-3)
+ [Exemple 4 : Une politique parent empêche la modification d'un plan de sauvegarde par une politique enfant](#backup-policy-example-4)
+ [Exemple 5 : une politique relative aux enfants remplace les paramètres d'une politique parentale](#backup-policy-example-5)
+ [Exemple 6 : Spécification des ressources à l'aide du bloc de balises](#backup-policy-example-6)
+ [Exemple 7 : Spécification des ressources avec le bloc de ressources](#backup-policy-example-7)
+ [Exemple 8 : plan de sauvegarde avec analyse Amazon GuardDuty Malware Protection](#backup-policy-example-8)
### Exemple 1 : Politique affectée à un nœud parent
L'exemple suivant montre une politique de sauvegarde affectée à l'un des nœuds parents d'un compte.
**Politique parente** : cette politique peut être attachée à la racine de l'organisation ou à une UO parente de tous les comptes prévus.
```
{
"plans": {
"PII_Backup_Plan": {
"regions": {
"@@assign": [
"ap-northeast-2",
"us-east-1",
"eu-north-1"
]
},
"rules": {
"Hourly": {
"schedule_expression": {
"@@assign": "cron(0 5/1 ? * * *)"
},
"start_backup_window_minutes": {
"@@assign": "480"
},
"complete_backup_window_minutes": {
"@@assign": "10080"
},
"lifecycle": {
"move_to_cold_storage_after_days": {
"@@assign": "180"
},
"delete_after_days": {
"@@assign": "270"
},
"opt_in_to_archive_for_supported_resources": {
"@@assign": "false"
}
},
"target_backup_vault_name": {
"@@assign": "FortKnox"
},
"target_logically_air_gapped_backup_vault_arn": {
"@@assign": "arn:aws:backup:$region:$account:backup-vault:AirGappedVault"
},
"index_actions": {
"resource_types": {
"@@assign": [
"EBS",
"S3"
]
}
},
"copy_actions": {
"arn:aws:backup:us-east-1:$account:backup-vault:secondary_vault": {
"target_backup_vault_arn": {
"@@assign": "arn:aws:backup:us-east-1:$account:backup-vault:secondary_vault"
},
"lifecycle": {
"move_to_cold_storage_after_days": {
"@@assign": "30"
},
"delete_after_days": {
"@@assign": "120"
},
"opt_in_to_archive_for_supported_resources": {
"@@assign": "false"
}
}
},
"arn:aws:backup:us-west-1:111111111111:backup-vault:tertiary_vault": {
"target_backup_vault_arn": {
"@@assign": "arn:aws:backup:us-west-1:111111111111:backup-vault:tertiary_vault"
},
"lifecycle": {
"move_to_cold_storage_after_days": {
"@@assign": "30"
},
"delete_after_days": {
"@@assign": "120"
},
"opt_in_to_archive_for_supported_resources": {
"@@assign": "false"
}
}
}
}
}
},
"selections": {
"tags": {
"datatype": {
"iam_role_arn": {
"@@assign": "arn:aws:iam::$account:role/MyIamRole"
},
"tag_key": {
"@@assign": "dataType"
},
"tag_value": {
"@@assign": [
"PII",
"RED"
]
}
}
}
},
"advanced_backup_settings": {
"ec2": {
"windows_vss": {
"@@assign": "enabled"
}
}
}
}
}
}
```
Si aucune autre politique n'est héritée ou attachée aux comptes, la politique effective affichée dans chaque cas applicable Compte AWS ressemble à l'exemple suivant. L'expression CRON provoque l'exécution de la sauvegarde une fois par heure à l'heure pile. L'ID de compte 123456789012 sera l'ID de compte réel de chaque compte.
```
{
"plans": {
"PII_Backup_Plan": {
"regions": [
"us-east-1",
"ap-northeast-3",
"eu-north-1"
],
"rules": {
"hourly": {
"schedule_expression": "cron(0 0/1 ? * * *)",
"start_backup_window_minutes": "60",
"target_backup_vault_name": "FortKnox",
"target_logically_air_gapped_backup_vault_arn": "arn:aws:backup:$region:$account:backup-vault:AirGappedVault",
"index_actions": {
"resource_types": {
"@@assign": [
"EBS",
"S3"
]
}
},
"lifecycle": {
"delete_after_days": "2",
"move_to_cold_storage_after_days": "180",
"opt_in_to_archive_for_supported_resources": "false"
},
"copy_actions": {
"arn:aws:backup:us-east-1:$account:backup-vault:secondary_vault": {
"target_backup_vault_arn": {
"@@assign": "arn:aws:backup:us-east-1:$account:backup-vault:secondary_vault"
},
"lifecycle": {
"delete_after_days": "28",
"move_to_cold_storage_after_days": "180",
"opt_in_to_archive_for_supported_resources": "false"
}
},
"arn:aws:backup:us-west-1:111111111111:backup-vault:tertiary_vault": {
"target_backup_vault_arn": {
"@@assign": "arn:aws:backup:us-west-1:111111111111:backup-vault:tertiary_vault"
},
"lifecycle": {
"delete_after_days": "28",
"move_to_cold_storage_after_days": "180",
"opt_in_to_archive_for_supported_resources": "false"
}
}
}
}
},
"selections": {
"tags": {
"datatype": {
"iam_role_arn": "arn:aws:iam::123456789012:role/MyIamRole",
"tag_key": "dataType",
"tag_value": [
"PII",
"RED"
]
}
}
},
"advanced_backup_settings": {
"ec2": {
"windows_vss": "enabled"
}
}
}
}
}
```
### Exemple 2 : Une politique parente est fusionnée avec une politique enfant
Dans l'exemple suivant, une politique parent héritée et une politique enfant héritées ou directement associées à une Compte AWS fusion pour former la politique effective.
**Politique parente** : cette politique peut être attachée à la racine de l'organisation ou à une UO parente.
```
{
"plans": {
"PII_Backup_Plan": {
"regions": { "@@append":[ "us-east-1", "ap-northeast-3", "eu-north-1" ] },
"rules": {
"Hourly": {
"schedule_expression": { "@@assign": "cron(0 0/1 ? * * *)" },
"start_backup_window_minutes": { "@@assign": "60" },
"target_backup_vault_name": { "@@assign": "FortKnox" },
"index_actions": {
"resource_types": {
"@@assign": [
"EBS",
"S3"
]
}
},
"lifecycle": {
"move_to_cold_storage_after_days": { "@@assign": "28" },
"delete_after_days": { "@@assign": "180" },
"opt_in_to_archive_for_supported_resources": { "@@assign": "false" }
},
"copy_actions": {
"arn:aws:backup:us-east-1:$account:backup-vault:secondary_vault" : {
"target_backup_vault_arn" : {
"@@assign" : "arn:aws:backup:us-east-1:$account:backup-vault:secondary_vault"
},
"lifecycle": {
"move_to_cold_storage_after_days": { "@@assign": "28" },
"delete_after_days": { "@@assign": "180" },
"opt_in_to_archive_for_supported_resources": { "@@assign": "false" }
}
}
}
}
},
"selections": {
"tags": {
"datatype": {
"iam_role_arn": { "@@assign": "arn:aws:iam::$account:role/MyIamRole" },
"tag_key": { "@@assign": "dataType" },
"tag_value": { "@@assign": [ "PII", "RED" ] }
}
}
}
}
}
}
```
**Politique enfant** : cette politique peut être attachée directement au compte ou à une UO dans n'importe quel niveau inférieur à celui auquel la politique parente est attachée.
```
{
"plans": {
"Monthly_Backup_Plan": {
"regions": {
"@@append":[ "us-east-1", "eu-central-1" ] },
"rules": {
"Monthly": {
"schedule_expression": { "@@assign": "cron(0 5 1 * ? *)" },
"start_backup_window_minutes": { "@@assign": "480" },
"target_backup_vault_name": { "@@assign": "Default" },
"lifecycle": {
"move_to_cold_storage_after_days": { "@@assign": "30" },
"delete_after_days": { "@@assign": "365" },
"opt_in_to_archive_for_supported_resources": { "@@assign": "false" }
},
"copy_actions": {
"arn:aws:backup:us-east-1:$account:backup-vault:Default" : {
"target_backup_vault_arn" : {
"@@assign" : "arn:aws:backup:us-east-1:$account:backup-vault:Default"
},
"lifecycle": {
"move_to_cold_storage_after_days": { "@@assign": "30" },
"delete_after_days": { "@@assign": "365" },
"opt_in_to_archive_for_supported_resources": { "@@assign": "false" }
}
}
}
}
},
"selections": {
"tags": {
"MonthlyDatatype": {
"iam_role_arn": { "@@assign": "arn:aws:iam::$account:role/MyMonthlyBackupIamRole" },
"tag_key": { "@@assign": "BackupType" },
"tag_value": { "@@assign": [ "MONTHLY", "RED" ] }
}
}
}
}
}
}
```
**Politique effective résultante** : la politique effective appliquée aux comptes contient deux plans, chacun avec son propre ensemble de règles et son ensemble de ressources auquel appliquer les règles.
```
{
"plans": {
"PII_Backup_Plan": {
"regions": [ "us-east-1", "ap-northeast-3", "eu-north-1" ],
"rules": {
"hourly": {
"schedule_expression": "cron(0 0/1 ? * * *)",
"start_backup_window_minutes": "60",
"target_backup_vault_name": "FortKnox",
"index_actions": {
"resource_types": {
"@@assign": [
"EBS",
"S3"
]
}
},
"lifecycle": {
"delete_after_days": "2",
"move_to_cold_storage_after_days": "180",
"opt_in_to_archive_for_supported_resources": { "@@assign": "false" }
},
"copy_actions": {
"arn:aws:backup:us-east-1:$account:backup-vault:secondary_vault" : {
"target_backup_vault_arn" : {
"@@assign" : "arn:aws:backup:us-east-1:$account:backup-vault:secondary_vault"
},
"lifecycle": {
"move_to_cold_storage_after_days": "28",
"delete_after_days": "180",
"opt_in_to_archive_for_supported_resources": { "@@assign": "false" }
}
}
}
}
},
"selections": {
"tags": {
"datatype": {
"iam_role_arn": "arn:aws:iam::$account:role/MyIamRole",
"tag_key": "dataType",
"tag_value": [ "PII", "RED" ]
}
}
}
},
"Monthly_Backup_Plan": {
"regions": [ "us-east-1", "eu-central-1" ],
"rules": {
"monthly": {
"schedule_expression": "cron(0 5 1 * ? *)",
"start_backup_window_minutes": "480",
"target_backup_vault_name": "Default",
"lifecycle": {
"delete_after_days": "365",
"move_to_cold_storage_after_days": "30",
"opt_in_to_archive_for_supported_resources": { "@@assign": "false" }
},
"copy_actions": {
"arn:aws:backup:us-east-1:$account:backup-vault:Default" : {
"target_backup_vault_arn": {
"@@assign" : "arn:aws:backup:us-east-1:$account:backup-vault:Default"
},
"lifecycle": {
"move_to_cold_storage_after_days": "30",
"delete_after_days": "365",
"opt_in_to_archive_for_supported_resources": { "@@assign": "false" }
}
}
}
}
},
"selections": {
"tags": {
"monthlydatatype": {
"iam_role_arn": "arn:aws:iam::&ExampleAWSAccountNo3;:role/MyMonthlyBackupIamRole",
"tag_key": "BackupType",
"tag_value": [ "MONTHLY", "RED" ]
}
}
}
}
}
}
```
### Exemple 3 : Une politique parente empêche toute modification par une politique enfant
Dans l'exemple suivant, une politique parente héritée utilise les [opérateurs de contrôle enfants](policy-operators.md#child-control-operators) pour appliquer tous les paramètres et empêche leur modification ou remplacement par une politique enfant.
**Politique parente** : cette politique peut être attachée à la racine de l'organisation ou à une UO parente. La présence de `"@@operators_allowed_for_child_policies": ["@@none"]` à chaque nœud de la politique signifie qu'une politique enfant ne peut apporter aucune modification au plan. Une politique enfant ne peut pas non plus ajouter des plans supplémentaires à la politique effective. Cette politique devient la politique effective pour chaque UO et chaque compte sous l'UO à laquelle elle est rattachée.
```
{
"plans": {
"@@operators_allowed_for_child_policies": ["@@none"],
"PII_Backup_Plan": {
"@@operators_allowed_for_child_policies": ["@@none"],
"regions": {
"@@operators_allowed_for_child_policies": ["@@none"],
"@@append": [
"us-east-1",
"ap-northeast-3",
"eu-north-1"
]
},
"rules": {
"@@operators_allowed_for_child_policies": ["@@none"],
"Hourly": {
"@@operators_allowed_for_child_policies": ["@@none"],
"schedule_expression": {
"@@operators_allowed_for_child_policies": ["@@none"],
"@@assign": "cron(0 0/1 ? * * *)"
},
"start_backup_window_minutes": {
"@@operators_allowed_for_child_policies": ["@@none"],
"@@assign": "60"
},
"target_backup_vault_name": {
"@@operators_allowed_for_child_policies": ["@@none"],
"@@assign": "FortKnox"
},
"index_actions": {
"@@operators_allowed_for_child_policies": ["@@none"],
"resource_types": {
"@@assign": [
"EBS",
"S3"
]
}
},
"lifecycle": {
"@@operators_allowed_for_child_policies": ["@@none"],
"move_to_cold_storage_after_days": {
"@@operators_allowed_for_child_policies": ["@@none"],
"@@assign": "28"
},
"delete_after_days": {
"@@operators_allowed_for_child_policies": ["@@none"],
"@@assign": "180"
},
"opt_in_to_archive_for_supported_resources": {
"@@operators_allowed_for_child_policies": ["@@none"],
"@@assign": "false"
}
},
"copy_actions": {
"@@operators_allowed_for_child_policies": ["@@none"],
"arn:aws:backup:us-east-1:$account:backup-vault:secondary_vault": {
"@@operators_allowed_for_child_policies": ["@@none"],
"target_backup_vault_arn": {
"@@assign": "arn:aws:backup:us-east-1:$account:backup-vault:secondary_vault",
"@@operators_allowed_for_child_policies": ["@@none"]
},
"lifecycle": {
"@@operators_allowed_for_child_policies": ["@@none"],
"delete_after_days": {
"@@operators_allowed_for_child_policies": ["@@none"],
"@@assign": "28"
},
"move_to_cold_storage_after_days": {
"@@operators_allowed_for_child_policies": ["@@none"],
"@@assign": "180"
},
"opt_in_to_archive_for_supported_resources": {
"@@operators_allowed_for_child_policies": ["@@none"],
"@@assign": "false"
}
}
}
}
}
},
"selections": {
"@@operators_allowed_for_child_policies": ["@@none"],
"tags": {
"@@operators_allowed_for_child_policies": ["@@none"],
"datatype": {
"@@operators_allowed_for_child_policies": ["@@none"],
"iam_role_arn": {
"@@operators_allowed_for_child_policies": ["@@none"],
"@@assign": "arn:aws:iam::$account:role/MyIamRole"
},
"tag_key": {
"@@operators_allowed_for_child_policies": ["@@none"],
"@@assign": "dataType"
},
"tag_value": {
"@@operators_allowed_for_child_policies": ["@@none"],
"@@assign": [
"PII",
"RED"
]
}
}
}
},
"advanced_backup_settings": {
"@@operators_allowed_for_child_policies": ["@@none"],
"ec2": {
"@@operators_allowed_for_child_policies": ["@@none"],
"windows_vss": {
"@@assign": "enabled",
"@@operators_allowed_for_child_policies": ["@@none"]
}
}
}
}
}
}
```
**Politique effective résultante** : si des politiques de sauvegarde enfants existent, elles sont ignorées et la politique parente devient la politique effective.
```
{
"plans": {
"PII_Backup_Plan": {
"regions": [
"us-east-1",
"ap-northeast-3",
"eu-north-1"
],
"rules": {
"hourly": {
"schedule_expression": "cron(0 0/1 ? * * *)",
"start_backup_window_minutes": "60",
"target_backup_vault_name": "FortKnox",
"index_actions": {
"resource_types": {
"@@assign": [
"EBS",
"S3"
]
}
},
"lifecycle": {
"delete_after_days": "2",
"move_to_cold_storage_after_days": "180",
"opt_in_to_archive_for_supported_resources": "false"
},
"copy_actions": {
"target_backup_vault_arn": "arn:aws:backup:us-east-1:123456789012:backup-vault:secondary_vault",
"lifecycle": {
"move_to_cold_storage_after_days": "28",
"delete_after_days": "180",
"opt_in_to_archive_for_supported_resources": "false"
}
}
}
},
"selections": {
"tags": {
"datatype": {
"iam_role_arn": "arn:aws:iam::123456789012:role/MyIamRole",
"tag_key": "dataType",
"tag_value": [
"PII",
"RED"
]
}
}
},
"advanced_backup_settings": {
"ec2": {"windows_vss": "enabled"}
}
}
}
}
```
### Exemple 4 : Une politique parente empêche les modifications d'un plan de sauvegarde par une politique enfant
Dans l'exemple suivant, une politique parente héritée utilise les [opérateurs de contrôle enfants](policy-operators.md#child-control-operators) pour appliquer les paramètres d'un plan unique et les empêche d'être modifiés ou remplacés par une politique enfant. La politique enfant peut encore ajouter des plans supplémentaires.
**Politique parente** : cette politique peut être attachée à la racine de l'organisation ou à une UO parente. Cet exemple est similaire au précédent où tous les opérateurs d'héritage enfants sont bloqués, sauf au niveau supérieur `plans`. Le paramètre `@@append` à ce niveau permet aux politiques enfants d'ajouter d'autres plans à l'ensemble dans la politique effective. Toutes les modifications du plan hérité sont toujours bloquées.
Les sections du plan sont tronquées pour plus de clarté.
```
{
"plans": {
"@@operators_allowed_for_child_policies": ["@@append"],
"PII_Backup_Plan": {
"@@operators_allowed_for_child_policies": ["@@none"],
"regions": { ... },
"rules": { ... },
"selections": { ... }
}
}
}
```
**Politique enfant** : cette politique peut être attachée directement au compte ou à une UO dans n'importe quel niveau inférieur à celui auquel la politique parente est attachée. Cette politique enfant définit un nouveau plan.
Les sections du plan sont tronquées pour plus de clarté.
```
{
"plans": {
"MonthlyBackupPlan": {
"regions": { ... },
"rules": { ... },
"selections": { … }
}
}
}
```
**Politique effective résultante** : la politique effective inclut les deux plans.
```
{
"plans": {
"PII_Backup_Plan": {
"regions": { ... },
"rules": { ... },
"selections": { ... }
},
"MonthlyBackupPlan": {
"regions": { ... },
"rules": { ... },
"selections": { … }
}
}
}
```
### Exemple 5 : Une politique enfant remplace les paramètres d'une politique parente
Dans l'exemple suivant, une politique enfant utilise des [opérateurs de définition de valeur](policy-operators.md#value-setting-operators) pour remplacer certains des paramètres hérités d'une politique parente.
**Politique parente** : cette politique peut être attachée à la racine de l'organisation ou à une UO parente. Tous les paramètres peuvent être remplacés par une politique enfant, car le comportement par défaut, en l'absence d'un [opérateur de contrôle enfant](policy-operators.md#child-control-operators) qui l'empêche, est d'autoriser la politique enfant à `@@assign`, `@@append` ou `@@remove`. La politique parente contient tous les éléments requis pour un plan de sauvegarde valable, de sorte qu'elle sauvegarde vos ressources correctement si elles sont héritées en l'état.
```
{
"plans": {
"PII_Backup_Plan": {
"regions": {
"@@append": [
"us-east-1",
"ap-northeast-3",
"eu-north-1"
]
},
"rules": {
"Hourly": {
"schedule_expression": {"@@assign": "cron(0 0/1 ? * * *)"},
"start_backup_window_minutes": {"@@assign": "60"},
"target_backup_vault_name": {"@@assign": "FortKnox"},
"index_actions": {
"resource_types": {
"@@assign": [
"EBS",
"S3"
]
}
},
"lifecycle": {
"delete_after_days": {"@@assign": "2"},
"move_to_cold_storage_after_days": {"@@assign": "180"},
"opt_in_to_archive_for_supported_resources": {"@@assign": false}
},
"copy_actions": {
"arn:aws:backup:us-east-1:$account:backup-vault:t2": {
"target_backup_vault_arn": {"@@assign": "arn:aws:backup:us-east-1:$account:backup-vault:t2"},
"lifecycle": {
"move_to_cold_storage_after_days": {"@@assign": "28"},
"delete_after_days": {"@@assign": "180"},
"opt_in_to_archive_for_supported_resources": {"@@assign": false}
}
}
}
}
},
"selections": {
"tags": {
"datatype": {
"iam_role_arn": {"@@assign": "arn:aws:iam::$account:role/MyIamRole"},
"tag_key": {"@@assign": "dataType"},
"tag_value": {
"@@assign": [
"PII",
"RED"
]
}
}
}
}
}
}
}
```
**Politique enfant** : la politique enfant inclut uniquement les paramètres qui doivent être différents de ceux de la politique parente héritée. Il doit y avoir une politique parente héritée qui fournit les autres paramètres requis lors de la fusion dans une politique effective. Sinon, la politique de sauvegarde effective contient un plan de sauvegarde non valable qui ne sauvegarde pas vos ressources comme prévu.
```
{
"plans": {
"PII_Backup_Plan": {
"regions": {
"@@assign": [
"us-west-2",
"eu-central-1"
]
},
"rules": {
"Hourly": {
"schedule_expression": {"@@assign": "cron(0 0/2 ? * * *)"},
"start_backup_window_minutes": {"@@assign": "80"},
"target_backup_vault_name": {"@@assign": "Default"},
"lifecycle": {
"move_to_cold_storage_after_days": {"@@assign": "30"},
"delete_after_days": {"@@assign": "365"},
"opt_in_to_archive_for_supported_resources": {"@@assign": false}
}
}
}
}
}
}
```
**Politique effective résultante** : la politique effective inclut les paramètres des deux politiques, ceux fournis par la politique enfant remplaçant les paramètres hérités de la politique parente. Dans cet exemple, les modifications suivantes se produisent :
+ La liste des régions est remplacée par une liste complètement différente. Si vous souhaitez ajouter une région à la liste héritée, utilisez `@@append` au lieu de `@@assign` dans la politique enfant.
+ AWS Backup se produit toutes les deux heures au lieu d'une heure.
+ AWS Backup accorde 80 minutes pour démarrer la sauvegarde au lieu de 60 minutes.
+ AWS Backup utilise le `Default` coffre au lieu de`FortKnox`.
+ Le cycle de vie est prolongé pour le transfert vers le stockage à froid et la suppression à terme de la sauvegarde.
```
{
"plans": {
"PII_Backup_Plan": {
"regions": [
"us-west-2",
"eu-central-1"
],
"rules": {
"hourly": {
"schedule_expression": "cron(0 0/2 ? * * *)",
"start_backup_window_minutes": "80",
"target_backup_vault_name": "Default",
"index_actions": {
"resource_types": {
"@@assign": [
"EBS",
"S3"
]
}
},
"lifecycle": {
"delete_after_days": "365",
"move_to_cold_storage_after_days": "30",
"opt_in_to_archive_for_supported_resources": "false"
},
"copy_actions": {
"arn:aws:backup:us-east-1:$account:backup-vault:secondary_vault": {
"target_backup_vault_arn": {"@@assign": "arn:aws:backup:us-east-1:$account:backup-vault:secondary_vault"},
"lifecycle": {
"move_to_cold_storage_after_days": "28",
"delete_after_days": "180",
"opt_in_to_archive_for_supported_resources": "false"
}
}
}
}
},
"selections": {
"tags": {
"datatype": {
"iam_role_arn": "arn:aws:iam::$account:role/MyIamRole",
"tag_key": "dataType",
"tag_value": [
"PII",
"RED"
]
}
}
}
}
}
}
```
### Exemple 6 : Spécification des ressources avec le `tags` bloc
L'exemple suivant inclut toutes les ressources avec les `tag_key` symboles = `“env”` et `tag_value` = `"prod"` ou`"gamma"`. Cet exemple exclut les ressources avec le `tag_key` = `"backup"` et le `tag_value` =`"false"`.
```
...
"selections":{
"tags":{
"selection_name":{
"iam_role_arn": {"@@assign": "arn:aws:iam::$account:role/IAMRole"},
"tag_key":{"@@assign": "env"},
"tag_value":{"@@assign": ["prod", "gamma"]},
"conditions":{
"string_not_equals":{
"condition_name1":{
"condition_key": { "@@assign": "aws:ResourceTag/backup" },
"condition_value": { "@@assign": "false" }
}
}
}
}
}
},
...
```
### Exemple 7 : Spécification des ressources avec le `resources` bloc
Voici des exemples d'utilisation du `resources` bloc pour spécifier des ressources.
------
#### [ Example: Select all resources in my account ]
La logique booléenne est similaire à celle que vous pouvez utiliser dans les politiques IAM. Le `"resource_types"` bloc utilise un booléen `AND` pour combiner les types de ressources.
```
...
"resources":{
"resource_selection_name":{
"iam_role_arn":{"@@assign": "arn:aws:iam::$account:role/IAMRole"},
"resource_types":{
"@@assign": [
"*"
]
}
}
},
...
```
------
#### [ Example: Select all resources in my account, but exclude Amazon EBS volumes ]
La logique booléenne est similaire à celle que vous pouvez utiliser dans les politiques IAM. Les `"not_resource_types"` blocs `"resource_types"` et utilisent un booléen `AND` pour combiner les types de ressources.
```
...
"resources":{
"resource_selection_name":{
"iam_role_arn":{"@@assign": "arn:aws:iam::$account:role/IAMRole"},
"resource_types":{
"@@assign": [
"*"
]
},
"not_resource_types":{
"@@assign": [
"arn:aws:ec2:*:*:volume/*"
]
}
}
},
...
```
------
#### [ Example: Select all resources tagged with "backup" : "true", but exclude Amazon EBS volumes ]
La logique booléenne est similaire à celle que vous pouvez utiliser dans les politiques IAM. Les `"not_resource_types"` blocs `"resource_types"` et utilisent un booléen `AND` pour combiner les types de ressources. Le `"conditions"` bloc utilise un `AND` booléen.
```
...
"resources":{
"resource_selection_name":{
"iam_role_arn":{"@@assign": "arn:aws:iam::$account:role/IAMRole"},
"resource_types":{
"@@assign": [
"*"
]
},
"not_resource_types":{
"@@assign": [
"arn:aws:ec2:*:*:volume/*"
]
},
"conditions":{
"string_equals":{
"condition_name1":{
"condition_key": { "@@assign":"aws:ResourceTag/backup"},
"condition_value": { "@@assign":"true" }
}
}
}
}
},
...
```
------
#### [ Example: Select all Amazon EBS volumes and Amazon RDS DB instances tagged with both "backup" : "true" and "stage" : "prod" ]
La logique booléenne est similaire à celle que vous pouvez utiliser dans les politiques IAM. Le `"resource_types"` bloc utilise un booléen `AND` pour combiner les types de ressources. Le `"conditions"` bloc utilise un booléen `AND` pour combiner les types de ressources et les conditions des balises.
```
...
"resources":{
"resource_selection_name":{
"iam_role_arn":{"@@assign": "arn:aws:iam::$account:role/IAMRole"},
"resource_types":{
"@@assign": [
"arn:aws:ec2:*:*:volume/*",
"arn:aws:rds:*:*:db:*"
]
},
"conditions":{
"string_equals":{
"condition_name1":{
"condition_key":{"@@assign":"aws:ResourceTag/backup"},
"condition_value":{"@@assign":"true"}
},
"condition_name2":{
"condition_key":{"@@assign":"aws:ResourceTag/stage"},
"condition_value":{"@@assign":"prod"}
}
}
}
}
},
...
```
------
#### [ Example: Select all Amazon EBS volumes and Amazon RDS instances tagged with "backup" : "true" but not "stage" : "test" ]
La logique booléenne est similaire à celle que vous pouvez utiliser dans les politiques IAM. Le `"resource_types"` bloc utilise un booléen `AND` pour combiner les types de ressources. Le `"conditions"` bloc utilise un booléen `AND` pour combiner les types de ressources et les conditions des balises.
```
...
"resources":{
"resource_selection_name":{
"iam_role_arn":{"@@assign": "arn:aws:iam::$account:role/IAMRole"},
"resource_types":{
"@@assign": [
"arn:aws:ec2:*:*:volume/*",
"arn:aws:rds:*:*:db:*"
]
},
"conditions":{
"string_equals":{
"condition_name1":{
"condition_key":{"@@assign":"aws:ResourceTag/backup"},
"condition_value":{"@@assign":"true"}
}
},
"string_not_equals":{
"condition_name2":{
"condition_key":{"@@assign":"aws:ResourceTag/stage"},
"condition_value":{"@@assign":"test"}
}
}
}
}
},
...
```
------
#### [ Example: Select all resources tagged with "key1" and a value which begins with "include" but not with "key2" and value that contains the word "exclude" ]
La logique booléenne est similaire à celle que vous pouvez utiliser dans les politiques IAM. Le `"resource_types"` bloc utilise un booléen `AND` pour combiner les types de ressources. Le `"conditions"` bloc utilise un booléen `AND` pour combiner les types de ressources et les conditions des balises.
Dans cet exemple, notez l'utilisation du caractère générique `(*)` dans `include*``*exclude*`, et`arn:aws:rds:*:*:db:*`. Vous pouvez utiliser le caractère générique `(*)` au début, à la fin et au milieu d'une chaîne.
```
...
"resources":{
"resource_selection_name":{
"iam_role_arn":{"@@assign": "arn:aws:iam::$account:role/IAMRole"},
"resource_types":{
"@@assign": [
"*"
]
},
"conditions":{
"string_like":{
"condition_name1":{
"condition_key":{"@@assign":"aws:ResourceTag/key1"},
"condition_value":{"@@assign":"include*"}
}
},
"string_not_like":{
"condition_name2":{
"condition_key":{"@@assign":"aws:ResourceTag/key2"},
"condition_value":{"@@assign":"*exclude*"}
}
}
}
}
},
...
```
------
#### [ Example: Select all resources tagged with "backup" : "true" except Amazon FSx file systems and Amazon RDS resources ]
La logique booléenne est similaire à celle que vous pouvez utiliser dans les politiques IAM. Les `"not_resource_types"` blocs `"resource_types"` et utilisent un booléen `AND` pour combiner les types de ressources. Le `"conditions"` bloc utilise un booléen `AND` pour combiner les types de ressources et les conditions des balises.
```
...
"resources":{
"resource_selection_name":{
"iam_role_arn":{"@@assign": "arn:aws:iam::$account:role/IAMRole"},
"resource_types":{
"@@assign": [
"*"
]
},
"not_resource_types":{
"@@assign":[
"arn:aws:fsx:*:*:file-system/*",
"arn:aws:rds:*:*:db:*"
]
},
"conditions":{
"string_equals":{
"condition_name1":{
"condition_key":{"@@assign":"aws:ResourceTag/backup"},
"condition_value":{"@@assign":"true"}
}
}
}
}
},
...
```
------
### Exemple 8 : plan de sauvegarde avec analyse Amazon GuardDuty Malware Protection
L'exemple suivant montre une politique de sauvegarde qui permet à Amazon GuardDuty Malware Protection de scanner les points de restauration des sauvegardes. La politique utilise `scan_actions` la règle pour activer le scan et `scan_settings` au niveau du plan pour configurer le scanner.
Pour utiliser cette fonctionnalité, vous devez disposer des autorisations de rôle IAM appropriées. Pour plus d'informations, consultez [Access](https://docs.aws.amazon.com//aws-backup/latest/devguide/malware-protection.html#malware-access) dans le *guide du AWS Backup développeur*.
```
{
"plans": {
"Malware_Scan_Backup_Plan": {
"regions": {
"@@assign": [
"us-east-1",
"us-west-2"
]
},
"rules": {
"Daily_With_Incremental_Scan": {
"schedule_expression": {
"@@assign": "cron(0 5 ? * * *)"
},
"start_backup_window_minutes": {
"@@assign": "60"
},
"target_backup_vault_name": {
"@@assign": "Default"
},
"lifecycle": {
"delete_after_days": {
"@@assign": "35"
}
},
"scan_actions": {
"GUARDDUTY": {
"scan_mode": {
"@@assign": "INCREMENTAL_SCAN"
}
}
}
},
"Monthly_With_Full_Scan": {
"schedule_expression": {
"@@assign": "cron(0 5 1 * ? *)"
},
"start_backup_window_minutes": {
"@@assign": "60"
},
"target_backup_vault_name": {
"@@assign": "Default"
},
"lifecycle": {
"delete_after_days": {
"@@assign": "365"
}
},
"scan_actions": {
"GUARDDUTY": {
"scan_mode": {
"@@assign": "FULL_SCAN"
}
}
}
}
},
"selections": {
"tags": {
"scan_selection": {
"iam_role_arn": {
"@@assign": "arn:aws:iam::$account:role/MyBackupRole"
},
"tag_key": {
"@@assign": "backup"
},
"tag_value": {
"@@assign": [
"true"
]
}
}
}
},
"scan_settings": {
"GUARDDUTY": {
"resource_types": {
"@@assign": [
"EBS"
]
},
"scanner_role_arn": {
"@@assign": "arn:aws:iam::$account:role/MyGuardDutyScannerRole"
}
}
}
}
}
}
```
Les points clés de cet exemple sont les suivants :
+ `scan_actions`est spécifié dans chaque règle. Le nom du scanner `GUARDDUTY` est utilisé comme clé. Les utilisations des règles quotidiennes `INCREMENTAL_SCAN` et les utilisations des règles mensuelles`FULL_SCAN`.
+ `scan_settings`est spécifié au niveau du plan (et non dans une règle). Il configure le rôle du scanner et les types de ressources à scanner.
+ Ils `scanner_role_arn` doivent faire référence à un rôle IAM auquel est attachée la politique `AWSBackupGuardDutyRolePolicyForScans` gérée et à une politique de confiance qui permet au principal du `malware-protection.guardduty.amazonaws.com` service d'assumer le rôle.
# Politiques de balises
Les politiques relatives aux balises vous permettent de standardiser les balises associées aux AWS ressources dans les comptes de votre organisation.
Vous pouvez utiliser des politiques de balises pour maintenir la cohérence des balises, notamment le traitement préférentiel de la casse des clés et des valeurs de balise.
## Qu'est-ce qu'une balise ?
Les *balises* sont des étiquettes d'attributs personnalisées que vous attribuez ou que vous AWS attribuez à AWS des ressources. Chaque balise se compose de deux parties :
+ Une *clé de balise* (par exemple, `CostCenter`, `Environment` ou `Project`). Les clés de balises sont sensibles à la casse.
+ Un champ facultatif appelé *valeur de balise* (par exemple, `111122223333` ou `Production`). Si la valeur de balise est identique à l'utilisation d'une chaîne vide. Les valeurs de balise sont sensibles à la casse, tout comme les clés de balise.
La suite de cette page décrit les politiques de balises. Pour de plus amples informations sur les balises, consultez les sources suivantes :
+ Pour obtenir des informations générales sur le balisage, notamment les conventions de dénomination et d'utilisation, consultez le Guide de l'[https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html](https://docs.aws.amazon.com/tag-editor/latest/userguide/tagging.html).
+ Pour obtenir la liste des services qui prennent en charge l'utilisation de balises, consultez [https://docs.aws.amazon.com/resourcegroupstagging/latest/APIReference/Welcome.html](https://docs.aws.amazon.com/resourcegroupstagging/latest/APIReference/Welcome.html).
+ Pour plus d'informations sur l'utilisation de balises pour classer les ressources, consultez le livre blanc sur les [https://docs.aws.amazon.com/whitepapers/latest/tagging-best-practices/tagging-best-practices.html](https://docs.aws.amazon.com/whitepapers/latest/tagging-best-practices/tagging-best-practices.html).
+ Pour de plus amples informations sur le balisage des ressources Organizations, consultez [Ressources de balisage AWS OrganizationsConsidérations](orgs_tagging.md).
+ Pour plus d'informations sur le balisage des ressources dans d'autres services Services AWS, consultez la documentation de ce service.
## En quoi consistent les politiques de balises ?
Les *politiques de balises* sont un type de politique qui peut vous aider à standardiser les balises entre les ressources des comptes de votre organisation. Dans une politique de balises, vous spécifiez les règles de balisage applicables aux ressources lorsqu'elles sont balisées.
Par exemple, une politique de balises peut spécifier que lorsque la balise `CostCenter` est attachée à une ressource, elle doit utiliser le traitement de la casse et les valeurs de balise définis par la politique de balises. Une politique de balises peut également spécifier que des opérations de balisage non conformes sur certains types de ressources sont *appliquées*. En d'autres termes, les demandes de balisage non conformes sur des types de ressources spécifiés ne peuvent pas aboutir. Les ressources non balisées ou les balises qui ne sont pas définies dans la politique de balises ne sont pas soumises à une évaluation de conformité à la politique de balises.
L'utilisation de politiques de balises implique de travailler avec plusieurs Services AWS :
+ Utilisez **AWS Organizations** pour gérer les *politiques de balises*. Lorsque vous êtes connecté au compte de gestion de l'organisation, vous utilisez Organizations pour activer la fonction des politiques de balises. Vous devez vous connecter en tant qu'utilisateur IAM, assumer un rôle IAM ou vous connecter en tant qu'utilisateur racine ([non recommandé](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials)) dans le compte de gestion de l'organisation. Vous pouvez ensuite créer des politiques de balises et les attacher aux entités de l'organisation pour appliquer ces règles de balisage.
+ Utilisez **Groupes de ressources AWS** pour gérer la *conformité* aux politiques de balises. Lorsque vous êtes connecté à un compte de votre organisation, vous utilisez Resource Groups pour rechercher des balises non conformes sur les ressources du compte. Vous pouvez corriger les balises non conformes dans le AWS service dans lequel vous avez créé la ressource. Vous pouvez également utiliser l'[éditeur de balises](https://docs.aws.amazon.com/tag-editor/latest/userguide/tag-editor.html) et l'API de [balisage Resource Groups](https://docs.aws.amazon.com/resourcegroupstagging/latest/APIReference/overview.html) pour étiqueter et dissocier les ressources de plusieurs services.
Si vous vous connectez au compte de gestion de votre organisation, vous pouvez afficher les informations de conformité pour tous les comptes de l'organisation.
Les politiques de balises sont disponibles uniquement dans une organisation où [toutes les fonctions sont activées](orgs_manage_org_support-all-features.md). Pour de plus amples informations sur les exigences d'utilisation des politiques de balises, consultez [Conditions préalables et autorisations pour les politiques de gestion pour AWS Organizations](orgs_manage_policies_prereqs.md).
**Important**
Pour commencer à utiliser les politiques de balises, il AWS est vivement recommandé de suivre l'exemple de flux de travail décrit dans [Mise en route avec les politiques de balises](orgs_manage_policies_tag-policies-getting-started.md) avant de passer à des politiques de balises plus avancées. Il est préférable de comprendre les effets de l'attachement d'une politique de balises simple à un seul compte avant d'étendre les politiques de balises à l'ensemble d'une unité d'organisation ou d'une organisation. Il est particulièrement important de comprendre les effets d'une politique de balises avant d'*appliquer* la conformité à toute politique de balises. Les tableaux de la page [Mise en route avec les politiques de balises](orgs_manage_policies_tag-policies-getting-started.md) comportent également des liens vers des instructions pour des tâches plus avancées liées aux politiques.
# Bonnes pratiques pour l'utilisation de politiques de balises
AWS recommande les meilleures pratiques suivantes pour l'utilisation des politiques relatives aux balises.
## Décider d'une stratégie de capitalisation des balises
Déterminez comment utiliser les majuscules dans les balises et implémentez cette stratégie de manière systématique pour tous les types de ressources. Par exemple, décidez si vous souhaitez utiliser `Costcenter`, `costcenter` ou `CostCenter`, et utilisez la même convention pour toutes les balises. Pour obtenir des résultats cohérents dans les rapports de conformité, évitez d'utiliser des balises similaires avec un traitement de la casse incohérent. Cette stratégie vous aidera à définir des politiques de balises pour votre organisation.
## Utiliser le flux de travail recommandé
Commencez petit en créant une politique de balises simple. Attachez-la ensuite à un compte membre que vous pouvez utiliser à des fins de test. Utilisez les flux de travail décrits sous la rubrique [Mise en route avec les politiques de balises](orgs_manage_policies_tag-policies-getting-started.md).
## Déterminer des règles de balisage
Cela varie selon les besoins de votre organisation. Par exemple, vous souhaiterez peut-être spécifier que lorsqu'une `CostCenter` balise est attachée à des AWS Secrets Manager secrets, elle doit utiliser le traitement au cas par cas spécifié. Créez des politiques de balises qui définissent des balises conformes et attachez-les aux entités de l'organisation où vous souhaitez appliquer ces règles de balisage.
## Former les administrateurs de compte
Lorsque vous êtes prêt à étendre votre utilisation des politiques de balises, formez les administrateurs de compte comme suit :
+ Communiquez votre politique de balisage.
+ Soulignez le fait que les administrateurs doivent utiliser des balises sur des types de ressources spécifiques.
Cette étape est importante car les ressources non balisées ne s'affichent pas comme non conformes dans les résultats de conformité.
+ Donnez des conseils sur la vérification de la conformité aux politiques de balises. Demandez aux administrateurs de rechercher et de corriger les balises non conformes sur les ressources de leur compte en suivant la procédure décrite dans la section [Évaluation de la conformité d'un compte](https://docs.aws.amazon.com/tag-editor/latest/userguide/tag-policies-orgs-finding-noncompliant-tags.html) dans le Guide de l'utilisateur * AWS des ressources de balisage*. Indiquez la fréquence à laquelle vous souhaitez qu'ils vérifient la conformité.
## Soyez vigilant lors de l'application de la conformité.
L’application de la conformité risque d'empêcher les utilisateurs des comptes de votre organisation de baliser les ressources dont ils ont besoin. Prenez connaissance des informations de la rubrique [Renforcez la cohérence du balisage](orgs_manage_policies_tag-policies-enforcement.md). Consultez également les flux de travail décrits sous [Mise en route avec les politiques de balises](orgs_manage_policies_tag-policies-getting-started.md).
## Soyez conscient des limites de marquage
AWS les services ont généralement une limite de 50 balises définies par l'utilisateur qui ne peuvent pas être modifiées. Lorsque vous utilisez des fonctionnalités telles que les balises requises pour signaler, assurez-vous que les politiques efficaces de votre organisation ne dépassent pas 50 balises requises pour un type de ressource donné. Le dépassement de cette limite peut entraîner deux problèmes : les ressources peuvent ne pas être en mesure d'atteindre le statut de conformité indiqué dans les résumés de conformité, et les plateformes d'infrastructure en tant que code (IaC) peuvent ne pas créer de ressources lorsque plus de 50 balises sont définies comme requis.
## Envisagez de créer une politique de contrôle des services (SCP) pour définir des garde-fous autour des demandes de création de ressources
Les ressources auxquelles des balises n’ont jamais été associées ne s'affichent pas comme non conformes dans les rapports. Les administrateurs de compte peuvent toujours créer des ressources non balisées. Dans certains cas, vous pouvez utiliser une politique de contrôle des services (SCP) pour définir des barrières de sécurité autour des demandes de création de ressources.
Pour savoir si un AWS service prend en charge le contrôle d'accès à l'aide de balises, voir [Services AWS That Work with IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) dans le guide de l'*utilisateur IAM*. Recherchez les services dont la valeur est **« Oui »** dans la colonne **ABAC (autorisation basée sur les balises)**. Choisissez le nom du service pour afficher la documentation sur l'autorisation et le contrôle d'accès de ce service.
# Mise en route avec les politiques de balises
L'utilisation de politiques relatives aux balises implique de travailler avec plusieurs Services AWS. Pour commencer, consultez les pages suivantes. Suivez ensuite les flux de travail de cette page pour vous familiariser avec les politiques de balises et leurs effets.
+ [Conditions préalables et autorisations pour les politiques de gestion pour AWS Organizations](orgs_manage_policies_prereqs.md)
+ [Bonnes pratiques pour l'utilisation de politiques de balises](orgs_manage_policies_tag-policies-best-practices.md)
## Utilisation des politiques de balises pour la première fois
Suivez ces étapes pour commencer à utiliser les politiques de balises pour la première fois.
| Sous-tâche | Compte auquel vous connecter | AWS console de service à utiliser |
| --- | --- | --- |
| Étape 1 : [Activer les politiques de balises pour votre organisation.](enable-policy-type.md) | Le compte de gestion de l'organisation.¹ | [AWS Organizations](https://console.aws.amazon.com/organizations/) |
| Étape 2 : [Créer une politique de balises](orgs_policies_create.md#create-tag-policy-procedure). Votre première politique de balises doit rester simple. Entrez une clé de balise dans le traitement de la casse que vous souhaitez utiliser et conservez les valeurs par défaut de toutes les autres options. | Le compte de gestion de l'organisation.¹ | [AWS Organizations](https://console.aws.amazon.com/organizations/) |
| Étape 3 : [Attacher une politique de balises à un seul compte membre que vous pouvez utiliser à des fins de test.](orgs_policies_attach.md) Vous devrez vous connecter à ce compte à l'étape suivante. | Le compte de gestion de l'organisation.¹ | [AWS Organizations](https://console.aws.amazon.com/organizations/) |
| Étape 4 : Créer des ressources avec des balises conformes et d'autres ressources avec des balises non conformes. | Le compte membre que vous utilisez à des fins de test. | Tout AWS service avec lequel vous êtes à l'aise. Par exemple, vous pouvez utiliser [AWS Secrets Manager](https://console.aws.amazon.com/secretsmanager/) et suivre la procédure présentée dans [Création d'un secret basique](https://docs.aws.amazon.com/secretsmanager/latest/userguide/manage_create-basic-secret.html) pour créer des secrets conformes et non conformes. |
| Étape 5 : [Afficher la politique de balises effective et évaluer le statut de conformité du compte.](https://docs.aws.amazon.com/tag-editor/latest/userguide/tag-policies-orgs-finding-noncompliant-tags.html) | Le compte membre que vous utilisez à des fins de test. | [Resource Groups](https://console.aws.amazon.com/resource-groups/) et AWS service dans lequel la ressource a été créée. Si vous avez créé des ressources avec des balises conformes et non conformes, vous devriez voir les balises non conformes dans les résultats. |
| Étape 6 : Répéter le processus de recherche et de correction des problèmes de conformité jusqu'à ce que les ressources du compte de test soient conformes à votre politique de balises. | Le compte membre que vous utilisez à des fins de test. | [Resource Groups](https://console.aws.amazon.com/resource-groups/) et AWS service dans lequel la ressource a été créée. |
| Vous pouvez [évaluer la conformité à l'échelle de l'organisation](https://docs.aws.amazon.com/ARG/latest/userguide/tag-policies-orgs-evaluating-org-wide-compliance.html) à tout moment. | Le compte de gestion de l'organisation.¹ | [Groupes de ressources](https://console.aws.amazon.com/resource-groups/) |
¹ Vous devez vous connecter en tant qu'utilisateur IAM, assumer un rôle IAM ou vous connecter en tant qu'utilisateur racine ([non recommandé](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials)) dans le compte de gestion de l'organisation.
## Extension de l'utilisation des politiques de balises
Vous pouvez effectuer les tâches suivantes dans n'importe quel ordre pour étendre votre utilisation des politiques de balises.
| Tâche avancée | Compte auquel vous connecter | AWS console de service à utiliser |
| --- | --- | --- |
| [Créez des politiques de balises plus avancées](orgs_policies_create.md#create-tag-policy-procedure). Suivez le même processus que pour les utilisateurs débutants, en essayant d'autres tâches. Par exemple, définissez des clés ou des valeurs supplémentaires ou spécifiez un traitement de la casse différent pour une clé de balise. Vous pouvez utiliser les informations des rubriques [Fonctionnement de l'héritage des politiques de gestion](orgs_manage_policies_inheritance_mgmt.md) et [Syntaxe des politiques de balises](orgs_manage_policies_example-tag-policies.md#tag-policy-syntax-reference) pour créer des politiques de balises plus détaillées. | Le compte de gestion de l'organisation.¹ | [AWS Organizations](https://console.aws.amazon.com/organizations/) |
| [Attachez des politiques en matière de balises à des comptes supplémentaires ou OUs.](orgs_policies_attach.md) Vérifiez la [politique de balises effective d'un compte](orgs_manage_policies_effective.md) après avoir attaché d'autres politiques à ce compte ou à toute unité d'organisation dont il est membre. | Le compte de gestion de l'organisation.¹ | [AWS Organizations](https://console.aws.amazon.com/organizations/) |
| Créez une SCP pour exiger des balises lorsque quelqu'un crée de nouvelles ressources. | Le compte de gestion de l'organisation.¹ | [AWS Organizations](https://console.aws.amazon.com/organizations/) |
| [Continuez à évaluer le statut de conformité du compte par rapport à la politique de balises effective à mesure de son évolution. Corrigez les balises non conformes.](https://docs.aws.amazon.com/ARG/latest/userguide/tag-policies-orgs-finding-noncompliant-tags.html) | Un compte membre avec une politique de balises effective. | [Resource Groups](https://console.aws.amazon.com/resource-groups/) et AWS service dans lequel la ressource a été créée. |
| [Évaluez la conformité à l'échelle de l'organisation](https://docs.aws.amazon.com/ARG/latest/userguide/tag-policies-orgs-evaluating-org-wide-compliance.html). | Le compte de gestion de l'organisation.¹ | [Groupes de ressources](https://console.aws.amazon.com/resource-groups/) |
¹ Vous devez vous connecter en tant qu'utilisateur IAM, assumer un rôle IAM ou vous connecter en tant qu'utilisateur racine ([non recommandé](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials)) dans le compte de gestion de l'organisation.
## Application des politiques de balises pour la première fois
Pour appliquer des politiques de balises pour la première fois, suivez un flux de travail similaire à l'utilisation des politiques de balises pour la première fois et utilisez un compte de test.
**Avertissement**
Soyez vigilant lors de l'application de la conformité. Assurez-vous de bien comprendre les effets de l'utilisation des politiques de balises et de suivre le flux de travail recommandé. Testez le fonctionnement de l'application sur un compte de test avant de l'étendre à d'autres comptes. Sinon, vous risquez d'empêcher des utilisateurs de comptes de votre organisation de baliser les ressources dont ils ont besoin. Pour de plus amples informations, consultez [Renforcez la cohérence du balisage](orgs_manage_policies_tag-policies-enforcement.md).
| Tâches d'application | Compte auquel vous connecter | AWS console de service à utiliser |
| --- | --- | --- |
| Étape 1 : [Créez une politique de balises](orgs_policies_create.md#create-tag-policy-procedure). Votre première politique de balises appliquée doit rester simple. Entrez une clé de balise dans le traitement de la casse que vous souhaitez utiliser, puis choisissez l'option **Empêcher les opérations non conformes pour cette balise**. Spécifiez ensuite un type de ressource sur lequel l'appliquer. Dans le cas de l'exemple précédent, vous pouvez choisir de l'appliquer sur des secrets de Secrets Manager. | Le compte de gestion de l'organisation.¹ | [AWS Organizations](https://console.aws.amazon.com/organizations/) |
| Étape 2 : [Attachez une politique de balises à un seul compte de test.](orgs_policies_attach.md) | Le compte de gestion de l'organisation.¹ | [AWS Organizations](https://console.aws.amazon.com/organizations/) |
| Étape 3 : Essayez de créer des ressources avec des balises conformes et d'autres avec des balises non conformes. Vous ne devriez pas être autorisé à créer une balise sur une ressource du type spécifié dans la politique de balises avec une balise non conforme. | Le compte membre que vous utilisez à des fins de test. | Tout AWS service avec lequel vous êtes à l'aise. Par exemple, vous pouvez utiliser [AWS Secrets Manager](https://console.aws.amazon.com/secretsmanager/) et suivre la procédure présentée dans [Création d'un secret basique](https://docs.aws.amazon.com/secretsmanager/latest/userguide/manage_create-basic-secret.html) pour créer des secrets conformes et non conformes. |
| Étape 4 : [ Évaluez le statut de conformité du compte par rapport à la politique de balises effective et corrigez les balises non conformes.](https://docs.aws.amazon.com/ARG/latest/userguide/tag-policies-orgs-finding-noncompliant-tags.html) | Le compte membre que vous utilisez à des fins de test. | [Resource Groups](https://console.aws.amazon.com/resource-groups/) et AWS service dans lequel la ressource a été créée. |
| Étape 5 : Répétez le processus de recherche et de correction des problèmes de conformité jusqu'à ce que les ressources du compte de test soient conformes à votre politique de balises. | Le compte membre que vous utilisez à des fins de test. | [Resource Groups](https://console.aws.amazon.com/resource-groups/) et AWS service dans lequel la ressource a été créée. |
| Vous pouvez [évaluer la conformité à l'échelle de l'organisation](https://docs.aws.amazon.com/ARG/latest/userguide/tag-policies-orgs-evaluating-org-wide-compliance.html) à tout moment. | Le compte de gestion de l'organisation.¹ | [Groupes de ressources](https://console.aws.amazon.com/resource-groups/) |
¹ Vous devez vous connecter en tant qu'utilisateur IAM, assumer un rôle IAM ou vous connecter en tant qu'utilisateur racine ([non recommandé](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials)) dans le compte de gestion de l'organisation.
# Conformité du balisage des rapports
Les politiques de balises fournissent un mode de rapport pour les « règles de conformité de base » et la « clé de balise requise ». Vous pouvez utiliser ce mode pour évaluer la conformité d'un compte de votre organisation à sa politique en matière de balises en vigueur. Le rapport généré inclut uniquement les ressources qui ont eu au moins une balise définie par l'utilisateur à un moment quelconque de leur cycle de vie.
**Important**
Les ressources non balisées n'apparaissent pas comme non conformes dans les résultats.
Pour rechercher des ressources non balisées dans votre compte, utilisez l'Explorateur de AWS ressources avec une requête qui utilise`tag:none`. Pour plus d'informations, consultez [la section Rechercher des ressources non balisées](https://docs.aws.amazon.com/resource-explorer/latest/userguide/using-search-query-examples.html#example-1) dans le *guide de l'utilisateur de AWS Resource Explorer*.
**Topics**
+ [Rapports pour les « règles de conformité de base »](#reporting-basic-compliance-rules)
+ [Signaler une « clé de balise requise »](#reporting-required-tag-key)
+ [Génération d'un rapport de conformité à l'échelle de l'organisation](enforcement-report.md)
## Rapports pour les « règles de conformité de base »
Grâce aux rapports relatifs aux règles de conformité de base, vous pouvez générer un rapport de conformité en matière de balisage qui vérifie la conformité par rapport à la capitalisation et aux valeurs de balise autorisées.
**Pour signaler,**
Dans l'onglet Éditeur visuel, entrez la valeur de la clé de balise par rapport à laquelle vous souhaitez signaler la conformité. La capture d'écran ci-dessous montre un rapport de conformité client pour la clé de balise CostCenter « ». Dans cet exemple, le rapport mettra en évidence une ressource étiquetée comme étant conforme si elle ne correspond qu'à une valeur minuscule de la clé de balise « CostCenter », ce qui signifie que la chaîne est égale à « costcenter ».
![\[Onglet éditeur visuel montrant la configuration de la politique de CostCenter tag pour le tag avec des valeurs légales et RH\]](http://docs.aws.amazon.com/fr_fr/organizations/latest/userguide/images/tag-policies-basic-compliance-reporting.png)
Le JSON ci-dessous génère un rapport de conformité pour les ressources par rapport à une valeur minuscule de la clé de balise « CostCenter ».
```
{
"tags": {
"CostCenter": {}
}
}
```
**Pour rendre compte de la capitalisation,**
Dans l'onglet Éditeur visuel, entrez la valeur de la clé de balise par rapport à laquelle vous souhaitez signaler la conformité, puis sélectionnez l'option Capitalisation. La capture d'écran ci-dessous montre un rapport de conformité client pour la clé de balise CostCenter « » avec majuscule. Dans cet exemple, le rapport mettra en évidence une ressource balisée comme étant conforme si sa chaîne correspond exactement à la clé de balise CostCenter « ».
![\[Onglet éditeur visuel affichant la configuration de la politique de CostCenter balise pour les balises avec majuscules\]](http://docs.aws.amazon.com/fr_fr/organizations/latest/userguide/images/tag-policies-basic-compliance-capitalization.png)
Le JSON ci-dessous génère un rapport de conformité des ressources par rapport à la clé de balise CostCenter « » avec une majuscule.
```
{
"tags": {
"CostCenter": {
"tag_key": {
"@@assign": "CostCenter"
}
}
}
}
```
**Pour établir un rapport sur les valeurs de balises autorisées en majuscules,**
Dans l'onglet Éditeur visuel, entrez la valeur de la clé de balise par rapport à laquelle vous souhaitez signaler la conformité, sélectionnez l'option Valeurs autorisées et entrez des valeurs pour les valeurs de balise autorisées. La capture d'écran ci-dessous montre un rapport de conformité client pour la clé de balise CostCenter « » avec les majuscules et les valeurs de balise autorisées. Dans cet exemple, le rapport indiquera qu'une ressource balisée est conforme s'il s'agit d'une chaîne correspondant exactement à la clé de balise CostCenter « » et si la valeur de la balise est « HR » ou « Legal ».
![\[Onglet éditeur visuel affichant la configuration de la politique de CostCenter balise pour les balises avec majuscules et les valeurs de balise autorisées HR et Legal\]](http://docs.aws.amazon.com/fr_fr/organizations/latest/userguide/images/tag-policies-basic-compliance-allowed-tag-values-with-capitalization.png)
Le JSON ci-dessous génère un rapport de conformité des ressources par rapport à la clé de balise CostCenter « » avec une majuscule et les valeurs de balise autorisées « HR » et « Legal ».
```
{
"tags": {
"CostCenter": {
"tag_key": {
"@@assign": "CostCenter"
},
"tag_value": {
"@@assign": [
"HR",
"Legal"
]
}
}
}
}
```
## Signaler une « clé de balise requise »
**Avertissement**
La console AWS Resource Groups ne prend actuellement pas en charge la création de rapports sur les clés de balise requises lors de l'évaluation de la conformité d'un compte. Les ressources non conformes auxquelles il manque une clé de balise requise n'apparaîtront pas dans la section **Ressources contenant des balises non conformes** et ne marqueront pas le compte comme non conforme. Utilisez plutôt un rapport de conformité à l'échelle de l'entreprise pour rechercher les ressources non conformes auxquelles il manque une clé de balise requise.
Grâce aux rapports sur les clés de balise requises, vous pouvez évaluer si votre opération de création de ressources ne contient pas de clés de balise obligatoires ou obligatoires. Exécutez la commande suivante dans votre CLI pour répertorier les clés de balise requises définies dans la politique de balise effective du compte. Vous pouvez utiliser ces informations pour vérifier manuellement que vous créez une ressource avec toutes les balises requises telles que définies par l'administrateur de votre compte.
```
$ aws resourcegroupstaggingapi list-required-tags
```
**Pour signaler les clés de tag requises,**
Dans l'onglet Éditeur visuel, entrez la valeur de la clé de balise par rapport à laquelle vous souhaitez signaler la conformité, puis sélectionnez l'option **Marquer la balise comme requise pour le rapport**. La capture d'écran ci-dessous montre un rapport de conformité client pour la clé de balise CostCenter « » avec une capitalisation et un rapport pour la clé de balise requise. Dans cet exemple, le rapport mettra en évidence une ressource balisée comme étant conforme si elle contient la chaîne exacte « CostCenter » comme clé de balise.
**Important**
Vous devez sélectionner à la fois les balises Capitalisation et Marque selon les besoins pour les options de reporting afin de générer un rapport des types de ressources sélectionnés pour lesquels les balises requises sont manquantes. Par exemple, vous utiliserez ces deux options lorsque vous tenterez de vérifier la correspondance exacte avec la clé de balise CostCenter « ».
Vous pouvez uniquement sélectionner l'option Marquer les balises comme requises pour les rapports afin de générer un rapport sur les types de ressources sélectionnés pour lesquels les balises requises sont manquantes. Dans ce scénario, le rapport généré marquera les ressources comme conformes si elles présentent des variantes « », CostCenter « CostCenter », « Costcenter », « costcenter » ou toute autre variante similaire. Cette fonctionnalité vous permet de générer des rapports de conformité pour certains types de ressources, au lieu de toutes les ressources étiquetées de votre compte.
Si vous sélectionnez uniquement la mise en majuscules, un rapport sera généré pour TOUTES les ressources étiquetées et marquera ces ressources comme non conformes si la clé de balise ne correspond pas exactement à une chaîne.
![\[Onglet éditeur visuel affichant la configuration de la politique de balises pour les rapports de balises requis\]](http://docs.aws.amazon.com/fr_fr/organizations/latest/userguide/images/tag-policies-basic-compliance-required-tag.png)
Le JSON ci-dessous génère un rapport de conformité pour les ressources par rapport à la clé de balise CostCenter « » avec une majuscule et une balise mark, comme requis pour le reporting.
```
{
"tags": {
"CostCenter": {
"tag_key": {
"@@assign": "CostCenter"
},
"report_required_tag_for": {
"@@assign": [
"ec2:ALL_SUPPORTED"
]
}
}
}
}
```
**Pour faire appliquer,**
Vous pouvez utiliser les rapports à l'aide d'outils IaC tels que CloudFormation Terraform et Pulumi pour avertir vos développeurs ou bloquer les déploiements dont les balises requises sont manquantes. Vous pouvez désormais utiliser une politique de balises efficace qui fonctionne entre CloudFormation Terraform et Pulumi. Voir [Appliquer la « clé de balise requise » avec iAc](enforce-required-tag-keys-iac.md) pour plus de détails.
# Génération d'un rapport de conformité à l'échelle de l'organisation
À tout moment, vous pouvez générer un rapport répertoriant toutes les ressources balisées de votre organisation. Comptes AWS Le rapport indique si chaque ressource est conforme à la politique de balises effective. Notez que l'affichage des modifications apportées à une politique de balises ou à des ressources dans le rapport de conformité à l'échelle de l'organisation peut prendre jusqu'à 48 heures. Par exemple, si vous avez une politique de balises qui définit une nouvelle balise standardisée pour un type de ressource, les ressources de ce type qui ne possèdent pas cette balise sont indiquées comme conformes dans le rapport pendant 48 heures au maximum.
Vous pouvez générer le rapport à partir du compte de gestion de votre organisation dans la région `us-east-1`, à condition qu'elle ait accès à un compartiment Amazon S3. Une politique de compartiment doit être attachée au compartiment, comme indiqué sous la rubrique [Amazon S3 Bucket Policy for Storing Report](https://docs.aws.amazon.com/ARG/latest/userguide/tag-policies-prereqs.html#bucket-policy). Pour générer le rapport, exécutez la commande suivante :
```
$ aws resourcegroupstaggingapi start-report-creation --region us-east-1
```
Vous pouvez générer un rapport à la fois.
La création de ce rapport peut prendre un certain temps. Vous pouvez vérifier son statut en exécutant la commande suivante :
```
$ aws resourcegroupstaggingapi describe-report-creation --region us-east-1
{
"Status": "SUCCEEDED"
}
```
Une fois que la commande ci-dessus renvoie `SUCCEEDED`, vous pouvez ouvrir le rapport à partir du compartiment Amazon S3.
# Renforcez la cohérence du balisage
Les politiques de balises fournissent deux fonctionnalités pour vous aider à renforcer la cohérence du balisage dans vos AWS environnements : « Règles de conformité de base » et « Clé de balise requise ». Vous pouvez utiliser ces fonctionnalités avec deux modes de politique de balises : application et reporting. Cette section met en évidence le mode d'application pour les deux fonctionnalités. Pour plus de détails sur le mode de création de rapports pour les deux fonctionnalités, voir « Signaler la conformité en matière de balisage ».
**Topics**
+ [Appliquer les « règles de conformité de base »](#basic-compliance-rules)
+ [Bonnes pratiques](#best-practices)
+ [Appliquer la « clé de balise requise » avec IaC](enforce-required-tag-keys-iac.md)
+ [Syntaxe des politiques de balises et exemples](orgs_manage_policies_example-tag-policies.md)
## Appliquer les « règles de conformité de base »
En appliquant les règles de conformité de base, vous pouvez empêcher la création de ressources avec des valeurs de balises qui ne répondent pas aux exigences spécifiées dans votre politique de balises. Par exemple, vous pouvez définir une politique qui bloque les opérations de EC2 création d'Amazon si la clé de balise CostCenter « » fournie n'a pas de valeur de balise « Business » ou « Legal ». Les règles de conformité de base vous permettent également d'appliquer les règles en fonction de la capitalisation des clés de balise. L'activation de la capitalisation garantit que les clés des balises correspondent exactement aux chaînes de caractères. La mise en majuscule traite CostCenter « », « CostCenter » et « Costcenter » comme des clés de balise uniques, ce qui signifie que l'application des clés de balise distingue les majuscules et minuscules. L'application des majuscules empêche les équipes de créer accidentellement des variations de tags. La cohérence du balisage est essentielle à la fois à la précision du suivi des coûts et aux politiques de sécurité du contrôle d'accès basé sur les attributs (ABAC) qui reposent sur une correspondance précise des balises pour accorder ou refuser l'accès aux ressources.
**Important**
Les règles de conformité de base n'appliquent pas la conformité aux balises sur les ressources créées sans balises. Cette fonctionnalité n'impose pas l'absence de clés de balise. Vous ne pouvez pas utiliser cette fonctionnalité pour garantir que les clés de balise requises ou obligatoires sont configurées lors de la création de la ressource. Utilisez le mode reporting dans « Clés de balise requises » pour appliquer les clés de balise requises pour les ressources créées par des outils IaC tels que CloudFormation Terraform et Pulumi. SCPs À utiliser pour empêcher les utilisateurs et les rôles IAM dans les comptes cibles de créer certains types de ressources si la demande n'inclut pas les balises spécifiées.
Pour appliquer les règles de conformité de base aux politiques de balises, effectuez l'une des opérations suivantes lorsque vous [créez une politique de balises](orgs_policies_create.md) :
+ Dans l'onglet **Éditeur visuel**, sélectionnez l'option **Empêcher les opérations non conformes pour cette balise**. Consultez la section [Création d'une politique de balises](orgs_policies_create.md) pour savoir comment créer et joindre une politique de balises.
+ Dans l'onglet **JSON**, utilisez le champ `enforced_for`. Pour de plus amples informations sur la syntaxe des politiques de balises, consultez [Syntaxe des politiques de balises et exemples](orgs_manage_policies_example-tag-policies.md).
L'image ci-dessous montre l'expérience de console de l'onglet Visual editor. Dans cet exemple, le client définit une politique de balises qui appliquera la validation de la valeur des balises uniquement pour les types de EC2 ressources Amazon pris en charge par les politiques de balises. Cette politique vérifiera si la valeur de la balise est « Legal » ou « HR » lorsque la clé de balise fournie est « CostCenter » pour les types de EC2 ressources Amazon. Cette politique applique également la capitalisation, ce qui signifie qu'elle recherche une chaîne correspondant exactement à la clé de balise « CostCenter ».
![\[Onglet éditeur visuel montrant la configuration de la politique de CostCenter tag pour le tag avec des valeurs légales et RH\]](http://docs.aws.amazon.com/fr_fr/organizations/latest/userguide/images/tag-policies-basic-compliance.png)
Le JSON ci-dessous est la politique de balises générée à partir de l'exemple « CostCenter » ci-dessus.
**Important**
Nous vous recommandons d'utiliser l'éditeur visuel lorsque vous définissez votre politique de balises pour la première fois. L'éditeur visuel garantit la validité de la syntaxe de votre politique de balises, sans étapes supplémentaires, et vous offre une expérience cliquable simplifiée pour définir votre politique de balises. Vous pouvez utiliser l'éditeur visuel ou l'onglet JSON pour définir votre politique en matière de balises.
```
{
"tags": {
"CostCenter": {
"tag_key": {
"@@assign": "CostCenter"
},
"tag_value": {
"@@assign": [
"HR",
"Legal"
]
},
"enforced_for": {
"@@assign": [
"ec2:ALL_SUPPORTED"
]
}
}
}
}
```
## Bonnes pratiques
Suivez ces bonnes pratiques en matière d'application avec les « Règles de conformité de base » et les « Clés de balise requises pour iAc » avec les politiques de balises :
+ **Faites preuve de prudence lors de l'application de la conformité** : assurez-vous de comprendre les effets de l'utilisation de politiques en matière de balises et de suivre les flux de travail recommandés décrits dans[Mise en route avec les politiques de balises](orgs_manage_policies_tag-policies-getting-started.md). Testez le fonctionnement de l'application sur un compte test avant de l'étendre à d'autres comptes ou unités organisationnelles. Sinon, vous risquez d'empêcher des utilisateurs de comptes de votre organisation de créer les ressources dont ils ont besoin.
+ **Soyez conscient des types de ressource que vous pouvez appliquer**. Vous pouvez uniquement appliquer la conformité aux politiques de balise sur les [types de ressources pris en charge](orgs_manage_policies_supported-resources-enforcement.md). Les types de ressources prenant en charge l'application de la conformité sont répertoriés lorsque vous utilisez l'éditeur visuel pour créer une politique de balises.
+ **Comprenez les interactions avec certains services** : certains Services AWS proposent des groupements de ressources semblables à des conteneurs qui créent automatiquement des ressources pour vous et propagent les balises d'une ressource d'un service à l'autre. Par exemple, les balises des EC2 groupes Amazon et des clusters Amazon EMR peuvent se propager automatiquement aux instances Amazon contenues. EC2 Vous avez peut-être des politiques en matière de balises pour Amazon EC2 plus strictes que pour les groupes ou les clusters Amazon EMR. Si vous activez l'application, la politique de balises empêche les ressources d'être balisées et peut bloquer le dimensionnement et le provisionnement dynamiques.
Les sections suivantes montrent comment trouver des ressources non conformes et les corriger pour qu'elles soient conformes.
**Topics**
+ [Identifiez et corrigez les incohérences en matière de balisage](orgs_manage_policies_tag-policies-identify-remediate.md)
# Appliquer la « clé de balise requise » avec IaC
Les politiques de balises vous aident à maintenir un balisage cohérent dans l'ensemble de vos déploiements d'infrastructure sous forme de code (IaC). Avec les « clés de balise requises », vous pouvez vous assurer que toutes les ressources créées via des outils IaC tels CloudFormation que Terraform et Pulumi incluent les balises obligatoires définies par votre organisation.
Cette fonctionnalité vérifie vos déploiements iAc par rapport aux politiques de tag de votre organisation avant de créer des ressources. Lorsqu'un déploiement ne contient pas les balises requises, vous pouvez configurer vos paramètres iAc pour avertir vos équipes de développement ou empêcher complètement le déploiement. Cette approche proactive garantit la conformité du balisage dès la création des ressources, au lieu de nécessiter une correction manuelle ultérieure. L'application fonctionne sur plusieurs outils IaC à l'aide d'une seule définition de politique de balises, ce qui élimine le besoin de configurer des règles de balisage distinctes pour chaque outil utilisé par votre organisation.
**Topics**
+ [Renforcez avec CloudFormation](#enforce-with-cloudformation)
+ [Appliquer avec Terraform](#enforce-with-terraform)
+ [Renforcez avec Pulumi](#enforce-with-pulumi)
## Renforcez avec CloudFormation
**Note**
Pour appliquer les clés de balise requises CloudFormation, vous devez spécifier les balises requises pour votre type de ressource dans les politiques de balises. Pour en savoir plus, consultez la section [Signaler une « clé de balise requise »](orgs_manage_policies_tag-policies-report-tagging-compliance.md#reporting-required-tag-key).
**Configurer le rôle d'exécution pour le TaggingComplianceValidator crochet AWS : TagPolicies : : :**
Avant d'activer le `AWS::TagPolicies::TaggingComplianceValidator` hook, vous devez créer un rôle d'exécution que le hook utilise pour accéder aux AWS services. Le rôle doit être associé à la politique de confiance suivante :
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": [
"resources.cloudformation.amazonaws.com",
"hooks.cloudformation.amazonaws.com"
]
},
"Action": [
"sts:AssumeRole"
]
}
]
}
```
Le rôle d'exécution doit également disposer d'une politique de rôle avec au moins les autorisations suivantes :
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"tag:ListRequiredTags"
],
"Resource": "*"
}
]
}
```
Pour plus d'informations sur la configuration des rôles d'exécution pour les extensions publiques, voir [Configurer un rôle d'exécution avec des autorisations IAM et une politique de confiance pour l'accès aux extensions publiques](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/registry-public.html#registry-public-enable-execution-role) dans le Guide de l' CloudFormation utilisateur.
**Activez le TaggingComplianceValidator crochet AWS TagPolicies : : :**
**Important**
Avant de continuer, vérifiez que vous disposez des autorisations requises pour utiliser les Hooks et consulter les contrôles proactifs depuis la CloudFormation console. Pour plus d'informations, consultez la section [Accorder des autorisations IAM pour les CloudFormation Hooks.](https://docs.aws.amazon.com/cloudformation-cli/latest/hooks-userguide/grant-iam-permissions-for-hooks.html)
Après avoir mis à jour votre politique en matière de balises, vous devez activer le `AWS::TagPolicies::TaggingComplianceValidator` hook dans tous les AWS comptes et régions où vous souhaitez faire respecter les exigences en matière de balisage.
Ce hook AWS géré peut être configuré selon deux modes :
+ **Mode d'avertissement** : autorise les déploiements mais génère des avertissements lorsque les balises requises sont manquantes
+ **Mode échec** : bloque les déploiements auxquels il manque les balises requises
Pour activer le hook à l'aide de la AWS CLI :
```
aws cloudformation activate-type \
--type HOOK \
--type-name AWS::TagPolicies::TaggingComplianceValidator \
--execution-role-arn arn:aws:iam::123456789012:role/MyHookExecutionRole \
--publisher-id aws-hooks \
--region us-east-1
```
```
aws cloudformation set-type-configuration \
--configuration '{"CloudFormationConfiguration":{"HookConfiguration":{"HookInvocationStatus": "ENABLED", "FailureMode": "WARN", "TargetOperations": ["STACK"], "Properties":{}}}}' \
--type-arn "arn:aws:cloudformation:us-east-1:123456789012:type/hook/AWS-TagPolicies-TaggingComplianceValidator" \
--region us-east-1
```
`region`Remplacez-le par votre AWS région cible et passez `"FailureMode":"FAIL"` au mode d'avertissement `"FailureMode":"WARN"` si vous préférez.
**Activez le lien AWS TagPolicies : : : TaggingComplianceValidator : sur plusieurs comptes et régions avec CloudFormation StackSets**
Pour les organisations possédant plusieurs AWS comptes, vous pouvez AWS CloudFormation StackSets activer le crochet de conformité en matière de balisage pour tous vos comptes et régions simultanément.
CloudFormation StackSets vous permettent de déployer le même CloudFormation modèle sur plusieurs comptes et régions en une seule opération. Cette approche garantit une application cohérente du balisage dans AWS l'ensemble de votre organisation sans nécessiter de configuration manuelle pour chaque compte.
À utiliser CloudFormation StackSets à cette fin :
1. Créez un CloudFormation modèle qui active le crochet de conformité en matière de balisage
1. Déployez le modèle en utilisant CloudFormation StackSets pour cibler vos unités organisationnelles ou des comptes spécifiques
1. Spécifiez toutes les régions dans lesquelles vous souhaitez activer l'application
Le CloudFormation StackSets déploiement gérera automatiquement le processus d'activation pour tous les comptes et régions spécifiés, garantissant ainsi une conformité uniforme en matière de balisage dans l'ensemble de votre organisation. [Pour savoir comment déployer des CloudFormation Hooks dans une organisation avec un service géré CloudFormation StackSets, consultez ce AWS blog.](https://aws.amazon.com/blogs/devops/deploy-cloudformation-hooks-to-an-organization-with-service-managed-stacksets/)
*Déployez le CloudFormation modèle ci-dessous en utilisant CloudFormation StackSets pour activer le AWS : TagPolicies : : TaggingComplianceValidator Hook pour les comptes de votre organisation.*
**Important**
Ce crochet ne fonctionne que comme un StackHook. Il n'a aucun effet lorsqu'il est utilisé comme crochet de ressources.
```
Resources:
# Activate the AWS-managed hook type
HookTypeActivation:
Type: AWS::CloudFormation::TypeActivation
Properties:
AutoUpdate: True
PublisherId: "AWS"
TypeName: "AWS::TagPolicies::TaggingComplianceValidator"
# Configure the hook
HookTypeConfiguration:
Type: AWS::CloudFormation::HookTypeConfig
DependsOn: HookTypeActivation
Properties:
TypeName: "AWS::TagPolicies::TaggingComplianceValidator"
TypeArn: !GetAtt HookTypeActivation.Arn
Configuration: !Sub |
{
"CloudFormationConfiguration": {
"HookConfiguration": {
"TargetStacks": "ALL",
"TargetOperations": ["STACK"],
"Properties": {},
"FailureMode": "Warn",
"TargetFilters": {
"Actions": [
"CREATE",
"UPDATE"
]}
}
}
}
```
**Note**
Pour plus d'informations sur l'utilisation CloudFormation des hooks, voir [Activer un hook basé sur le contrôle proactif dans votre compte](https://docs.aws.amazon.com/cloudformation-cli/latest/hooks-userguide/proactive-controls-hooks-activate-hooks.html).
## Appliquer avec Terraform
Pour appliquer les clés de balise requises avec Terraform, vous devez mettre à jour votre AWS fournisseur Terraform vers la version 6.22.0 ou supérieure et activer la validation des politiques de balises dans la configuration de votre fournisseur. Pour plus de détails sur la mise en œuvre et des exemples de configuration, consultez la [documentation du AWS fournisseur Terraform sur l'application de la politique en matière de balises](https://registry.terraform.io/providers/hashicorp/aws/latest/docs/guides/tag-policy-compliance).
## Renforcez avec Pulumi
Pour appliquer les clés de balise requises avec Pulumi, vous devez activer le pack de politiques Tag Policy Reporting dans Pulumi Cloud et configurer votre rôle IAM avec des autorisations de lecture des politiques de balises. Pour plus de détails sur la mise en œuvre et des exemples de configuration, consultez la [documentation de Pulumi sur l'application de la politique en matière de balises](https://www.pulumi.com/docs/insights/policy/integrations/aws-organizations-tag-policies/#aws-organizations-tag-policies).
# Syntaxe des politiques de balises et exemples
Cette page décrit la syntaxe des politiques de balises et fournit des exemples.
**Topics**
+ [Syntaxe des politiques de balises](#tag-policy-syntax-reference)
+ [Exemples de politiques de balises](#tag-policy-examples)
+ [Exemple 1 : Définition d'une casse de clé de balise à l'échelle de l'organisation](#tag-policy-example-key-case)
+ [Exemple 2 : Empêcher l'utilisation d'une clé de balise](#tag-policy-example-prevent-key)
+ [Exemple 3 : Spécifier une politique de balises pour tous les types de ressources pris en charge par un AWS service spécifique](#tag-policy-example-all-supported)
+ [Exemple 4 : appliquer les clés de balise requises pour garantir la conformité](#tag-policy-example-required-tags)
## Syntaxe des politiques de balises
Une politique de balises est un fichier texte brut qui est structuré conformément aux règles de [JSON](http://json.org). La syntaxe des politiques de balises suit la syntaxe des types de politiques de gestion. Pour une présentation complète de cette syntaxe, consultez [Fonctionnement de l'héritage des politiques de gestion](orgs_manage_policies_inheritance_mgmt.md). Cette rubrique se concentre sur l'application de cette syntaxe générale aux exigences spécifiques du type de politique de balises.
La politique de balises suivante présente une syntaxe de base :
```
{
"tags": {
"costcenter": {
"tag_key": {
"@@assign": "CostCenter"
},
"tag_value": {
"@@assign": [
"100",
"200",
"300*"
]
},
"enforced_for": {
"@@assign": [
"secretsmanager:ALL_SUPPORTED"
]
}
}
}
}
```
La syntaxe d'une politique de balises inclut les composants suivants :
+ Le nom de clé du champ `tags`. Les politiques de balises commencent toujours par ce nom de clé fixe. Il s'agit de la ligne du haut dans l'exemple de politique ci-dessus.
+ Une *clé de politique* qui identifie de manière unique l'instruction de politique. Elle doit correspondre à la valeur de la *clé de balise*, sauf pour le traitement de la casse. La valeur de la politique distingue les majuscules et minuscules.
Dans cet exemple, `costcenter` est la clé de politique.
+ Au moins une *clé de balise* qui spécifie la clé de balise autorisée avec l'utilisation des majuscules avec laquelle vous souhaitez que les ressources soient conformes. Si le traitement de la casse n'est pas défini, les clés de balise utilisent des minuscules par défaut. La valeur de la clé de balise doit correspondre à celle de la clé de politique. Toutefois, étant donné que la valeur de la clé de politique n'est pas sensible à la casse, l'usage de la casse peut être différent.
Dans cet exemple, `CostCenter` est la clé de balise. Il s'agit du traitement de casse requis pour la conformité à la politique de balises. Les ressources qui utilisent un autre traitement de la casse pour cette clé de balise ne sont pas conformes à la politique de balises.
Vous pouvez définir plusieurs clés de balise dans une politique de balises.
+ (Facultatif) Une liste d'une ou plusieurs *valeurs de balise* acceptables pour la clé de balise. Si la politique de balises ne spécifie pas de valeur de balise pour une clé de balise, toutes les valeurs (y compris aucune valeur) sont considérées comme conformes.
Dans cet exemple, les valeurs acceptables pour la clé de `CostCenter` balise sont `100``200`, et`300*`.
+ (Facultatif) Une option `enforced_for` qui indique s'il convient d'empêcher toute opération de balisage non conforme sur les services et ressources spécifiés. Dans la console, il s'agit de l'option **Empêcher les opérations non conformes pour cette balise** dans l'éditeur visuel permettant de créer des politiques de balises. La valeur par défaut de cette option est null.
L'exemple de politique de balise indique que la `CostCenter` balise appliquée à toutes les AWS Secrets Manager ressources doit être conforme à cette politique.
**Avertissement**
Vous ne devez modifier cette option par défaut que si vous êtes familiarisé avec l'utilisation de politiques de balises. Sinon, vous risquez d'empêcher des utilisateurs de comptes de votre organisation de créer les ressources dont ils ont besoin.
+ Des *opérateurs* qui spécifient la manière dont la politique de balises fusionne avec les autres politiques de balises dans l'arborescence de l'organisation pour créer la [politique de balises effective](orgs_manage_policies_effective.md) d'un compte. Dans cet exemple, `@@assign` est utilisé pour affecter des chaînes à `tag_key`, `tag_value` et `enforced_for`. Pour plus d'informations sur les opérateurs, consultez [Opérateurs d'héritage](policy-operators.md).
+ Vous pouvez utiliser le `*` caractère générique dans les valeurs des balises.
+ Vous pouvez utiliser un caractère générique par valeur de balise. Par exemple, `*@example.com` est autorisé, contrairement à `*@*.com`.
+ Vous pouvez utiliser le `ALL_SUPPORTED` caractère générique `enforced_for` sur le terrain pour certains services afin de permettre l'application de toutes les ressources prises en charge pour ce service. Pour obtenir la liste des services et des types de ressources qui prennent en charge `enforced_for`, consultez [Services et types de ressource prenant en charge l'application](orgs_manage_policies_supported-resources-enforcement.md).
+ Vous ne pouvez pas utiliser un caractère générique pour spécifier tous les services ou pour spécifier une ressource pour tous les services.
## Exemples de politiques de balises
Les exemples de [politiques de balises](orgs_manage_policies_tag-policies.md) qui suivent sont fournis à titre informatif uniquement.
**Note**
Avant de tenter d'utiliser ces exemples de politiques de balises dans votre organisation, notez les éléments suivants :
Assurez-vous d'avoir suivi le [flux de travail recommandé](orgs_manage_policies_tag-policies-getting-started.md) pour commencer à utiliser les politiques de balises.
Vous devez vérifier attentivement et personnaliser ces politiques de balises en fonction de vos exigences uniques.
Tous les caractères de votre politique de balises sont soumis à une [taille maximale](orgs_reference_limits.md#min-max-values). Les exemples présentés dans ce manuel illustrent des politiques de balises formatées avec des espaces supplémentaires pour une meilleure lisibilité. Toutefois, pour gagner de l'espace si la taille de votre politique approche la limite maximale, vous pouvez supprimer tous les espaces. Les espacements et les sauts de ligne à l'extérieur des guillemets sont des exemples d'espaces.
Les ressources non balisées n'apparaissent pas dans les résultats comme étant non conformes.
## Exemple 1 : Définition d'une casse de clé de balise à l'échelle de l'organisation
L'exemple suivant illustre une politique de balises qui définit uniquement deux clés de balise et la casse selon laquelle vous souhaitez standardiser les comptes de votre organisation.
**Politique A : politique de balise attachée à la racine de l'organisation**
```
{
"tags": {
"CostCenter": {
"tag_key": {
"@@assign": "CostCenter",
"@@operators_allowed_for_child_policies": ["@@none"]
}
},
"Project": {
"tag_key": {
"@@assign": "Project",
"@@operators_allowed_for_child_policies": ["@@none"]
}
}
}
}
```
Cette politique de balises définit deux clés de balise : `CostCenter` et `Project`. L'attachement de cette politique de balises à la racine de l'organisation a les effets suivants :
+ Tous les comptes de votre organisation héritent de cette politique de balises.
+ Tous les comptes de votre organisation doivent utiliser le traitement de casse défini pour assurer la conformité. Les ressources avec des balises `CostCenter` et `Project` sont conformes. Les ressources avec un usage de la casse différent pour la clé de balise (par exemple `costcenter`, `Costcenter`, ou `COSTCENTER`) ne sont pas conformes.
+ Les lignes `@@operators_allowed_for_child_policies": ["@@none"]` « verrouillent » les clés de balise. Les politiques de balises attachées plus bas dans l'arborescence de l'organisation (politiques enfants) ne peuvent pas utiliser les opérateurs de définition de valeur pour modifier la clé de balise, y compris son traitement de la casse.
+ Comme avec toutes les politiques de balises, les ressources non balisées ou les balises qui ne sont pas définies dans la politique de balises ne sont pas soumises à une évaluation de leur conformité à la politique de balises.
AWS vous recommande d'utiliser cet exemple comme guide pour créer une politique de balise similaire pour les clés de balise que vous souhaitez utiliser. Attachez-la à la racine de l'organisation. Créez ensuite une politique de balises similaire à l'exemple suivant, qui définit uniquement les valeurs admises pour les clés de balise définies.
### Étape suivante : Définir des valeurs
Supposons que vous avez attaché la politique de balises précédente à la racine de l'organisation. Vous pouvez ensuite créer une politique de balises comme suit, puis l'attacher à un compte. Cette politique définit les valeurs admises pour les clés de balise `CostCenter` et `Project`.
**Politique B : politique de balise attachée à un compte**
```
{
"tags": {
"CostCenter": {
"tag_value": {
"@@assign": [
"Production",
"Test"
]
}
},
"Project": {
"tag_value": {
"@@assign": [
"A",
"B"
]
}
}
}
}
```
Si vous attachez la politique A à la racine de l'organisation et la politique B à un compte, les politiques se combinent pour créer la politique de balises effective suivante pour le compte :
**Stratégie A \$1 stratégie B = stratégie de balise effective pour le compte**
```
{
"tags": {
"Project": {
"tag_value": [
"A",
"B"
],
"tag_key": "Project"
},
"CostCenter": {
"tag_value": [
"Production",
"Test"
],
"tag_key": "CostCenter"
}
}
}
```
Pour plus d'informations sur l'héritage des politiques, notamment des exemples de fonctionnement des opérateurs d'héritage et des exemples de politiques de balises efficaces, consultez[Fonctionnement de l'héritage des politiques de gestion](orgs_manage_policies_inheritance_mgmt.md).
## Exemple 2 : Empêcher l'utilisation d'une clé de balise
Pour empêcher l'utilisation d'une clé de balise, vous pouvez attacher une politique de balises telle que la suivante à une entité d'organisation.
Cet exemple de politique spécifie qu'aucune valeur n'est acceptable pour la clé de balise `Color`. Il spécifie également qu'aucun [opérateur](policy-operators.md) n'est autorisé dans les politiques de balises enfants. Par conséquent, toutes les balises `Color` sur les ressources des comptes concernés sont considérées comme non conformes. Toutefois, l'option `enforced_for` empêche effectivement les comptes concernés de baliser ***uniquement*** les tables Amazon DynamoDB avec la balise `Color`.
```
{
"tags": {
"Color": {
"tag_key": {
"@@operators_allowed_for_child_policies": [
"@@none"
],
"@@assign": "Color"
},
"tag_value": {
"@@operators_allowed_for_child_policies": [
"@@none"
],
"@@assign": []
},
"enforced_for": {
"@@assign": [
"dynamodb:table"
]
}
}
}
}
```
## Exemple 3 : Spécifier une politique de balises pour tous les types de ressources pris en charge par un AWS service spécifique
Pour définir une politique de balises pour tous les types de ressources pris en charge par un AWS service spécifique, vous utilisez le `ALL_SUPPORTED` caractère générique.
Cette politique utilise le `ALL_SUPPORTED` caractère générique pour spécifier que toutes les instances Amazon EC2 dotées de la `Environment` clé de balise ne peuvent avoir qu'une valeur `Prod` de balise égale à ou. `Non-prod` Ce joker constitue une alternative efficace sur une seule ligne à la liste individuelle de chaque instance Amazon EC2. Pour obtenir la liste des services et des types de ressources compatibles avec le `ALL_SUPPORTED` caractère générique, consultez[Services et types de ressource prenant en charge l'application](orgs_manage_policies_supported-resources-enforcement.md).
```
{
"tags": {
"Environment": {
"tag_key": {
"@@assign": "Environment",
"@@operators_allowed_for_child_policies": ["@@none"]
},
"tag_value": {
"@@assign": [
"Prod",
"Non-prod"
],
"@@operators_allowed_for_child_policies": ["@@none"]
},
"enforced_for": {
"@@assign": [
"ec2:ALL_SUPPORTED"
]
}
}
}
}
```
## Exemple 4 : appliquer les clés de balise requises pour garantir la conformité
Cet exemple montre comment définir une politique de balises qui exige que toutes les ressources incluent des balises de conformité obligatoires. Organisations utilisent généralement ce modèle pour garantir une allocation des coûts, un suivi de propriété et une identification de l'environnement appropriés.
```
{
"tags": {
"CostCenter": {
"report_required_tag_for": {
"@@assign": [
"ec2:instance",
"s3:bucket",
"rds:db",
"lambda:function"
]
},
"tag_key": {
"@@assign": "CostCenter"
}
},
"Environment": {
"report_required_tag_for": {
"@@assign": [
"ec2:ALL_SUPPORTED",
"rds:ALL_SUPPORTED",
"s3:ALL_SUPPORTED"
]
},
"tag_key": {
"@@assign": "Environment"
},
"tag_value": {
"@@assign": [
"Production",
"Staging",
"Development",
"Test"
]
}
},
"Owner": {
"report_required_tag_for": {
"@@assign": [
"ec2:ALL_SUPPORTED"
]
},
"tag_key": {
"@@assign": "Owner"
}
}
}
}
```
Lorsque vous appliquez cette politique et configurez votre outil IaC avec l'application de la politique de balises :
+ CostCenter: obligatoire pour les instances EC2, les compartiments S3, les bases de données RDS et les fonctions Lambda
+ Environnement : obligatoire pour toutes les ressources EC2, RDS et S3, les valeurs autorisées étant limitées à la production, à la préparation, au développement ou aux tests
+ Propriétaire : obligatoire pour toutes les ressources EC2 de votre organisation
Exemple de code d'infrastructure conforme à cette politique :
```
EC2Instance:
Type: AWS::EC2::Instance
Properties:
ImageId: ami-0c02fb55956c7d316
InstanceType: t2.micro
Tags:
- Key: CostCenter
Value: CC-12345
- Key: Environment
Value: Test
- Key: Owner
Value: john.doe@company.com
```
Si vous tentez de créer une ressource sans les balises requises, votre déploiement iAc échouera ou générera un avertissement pendant la phase de planification, en fonction de votre configuration. Lorsqu'il est configuré en mode échec, le déploiement est bloqué avant la création de toute ressource. Lorsqu'il est configuré en mode avertissement, le déploiement se poursuit mais avertit votre équipe des balises manquantes. Le message d'erreur de validation identifie exactement les balises requises manquantes et les ressources qui en ont besoin.
Pour des instructions de configuration spécifiques à votre outil IaC :
+ **CloudFormation**: Voir [Renforcez avec CloudFormation](enforce-required-tag-keys-iac.md#enforce-with-cloudformation) pour activer le crochet de conformité au balisage
+ **Terraform** : voir [Appliquer avec Terraform](enforce-required-tag-keys-iac.md#enforce-with-terraform) pour activer la validation des politiques de balises dans le fournisseur AWS
+ **Remarque : Voir** [Renforcez avec Pulumi](enforce-required-tag-keys-iac.md#enforce-with-pulumi) pour activer le pack de politiques Tag Policy Reporting
# Identifiez et corrigez les incohérences en matière de balisage
Après avoir mis en œuvre des politiques relatives aux balises dans votre organisation, vous pouvez identifier les ressources présentant des balises non conformes et y remédier afin de garantir la cohérence au sein de votre AWS environnement. Cette section fournit des conseils pour détecter et corriger les incohérences en matière de balisage.
**Topics**
+ [Trouver des ressources non étiquetées ou mal étiquetées pour votre organisation avec Resource Explorer](finding-untagged-mistagged-resources.md)
+ [Correction des balises non conformes dans les ressources](enforcement-correcting.md)
+ [Utiliser Amazon EventBridge pour surveiller les tags non conformes](orgs_manage_policies_tag-policies-cwe.md)
# Trouver des ressources non étiquetées ou mal étiquetées pour votre organisation avec Resource Explorer
Pour rechercher des ressources non balisées dans votre compte, utilisez-les Explorateur de ressources AWS avec une requête qui utilise`tag:none`. Resource Explorer fournit des fonctionnalités de recherche complètes pour identifier les ressources qui ne sont pas correctement étiquetées ou dont les valeurs de balise sont incohérentes au sein de votre organisation.
*Pour obtenir des instructions détaillées sur l'utilisation de l'Explorateur de ressources pour rechercher des ressources non balisées ou mal étiquetées, voir [Rechercher des ressources non balisées dans le guide de l'utilisateur](https://docs.aws.amazon.com/resource-explorer/latest/userguide/using-search-query-examples.html#example-1).Explorateur de ressources AWS *
# Correction des balises non conformes dans les ressources
Après avoir trouvé des balises non conformes, apportez des corrections en utilisant l'une des méthodes suivantes. Vous devez être connecté au compte qui possède la ressource comportant des balises non conformes :
+ Utilisez la console ou les opérations d'API de balisage du AWS service qui a créé les ressources non conformes.
+ Utilisez les [UntagResources](https://docs.aws.amazon.com/resourcegroupstagging/latest/APIReference/API_UntagResources.html)opérations Groupes de ressources AWS [TagResources](https://docs.aws.amazon.com/resourcegroupstagging/latest/APIReference/API_TagResources.html)et pour ajouter des balises conformes à la politique en vigueur ou pour supprimer des balises non conformes.
# Utiliser Amazon EventBridge pour surveiller les tags non conformes
Vous pouvez utiliser Amazon EventBridge, anciennement Amazon CloudWatch Events, pour surveiller l'introduction de balises non conformes. Dans l'exemple d'événement suivant, la valeur `"false"` de `tag-policy-compliant` indique qu'une nouvelle balise n'est pas conforme à la politique de balises effective.
```
{
"detail-type": "Tag Change on Resource",
"region": "us-east-1",
"resources": [
"arn:aws:ec2:us-east-1:123456789012:instance/i-0000000aaaaaaaaaa"
],
"detail": {
"changed-tag-keys": [
"a-new-key"
],
"service": "ec2",
"resource-type": "instance",
"version": 3,
"tag-policy-compliant": "false",
"tags": {
"a-new-key": "tag-value-on-new-key-just-added"
}
}
}
```
Vous pouvez vous abonner à des événements et spécifier des chaînes ou des modèles à surveiller. Pour plus d'informations EventBridge, consultez le *[guide de EventBridge l'utilisateur Amazon](https://docs.aws.amazon.com/eventbridge/latest/userguide/)*.
# Services et types de ressource prenant en charge l'application
Les services et types de ressources suivants prennent en charge l'application avec des politiques de balises :
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/organizations/latest/userguide/orgs_manage_policies_supported-resources-enforcement.html)
+ Consultez la [documentation Terraform pour la](https://registry.terraform.io/providers/hashicorp/aws/latest/docs/guides/tag-policy-compliance) prise en charge des types de ressources dans AWS Terraform Provider.
+ Consultez la [documentation de Pulumi pour la](https://www.pulumi.com/docs/insights/policy/integrations/aws-organizations-tag-policies/#aws-provider-types) prise en charge des types de ressources dans Pulumi Cloud.
# Régions prises en charge
Les fonctions de politique de balises sont disponibles dans les régions suivantes :
| Nom de la région | Paramètre de région |
| --- | --- |
| Région Est des États-Unis (Nord Virginie)¹ | **`us-east-1`** |
| Région USA Est (Ohio) | `us-east-2` |
| Région US West (N. California) | `us-west-1` |
| Région USA Ouest (Oregon) | `us-west-2` |
| Région Afrique (Le Cap) | `af-south-1` |
| Région Asie-Pacifique (Hong Kong) | `ap-east-1` |
| Asie-Pacifique (Taipei) ² | `ap-east-2` |
| Région Asie-Pacifique (Mumbai) | `ap-south-1` |
| Asie-Pacifique (Hyderabad) ² | `ap-south-2` |
| Région Asia Pacific (Tokyo) | `ap-northeast-1` |
| Région Asia Pacific (Seoul) | `ap-northeast-2` |
| Région Asie-Pacifique (Osaka) | `ap-northeast-3` |
| Région Asia Pacific (Singapore) | `ap-southeast-1` |
| Région Asia Pacific (Sydney) | `ap-southeast-2` |
| Région Asie-Pacifique (Jakarta) ² | `ap-southeast-3` |
| Asie-Pacifique (Melbourne) ² | `ap-southeast-4` |
| Région Asie-Pacifique (Malaisie) | `ap-southeast-5` |
| Asie-Pacifique (Nouvelle Zélande) ² | `ap-southeast-6` |
| Asie-Pacifique (Thaïlande) | `ap-southeast-7` |
| Région Canada (Centre) | `ca-central-1` |
| Canada Ouest (Calgary) ² | `ca-west-1` |
| Région Chine (Beijing) | `cn-north-1` |
| Région Chine (Ningxia) | `cn-northwest-1` |
| Région Europe (Francfort) | `eu-central-1` |
| Région Europe (Zurich) ² | `eu-central-2` |
| Région Europe (Milan) | `eu-south-1` |
| Europe (Espagne) ² | `eu-south-2` |
| Région Europe (Irlande) | `eu-west-1` |
| Région Europe (Londres) | `eu-west-2` |
| Région Europe (Paris) | `eu-west-3` |
| Région Europe (Stockholm) | `eu-north-1` |
| Région Mexique (Centre) | `mx-central-1` |
| Région du Moyen-Orient (Émirats arabes unis) ² | `me-central-1` |
| Région Moyen-Orient (Bahreïn) | `me-south-1` |
| Région Amérique du Sud (Sao Paulo) | `sa-east-1` |
| Israël (Tel Aviv) ² | `il-central-1` |
| AWS GovCloud (USA Est) | `us-gov-east-1` |
| AWS GovCloud (US-Ouest) | `us-gov-west-1` |
**¹Vous devez spécifier la `us-east-1` Région lorsque vous appelez les opérations suivantes des Organisations :**
+ [DeletePolicy](https://docs.aws.amazon.com/organizations/latest/APIReference/API_DeletePolicy.html)
+ [DisablePolicyType](https://docs.aws.amazon.com/organizations/latest/APIReference/API_DisablePolicyType.html)
+ [EnablePolicyType](https://docs.aws.amazon.com/organizations/latest/APIReference/API_EnablePolicyType.html)
+ Toute autre opération sur la racine d'une organisation, telle que [ListRoots](https://docs.aws.amazon.com/organizations/latest/APIReference/API_ListRoots.html).
**Vous devez également spécifier la région `us-east-1` lorsque vous appelez les opérations d'API de balisage des groupes de ressources suivantes qui font partie de la fonction des stratégies de balises :**
+ [DescribeReportCreation](https://docs.aws.amazon.com/resourcegroupstagging/latest/APIReference/API_DescribeReportCreation.html)
+ [GetComplianceSummary](https://docs.aws.amazon.com/resourcegroupstagging/latest/APIReference/API_GetComplianceSummary.html)
+ [StartReportCreation](https://docs.aws.amazon.com/resourcegroupstagging/latest/APIReference/API_StartReportCreation.html)
**Note**
Pour évaluer la conformité aux politiques de balises à l'échelle de l'organisation, vous devez également avoir accès à un compartiment Amazon S3 dans la région USA Est (Virginie du Nord) pour le stockage des rapports. Pour plus d'informations, consultez la [politique relative aux compartiments Amazon S3 pour le stockage des rapports](https://docs.aws.amazon.com/ARG/latest/userguide/tag-policies-prereqs.html#bucket-policy) dans le *Guide de l'utilisateur AWS des ressources de balisage*.
²Ces régions doivent être activées manuellement. Pour en savoir plus sur l'activation et la désactivation Régions AWS, voir [Spécifier les comptes que Régions AWS votre compte peut utiliser](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-regions.html) dans le *Guide de référence sur la gestion des AWS comptes*. La console Resource Groups n'est pas disponible dans ces régions.
# Politiques relatives aux applications de chat
Les politiques relatives aux applications de chat vous AWS Organizations permettent de contrôler l'accès aux comptes de votre organisation à partir d'applications de chat telles que Slack et Microsoft Teams.
[Amazon Q Developer in chat applications](https://docs.aws.amazon.com/chatbot/latest/adminguide/what-is.html) est un AWS service qui permet DevOps aux équipes de développement de logiciels d'utiliser les forums de discussion des programmes de messagerie pour surveiller les événements opérationnels et y répondre AWS Cloud. Dans les applications de chat, Amazon Q Developer traite Service AWS les notifications provenant d'Amazon Simple Notification Service (Amazon SNS) et les transmet aux forums de discussion afin que les équipes puissent les analyser et y donner suite immédiatement, où qu'elles se trouvent.
## Comment fonctionnent les politiques relatives aux applications de chat
À l'aide des politiques des applications de chat, le compte de gestion ou l'administrateur délégué d'une organisation peut effectuer les opérations suivantes au sein de l'organisation :
+ Vérifiez quelles applications de chat compatibles (Amazon Chime, Microsoft Teams et Slack) peuvent être utilisées.
+ Limitez l'accès des clients de chat à des espaces de travail (Slack) et à des équipes (Microsoft Teams) spécifiques.
+ Limitez la visibilité des chaînes Slack aux chaînes publiques ou privées.
+ Définissez et appliquez des [paramètres de rôle](https://docs.aws.amazon.com/chatbot/latest/adminguide/understanding-permissions.html#role-settings) spécifiques.
Les politiques des applications de chat limitent les paramètres au niveau du compte, tels que les paramètres des [rôles](https://docs.aws.amazon.com/chatbot/latest/adminguide/understanding-permissions.html#role-settings) et les politiques de protection des [chaînes, et ont priorité sur eux.](https://docs.aws.amazon.com/chatbot/latest/adminguide/understanding-permissions.html#channel-guardrails) Vous pouvez accéder aux politiques des applications de chat et les modifier depuis le développeur Amazon Q dans les applications de chat ou dans la console Organizations.
Une fois les politiques associées aux comptes et aux unités organisationnelles (UO), tout développeur Amazon Q actuel et futur utilisant les configurations d'applications de chat pour les comptes concernés se conformera automatiquement aux paramètres de gouvernance et d'autorisation. Pour plus d'informations, voir [Comprendre l'héritage des politiques de gestion](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_inheritance_mgmt.html).
Si vous essayez d'effectuer une action limitée par une politique d'applications de chat, un message d'erreur vous informera que l'action n'est pas autorisée en raison de la politique des applications de chat et vous recommandera de contacter le compte de gestion ou l'administrateur délégué de votre organisation.
**Note**
Les politiques des applications de chat sont validées lors de l'exécution. Cela signifie que la conformité des ressources existantes est contrôlée en permanence. Il n'y a aucun chevauchement avec les autorisations IAM existantes, car les autorisations IAM basées sur l'exécution pour envoyer des notifications ou interagir avec Amazon Q Developer dans les applications de chat ne sont actuellement pas prises en charge.
# Commencer à utiliser les politiques relatives aux applications de chat
Suivez ces étapes pour commencer à utiliser les politiques des applications de chat.
1. [Découvrez les autorisations dont vous devez disposer pour effectuer les tâches de politique des applications de chat](orgs_manage_policies_prereqs.md).
1. [Activez les politiques relatives aux applications de chat pour votre organisation](enable-policy-type.md).
1. [Créez une politique pour les applications de chat](orgs_policies_create.md).
1. [Associez la politique des applications de chat à la racine, à l'unité d'organisation ou au compte de votre organisation](orgs_policies_attach.md).
1. [Consultez la politique combinée des applications de chat efficaces qui s'applique à un compte](orgs_manage_policies_effective.md).
Pour effectuer toutes ces étapes, vous devez vous connecter en tant qu'utilisateur IAM, assumer un rôle IAM ou vous connecter en tant qu'utilisateur racine ([non recommandé](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials)) dans le compte de gestion de l'organisation.
**Autres informations**
+ [Apprenez la syntaxe des politiques des applications de chat et consultez des exemples de politiques](orgs_manage_policies_chatbot_syntax.md)
# Syntaxe de politique des applications de chat et exemples
Cette rubrique décrit la syntaxe des politiques des applications de chat et fournit des exemples.
## Syntaxe des politiques relatives aux applications de chat
Une politique d'application de chat est un fichier en texte brut structuré selon les règles du [JSON](http://json.org). La syntaxe des politiques des applications de chat suit celle des types de politiques de gestion. Pour une présentation complète de cette syntaxe, consultez [Fonctionnement de l'héritage des politiques de gestion](orgs_manage_policies_inheritance_mgmt.md). Cette rubrique se concentre sur l'application de cette syntaxe générale aux exigences spécifiques du type de politique des applications de chat.
L'exemple suivant montre la syntaxe de base d'une politique d'applications de chat :
```
{
"chatbot":{
"platforms":{
"slack":{
"client":{
"@@assign":"enabled" // enabled | disabled
},
"workspaces": { // limit 255
"@@assign":[
"Slack-Workspace-Id"
]
},
"default":{
"supported_channel_types":{
"@@assign":[
"private" // public | private
]
},
"supported_role_settings":{
"@@assign":[
"user_role" // user_role | channel_role
]
}
},
"overrides":{ // limit 255
"Slack-Workspace-Id":{
"supported_channel_types":{
"@@assign":[
"public" // public | private
]
},
"supported_role_settings":{
"@@assign":[
"user_role" // user_role | channel_role
]
}
}
}
},
"microsoft_teams":{
"client":{
"@@assign":"enabled"
},
"tenants":{ // limit 36
"Microsoft-Teams-Tenant-Id":{ // limit 36
"@@assign":[
"Microsoft-Teams-Team-Id"
]
}
},
"default":{
"supported_role_settings":{
"@@assign":[
"user_role" // user_role | channel_role
]
}
},
"overrides":{ // limit 36
"Microsoft-Teams-Tenant-Id":{ // limit 36
"Microsoft-Teams-Team-Id":{
"supported_role_settings":{
"@@assign":[
"user_role" // user_role | channel_role
]
}
}
}
}
},
"chime":{
"client":{
"@@assign":"disabled" // enabled | disabled
}
}
},
"default":{
"client":{
"@@assign":"disabled" // enabled | disabled
}
}
}
}
```
Cette politique relative aux applications de chat inclut les éléments suivants :
+ Le nom de clé du champ `chatbot`. Les politiques des applications de chat commencent toujours par ce nom de clé fixe. Il s'agit de la première ligne de cet exemple de politique.
+ En dessous `chatbot` se trouve un `platforms` bloc qui contient la configuration des différentes applications de chat prises en charge : Slack, Microsoft Teams et Amazon Chime.
+ Pour Slack, les champs suivants sont disponibles :
+ `"client"`:
+ `"enabled"`: le client Slack est activé. Les intégrations Slack sont autorisées.
+ `"disabled"`: Le client Slack est désactivé. Les intégrations Slack ne sont pas autorisées.
+ `"workspaces"`: liste séparée par des virgules des espaces de travail Slack autorisés. Dans cet exemple, les espaces de travail Slack autorisés sont *Slack-Workspace-Id1* et. *Slack-Workspace-Id2*
+ `"default"`: paramètres par défaut pour les espaces de travail Slack.
+ `"supported_channel_types"`:
+ `"public"`: les espaces de travail Slack concernés autorisent les chaînes publiques Slack par défaut.
+ `"private"`: les espaces de travail Slack concernés autorisent les chaînes privées Slack par défaut.
+ `supported_role_settings`:
+ `"user_role"`: les espaces de travail Slack concernés autorisent les rôles IAM au niveau utilisateur par défaut.
+ `"channel_role"`: les espaces de travail Slack concernés autorisent les rôles IAM au niveau du canal par défaut.
+ `"overrides"`: les paramètres de remplacement pour les espaces de travail Slack.
+ `Slack-Workspace-Id2`: liste séparée par des virgules des espaces de travail Slack auxquels le paramètre de dérogation s'applique. Dans cet exemple, l'espace de travail Slack est*Slack-Workspace-Id2*.
+ `"supported_channel_types"`:
+ `"public"`: remplacez le paramètre indiquant si les espaces de travail Slack concernés autorisent les chaînes Slack publiques.
+ `"private"`: remplacez le paramètre indiquant si les espaces de travail Slack concernés autorisent les chaînes Slack privées.
+ `supported_role_settings`:
+ `"user_role"`: remplacez le paramètre indiquant si les espaces de travail Slack concernés autorisent les rôles IAM au niveau utilisateur.
+ `"channel_role"`: remplacez le paramètre indiquant si les espaces de travail Slack concernés autorisent les rôles IAM au niveau de la chaîne.
+ Pour Microsoft Teams, les champs suivants sont disponibles :
+ `"client"`:
+ `"enabled"`: Le client Microsoft Teams est activé. Les intégrations avec Microsoft Teams sont autorisées.
+ `"disabled"`: Le client Microsoft Teams est désactivé. Les intégrations Microsoft Teams ne sont pas autorisées.
+ `"tenants"`: liste séparée par des virgules des locataires Microsoft Teams autorisés. Dans cet exemple, le locataire autorisé est*Microsoft-Teams-Tenant-Id*.
+ `Microsoft-Teams-Tenant-Id`: liste séparée par des virgules des équipes autorisées au sein du locataire. Dans cet exemple, l'équipe autorisée est*Microsoft-Teams-Team-Id*.
+ `"default"`: paramètres par défaut pour les équipes au sein du locataire.
+ `supported_role_settings`:
+ `"user_role"`: les équipes concernées autorisent les rôles IAM au niveau utilisateur par défaut.
+ `"channel_role"`: Les équipes concernées autorisent les rôles IAM au niveau du canal par défaut.
+ `"overrides"`: les paramètres de remplacement pour les clients Microsoft Teams.
+ `Microsoft-Teams-Tenant-Id`: liste séparée par des virgules des locataires auxquels le paramètre de dérogation s'applique. Dans cet exemple, le locataire est*Microsoft-Teams-Tenant-Id*.
+ `Microsoft-Teams-Team-Id`: liste séparée par des virgules des équipes au sein du locataire. Dans cet exemple, l'équipe autorisée est*Microsoft-Teams-Team-Id*.
+ `supported_role_settings`:
+ `"user_role"`: remplacez le paramètre indiquant si les équipes concernées autorisent les rôles IAM au niveau utilisateur.
+ `"channel_role"`: remplacez le paramètre indiquant si les équipes concernées autorisent les rôles IAM au niveau du canal.
+ Pour Amazon Chime, les champs suivants sont disponibles :
+ `"client"`:
+ `"enabled"`: Le client Amazon Chime est activé. Les intégrations Amazon Chime sont autorisées.
+ `"disabled"`: Le client Amazon Chime est désactivé. Les intégrations Amazon Chime ne sont pas autorisées.
+ En dessous`chatbot`, il existe un `default` bloc qui désactive Amazon Q Developer dans les applications de chat de l'organisation, à moins qu'il ne soit remplacé à un niveau inférieur. Cette valeur par défaut désactive également toute nouvelle application de chat prise en charge par Amazon Q Developer dans les applications de chat. Par exemple, si Amazon Q Developer prend en charge une nouvelle application de chat dans les applications de chat, cette nouvelle application de chat par défaut est également désactivée.
**Note**
Pour plus d'informations sur les rôles IAM au niveau du canal et les rôles IAM au niveau utilisateur, consultez Comprendre les [autorisations d'Amazon Q Developer dans les applications de chat dans](https://docs.aws.amazon.com/chatbot/latest/adminguide/understanding-permissions.html) le Guide de l'*administrateur d'Amazon Q Developer dans les applications de chat*.
## Exemples de politiques relatives aux applications de chat
Les exemples de politiques qui suivent sont fournis à titre informatif uniquement.
### Exemple 1 : autoriser uniquement les chaînes Slack privées dans un espace de travail spécifique, désactiver Microsoft Teams, tous les modes d'authentification sont pris en charge
La politique suivante est axée sur le contrôle des configurations autorisées pour les intégrations de chatbot Slack et Microsoft Teams.
```
{
"chatbot": {
"platforms": {
"slack": {
"client": {
"@@assign": "enabled"
},
"workspaces": {
"@@assign": [
"Slack-Workspace-Id"
]
},
"default": {
"supported_channel_types": {
"@@assign": [
"private"
]
},
"supported_role_settings": {
"@@assign": [
"channel_role",
"user_role"
]
}
}
},
"microsoft_teams": {
"client": {
"@@assign": "disabled"
}
},
"chime":{
"client":{
"@@assign":"disabled"
}
},
"default":{
"client":{
"@@assign":"disabled"
}
}
}
}
}
```
**Pour Slack**
+ Le client Slack est activé.
+ Seul l'espace de travail Slack spécifique *Slack-Workspace-Id* est autorisé.
+ Les paramètres par défaut autorisent uniquement les chaînes privées Slack, les rôles IAM au niveau des canaux et les rôles IAM au niveau des utilisateurs.
**Pour Microsoft Team**
+ Le client Microsoft Teams est désactivé.
**Pour Amazon Chime**
+ Le client Amazon Chime est désactivé.
**Détails supplémentaires**
+ Le `default` bloc situé en bas définit la désactivation du client, ce qui désactive Amazon Q Developer dans les applications de chat de l'organisation, sauf si cela est annulé à un niveau inférieur. Cette valeur par défaut désactive également toute nouvelle application de chat prise en charge par Amazon Q Developer dans les applications de chat. Par exemple, si Amazon Q Developer prend en charge une nouvelle application de chat dans les applications de chat, cette nouvelle application de chat par défaut est également désactivée.
### Exemple 2 : autoriser uniquement les intégrations Slack avec des rôles IAM de niveau utilisateur
La politique suivante adopte une approche plus permissive à l'égard de Slack, en autorisant tous les espaces de travail Slack mais en limitant le mode d'authentification aux seuls rôles IAM au niveau utilisateur.
```
{
"chatbot":{
"platforms":{
"slack":{
"client":{
"@@assign":"enabled"
},
"workspaces":
{
"@@assign":[
"*"
]
},
"default":{
"supported_role_settings":{
"@@assign":[
"user_role"
]
}
}
},
"microsoft_teams":{
"client":{
"@@assign":"disabled"
}
},
"chime":{
"client":{
"@@assign":"disabled"
}
}
},
"default":{
"client":{
"@@assign":"disabled"
}
}
}
}
```
**Pour Slack**
+ Le client Slack est activé.
+ Aucun espace de travail Slack spécifique n'est défini à l'aide du caractère générique`"*"`. Tous les espaces de travail sont donc autorisés.
+ Les paramètres par défaut autorisent uniquement les rôles IAM au niveau utilisateur.
**Pour Microsoft Team**
+ Le client Microsoft Teams est désactivé.
**Pour Amazon Chime**
+ Le client Amazon Chime est désactivé.
**Détails supplémentaires**
+ Le `default` bloc situé en bas définit la désactivation du client, ce qui désactive Amazon Q Developer dans les applications de chat de l'organisation, sauf si cela est annulé à un niveau inférieur. Cette valeur par défaut désactive également toute nouvelle application de chat prise en charge par Amazon Q Developer dans les applications de chat. Par exemple, si Amazon Q Developer prend en charge une nouvelle application de chat dans les applications de chat, cette nouvelle application de chat par défaut est également désactivée.
### Exemple 3 : autoriser uniquement les intégrations Microsoft Teams dans un locataire spécifique
L'exemple de politique suivant verrouille l'organisation pour autoriser uniquement les intégrations de chatbot Microsoft Teams au sein du locataire spécifié, tout en bloquant complètement les intégrations Slack.
```
{
"chatbot":{
"platforms":{
"slack":{
"client": {
"@@assign": "disabled"
},
},
"microsoft_teams":{
"client": {
"@@assign": "enabled"
},
"tenants":{
"Microsoft-Teams-Tenant-Id":{
"@@assign":[
"*"
]
}
}
},
"chime": {
"client":{
"@@assign": "disabled"
}
}
}
}
}
```
**Pour Slack**
+ Le client Slack est désactivé.
**Pour Microsoft Team**
+ Seul un locataire spécifique *Microsoft-Teams-Tenant-Id* est autorisé, en utilisant le joker `"*"` pour autoriser toutes les équipes au sein de ce locataire.
**Pour Amazon Chime**
+ Le client Amazon Chime est désactivé.
**Détails supplémentaires**
+ Le `default` bloc situé en bas définit la désactivation du client, ce qui désactive Amazon Q Developer dans les applications de chat de l'organisation, sauf si cela est annulé à un niveau inférieur. Cette valeur par défaut désactive également toute nouvelle application de chat prise en charge par Amazon Q Developer dans les applications de chat. Par exemple, si Amazon Q Developer prend en charge une nouvelle application de chat dans les applications de chat, cette nouvelle application de chat par défaut est également désactivée.
### Exemple 4 : autorise un développeur Amazon Q restreint dans les applications de chat à accéder aux espaces de travail Slack et à un client Microsoft Teams
La politique suivante autorise un accès restreint aux développeurs Amazon Q dans les applications de chat pour certains espaces de travail Slack et pour un client Microsoft Teams.
```
{
"chatbot":{
"platforms":{
"slack":{
"client":{
"@@assign":"enabled"
},
"workspaces": {
"@@assign":[
"Slack-Workspace-Id1",
"Slack-Workspace-Id2"
]
},
"default":{
"supported_channel_types":{
"@@assign":[
"private"
]
},
"supported_role_settings":{
"@@assign":[
"user_role"
]
}
},
"overrides":{
"Slack-Workspace-Id2":{
"supported_channel_types":{
"@@assign":[
"public",
"private"
]
},
"supported_role_settings":{
"@@assign":[
"channel_role",
"user_role"
]
}
}
}
},
"microsoft_teams":{
"client":{
"@@assign":"enabled"
},
"tenants":{
"Microsoft-Teams-Tenant-Id":{
"@@assign":[
"Microsoft-Teams-Team-Id"
]
}
},
"default":{
"supported_role_settings":{
"@@assign":[
"user_role"
]
}
},
"overrides":{
"Microsoft-Teams-Tenant-Id":{
"Microsoft-Teams-Team-Id":{
"supported_role_settings":{
"@@assign":[
"channel_role",
"user_role"
]
}
}
}
}
}
},
"default":{
"client":{
"@@assign":"disabled"
}
}
}
}
```
**Pour Slack**
+ Le client Slack est activé.
+ Les espaces de travail Slack autorisés sont *Slack-Workspace-Id1* et. *Slack-Workspace-Id2*
+ Les paramètres par défaut de Slack sont d'autoriser uniquement les chaînes privées et les rôles IAM au niveau utilisateur.
+ Il existe une dérogation à l'espace de travail *Slack-Workspace-Id2* qui autorise à la fois les chaînes publiques et privées ainsi que les rôles IAM au niveau du canal et les rôles IAM au niveau de l'utilisateur.
**Pour Microsoft Team**
+ Microsoft Teams est activé.
+ Les locataires Teams autorisés font *Microsoft-Teams-Tenant-Id* partie de l'équipe*Microsoft-Teams-Team-Id*.
+ Les paramètres par défaut autorisent uniquement les rôles IAM au niveau utilisateur.
+ Il existe une dérogation pour le locataire *Microsoft-Teams-Tenant-Id* qui autorise à la fois les rôles IAM au niveau du canal et les rôles IAM au niveau de l'utilisateur pour l'équipe. *Microsoft-Teams-Team-Id*
**Détails supplémentaires**
+ Le `default` bloc situé en bas définit la désactivation du client, ce qui désactive Amazon Q Developer dans les applications de chat de l'organisation, sauf si cela est annulé à un niveau inférieur. Cela signifie qu'Amazon Chime est désactivé dans cet exemple. Cette valeur par défaut désactive également toute nouvelle application de chat prise en charge par Amazon Q Developer dans les applications de chat. Par exemple, si Amazon Q Developer prend en charge une nouvelle application de chat dans les applications de chat, cette nouvelle application de chat par défaut est également désactivée.
# Politiques de désactivation des services IA
AWS Les services d'intelligence artificielle peuvent utiliser et stocker du contenu client pour améliorer le service, par exemple pour résoudre des problèmes opérationnels, évaluer les performances du service, déboguer ou former des modèles. À cette fin, nous pouvons stocker ce contenu à l' Région AWS extérieur de l' Région AWS endroit où vous utilisez le service. Vous pouvez refuser l'utilisation de votre contenu pour améliorer le service en utilisant la politique de AWS Organizations désinscription.
Vous pouvez créer des politiques de désinscription pour un service d'IA individuel ou pour tous les services pris en charge par des politiques de désinscription des services d'IA. Vous pouvez également consulter la politique effective applicable à chaque compte pour connaître les effets de vos choix de paramètres.
Pour des informations plus détaillées, consultez la section [Services de AWS Machine Learning et d'intelligence artificielle](https://aws.amazon.com/service-terms) dans les AWS Conditions d'utilisation. Pour obtenir la liste des services pris en charge par les politiques de désinscription des services d'IA, consultez la section [Liste des services d'IA pris en charge](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_ai-opt-out_all.html#ai-opt-out-all-list).
**Topics**
+ [Considérations](#orgs_manage_policies-ai-opt-out-considerations)
+ [Prise en main](orgs_manage_policies-ai-opt-out_getting-started.md)
+ [Se désinscrire de tous les services d'IA](orgs_manage_policies_ai-opt-out_all.md)
+ [Syntaxe des politiques de désactivation des services IA et exemples](orgs_manage_policies_ai-opt-out_syntax.md)
## Considérations relatives à l'utilisation des politiques de désabonnement des services d'IA
**La désinscription supprime tout le contenu historique associé**
Lorsque vous refusez l'utilisation du contenu par un service d' AWS intelligence artificielle, ce service supprime tout le contenu historique associé qui a été partagé AWS avant que vous ne définissiez l'option. Cette suppression est limitée au contenu stocké qui n'est pas nécessaire pour fournir les fonctions du service.
Par exemple, lorsque vous utilisez un service alors que vous êtes inscrit, ce service peut stocker des copies de votre contenu afin d'améliorer le service. Lorsque vous vous désinscrivez, toutes les copies stockées par le service à cette fin sont supprimées, mais le contenu utilisé pour vous fournir le service n'est pas supprimé.
# Mise en route avec les politiques de désactivation des services IA
Suivez ces étapes pour commencer à utiliser les politiques de désactivation des services d'intelligence artificielle (IA).
1. [Découvrez les autorisations dont vous devez disposer pour effectuer des tâches de politique de sauvegarde](orgs_manage_policies_prereqs.md)
1. [Activez les politiques de désactivation des services IA pour votre organisation](enable-policy-type.md).
1. [Créez une politique de désactivation des services IA](orgs_policies_create.md#create-ai-opt-out-policy-procedure).
1. [Attachez la politique de désactivation des services IA à la racine, une UO ou un compte de votre organisation](orgs_policies_attach.md).
1. [Affichez la politique combinée de désactivation des services IA qui s'applique à un compte](orgs_manage_policies_effective.md).
Pour toutes ces étapes, vous devez vous connecter en tant qu'utilisateur Gestion des identités et des accès AWS (IAM), assumer un rôle IAM ou vous connecter en tant qu'utilisateur root (ce n'est [pas recommandé](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials)) dans le compte de gestion de l'organisation.
**Autres informations**
+ [Découvrir la syntaxe de politique pour les politiques de désactivation des services IA et consulter des exemples de politiques](orgs_manage_policies_ai-opt-out_syntax.md)
# Se désinscrire de tous les services d' AWS IA pris en charge
**Dans cette rubrique :**
+ Vous pouvez vous désinscrire en sélectionnant un seul bouton dans la AWS Organizations console.
+ Vous pouvez vous désinscrire en joignant l'exemple de politique fourni à l'aide du AWS CLI & AWS SDKs.
+ Vous pouvez consulter la liste des services Services AWS pris en charge par la politique de désinscription des services d'IA.
## Se désinscrire de tous les services d'IA pris en charge
Vous pouvez empêcher votre organisation que son contenu soit utilisé à des fins d'amélioration des services en créant et en joignant une politique de désinscription des services d'intelligence artificielle. Cette politique s'applique à tous les services d' AWS IA pris en charge actuels et futurs. Les comptes des membres ne peuvent pas mettre à jour la politique.
------
#### [ AWS Management Console ]
**Pour vous désinscrire de tous les services d'IA**
1. Connectez-vous à la [console AWS Organizations](https://console.aws.amazon.com/organizations/v2). Vous devez vous connecter en tant qu'utilisateur IAM, assumer un rôle IAM ou vous connecter en tant qu'utilisateur racine ([non recommandé](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials)) dans le compte de gestion de l'organisation.
1. Sur la page des **[politiques de désinscription des services d'intelligence artificielle](https://console.aws.amazon.com/organizations/v2/home/policies/aiservices-opt-out-policy)**, choisissez **Se désinscrire de tous les services**.
1. Sur la page de confirmation **de désinscription de tous les services**, choisissez Se **désinscrire de tous les services**.
------
#### [ AWS CLI & AWS SDKs ]
**Pour vous désinscrire de tous les services d'IA**
1. Copiez « Exemple 1 : désactivation de tous les services d'IA pour tous les comptes de l'organisation » dans les [exemples de désactivation des services d'IA](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_ai-opt-out_syntax.html#ai-opt-out-policy-examples).
1. Suivez les instructions de la section [Déconnexion et désactivation des services d'intelligence artificielle](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_ai-opt-out_attach.html).
------
**Note**
Des étapes supplémentaires sont nécessaires pour vous désinscrire d'Amazon Monitron. Pour plus d'informations, consultez [Conditions de service AWS](https://aws.amazon.com/service-terms/#81._Industrial_AI_Services).
## Liste des services pris en charge par la politique de désinscription des services d'IA
Voici une liste des services Services AWS pris en charge par la politique de désinscription des services d'intelligence artificielle :
+ [Opération d’IA Amazon](https://aws.amazon.com/what-is/aiops)
+ [Analyse vocale du SDK Amazon Chime](https://docs.aws.amazon.com/chime-sdk/latest/dg/voice-analytics.html)
+ [Amazon CloudWatch](https://docs.aws.amazon.com/cloudwatch)
+ [Amazon CodeGuru Profiler](https://docs.aws.amazon.com/codeguru)
+ [Amazon CodeWhisperer](https://docs.aws.amazon.com/codewhisperer) (fait désormais partie d'[Amazon Q Developer](https://docs.aws.amazon.com/amazonq))
+ [Amazon Comprehend](https://docs.aws.amazon.com/comprehend)
+ [Amazon Connect](https://docs.aws.amazon.com/connect)
+ [Optimisation d'Amazon Connect](https://docs.aws.amazon.com/connect)
+ [Lentilles de contact Amazon Connect](https://docs.aws.amazon.com/connect/latest/adminguide/contact-lens.html)
+ [AWS Service de Migration de Base de Données](https://docs.aws.amazon.com/dms)
+ [Amazon DataZone](https://docs.aws.amazon.com/datazone) (et [Amazon SageMaker Data Agent](https://docs.aws.amazon.com/sagemaker-unified-studio/latest/userguide/sagemaker-data-agent.html))
+ [Agent AWS DevOps](https://docs.aws.amazon.com/devopsagent/latest/userguide/about-aws-devops-agent.html)
+ [Résolution des entités AWS](https://docs.aws.amazon.com/entityresolution)
+ [Amazon Fraud Detector](https://docs.aws.amazon.com/frauddetector)
+ [AWS Glue](https://docs.aws.amazon.com/glue)
+ [Amazon GuardDuty](https://docs.aws.amazon.com/guardduty)
+ [Amazon Lex](https://docs.aws.amazon.com/lex)
+ [Amazon Polly](https://docs.aws.amazon.com/polly)
+ [Amazon Q](https://docs.aws.amazon.com/amazonq)
+ [Amazon Quick](https://docs.aws.amazon.com/quicksight)
+ [Amazon Rekognition](https://docs.aws.amazon.com/rekognition)
+ [Amazon Security Lake](https://docs.aws.amazon.com/security-lake/)
+ [AWS Supply Chain](https://docs.aws.amazon.com/aws-supply-chain)
+ [Amazon Textract](https://docs.aws.amazon.com/textract)
+ [Amazon Transcribe](https://docs.aws.amazon.com/transcribe)
+ [AWS Transform](https://docs.aws.amazon.com/transform/latest/userguide/what-is.html)
+ [Amazon Translate](https://docs.aws.amazon.com/translate)
+ [Amazon WorkSpaces](https://docs.aws.amazon.com/workspaces)
+ [AWS Security Hub](https://docs.aws.amazon.com/securityhub)
# Syntaxe des politiques de désactivation des services IA et exemples
Cette rubrique décrit la syntaxe des politiques de désactivation des services d'intelligence artificielle (IA) et fournit des exemples.
## Syntaxe des politiques de désactivation des services IA
Une politique de désactivation des services IA est un fichier texte brut qui est structuré conformément aux règles de [JSON](http://json.org). La syntaxe des politiques de désactivation des services IA suit celle des types de politique de gestion. Pour une présentation complète de cette syntaxe, consultez [Fonctionnement de l'héritage des politiques de gestion](orgs_manage_policies_inheritance_mgmt.md). Cette rubrique se concentre sur l'application de cette syntaxe générale aux exigences spécifiques du type de politique de désactivation des services IA.
**Important**
L'usage des majuscules dans les valeurs décrites dans cette section est importante. Entrez les valeurs avec des lettres majuscules et minuscules, comme indiqué dans cette rubrique. Les politiques ne fonctionnent pas si vous faites un usage inattendu des majuscules.
La politique suivante illustre la syntaxe élémentaire des politiques de désactivation des services IA. Si cet exemple était attaché directement à un compte, un service serait désactivé pour ce compte et un autre serait activé. D'autres services peuvent être activés ou désactivés par des politiques héritées de niveaux supérieurs (politiques d'UO ou de racine).
```
{
"services": {
"rekognition": {
"opt_out_policy": {
"@@assign": "optOut"
}
},
"lex": {
"opt_out_policy": {
"@@assign": "optIn"
}
}
}
}
```
Imaginez l'exemple de politique suivant attaché à la racine de l'organisation. Il définit que, par défaut tous les services IA sont désactivés pour l'organisation. Cela inclut automatiquement tous les services IA qui ne sont pas autrement explicitement exemptés, y compris tous les services IA que AWS pourrait déployer à l'avenir. Vous pouvez associer des politiques relatives aux enfants aux comptes OUs ou directement à ceux-ci afin de remplacer ce paramètre pour n'importe quel service d'intelligence artificielle, à l'exception d'Amazon Comprehend. La deuxième entrée de l'exemple suivant utilise `@@operators_allowed_for_child_policies` défini à `none` pour empêcher ce remplacement. La troisième entrée de l'exemple fait une exemption à l'échelle de l'organisation pour Amazon Rekognition. Il active ce service pour l'ensemble de l'organisation, mais la politique permet aux politiques enfants de supplanter ce réglage le cas échéant.
```
{
"services": {
"default": {
"opt_out_policy": {
"@@assign": "optOut"
}
},
"comprehend": {
"opt_out_policy": {
"@@operators_allowed_for_child_policies": ["@@none"],
"@@assign": "optOut"
}
},
"rekognition": {
"opt_out_policy": {
"@@assign": "optIn"
}
}
}
}
```
La syntaxe d'une politique de désactivation des services IA inclut les éléments suivants :
+ L'élément `services`. Une politique de désactivation des services IA est identifiée par ce nom fixe comme l'élément contenant JSON le plus à l'extérieur.
Une politique de désactivation des services IA peut comporter une ou plusieurs déclarations sous l'élément `services`. Chaque instruction contient les éléments suivants :
+ *Clé de nom de service* qui identifie un service d' AWS IA. Les noms de clé suivants sont valides pour ce champ :
+ **`default`** : représente **tous** les services IA actuellement disponibles et inclut implicitement et automatiquement tous les services IA qui pourraient être ajoutés à l'avenir.
+ `aiops`
+ `aidevops`
+ `awssupplychain`
+ `chimesdkvoiceanalytics`
+ `cloudwatch`
+ `codeguruprofiler`
+ `codewhisperer`
+ `comprehend`
+ `connect`
+ `connectamd`
+ `connectoptimization`
+ `contactlens`
+ `datazone`
+ `dms`
+ `entityresolution`
+ `frauddetector`
+ `glue`
+ `guardduty`
+ `lex`
+ `polly`
+ `q`
+ `quicksightq`
+ `rekognition`
+ `securitylake`
+ `textract`
+ `transcribe`
+ `transform`
+ `translate`
+ `workspaces`
+ `securityhub`
Chaque instruction de politique identifiée par une clé de nom de service peut contenir les éléments suivants :
+ La clé `opt_out_policy`. Cette clé doit être présente. C'est la seule clé que vous pouvez placer sous une clé de nom de service.
La clé `opt_out_policy` peut contenir ***uniquement*** l'opérateur `@@assign` avec une des valeurs suivantes :
+ `optOut` : vous choisissez de désactiver l'utilisation du contenu pour le service IA spécifié.
+ `optIn` : vous choisissez d'activer l'utilisation du contenu pour le service IA spécifié.
**Remarques**
Vous ne pouvez pas utiliser les opérateurs d'héritage `@@append` et `@@remove` dans les politiques de désactivation des services IA.
Vous ne pouvez pas utiliser l'opérateur `@@enforced_for` dans les politiques de désactivation des services IA.
+ À n'importe quel niveau, vous pouvez spécifier l'opérateur `@@operators_allowed_for_child_policies` pour contrôler ce que les politiques enfants peuvent faire pour remplacer les paramètres imposés par les politiques parentes. Vous pouvez spécifier l’une des valeurs suivantes :
+ `@@assign` : les politiques enfants de cette politique peuvent utiliser l'opérateur `@@assign` pour remplacer la valeur héritée par une valeur différente.
+ `@@none` : les politiques enfants de cette politique ne peuvent pas modifier la valeur.
Le comportement de `@@operators_allowed_for_child_policies` dépend de l'endroit où vous le placez. Vous pouvez utiliser les emplacements suivants :
+ Sous la clé `services` : détermine si une politique enfant peut compléter ou modifier la liste des services de la politique effective.
+ Sous la clé d'un service IA spécifique ou la clé `default` : détermine si une politique enfant peut compléter ou modifier la liste des clés sous cette entrée spécifique.
+ Sous la clé `opt_out_policies` pour un service spécifique : détermine si une politique enfant peut modifier uniquement le paramètre de ce service spécifique.
## Exemples de politique de désactivation des services IA
Les exemples de politiques qui suivent sont fournis à titre informatif uniquement.
### Exemple 1 : Désactiver tous les services IA pour tous les comptes de l'organisation
L'exemple suivant illustre une politique que vous pourriez attacher à la racine de votre organisation pour désactiver les services IA pour les comptes de votre organisation.
**Astuce**
Si vous copiez l'exemple suivant à l'aide du bouton Copier dans le coin supérieur droit de l'exemple, la copie n'inclut pas les numéros de ligne. Elle est prête à être collée.
```
| {
| "services": {
[1] | "@@operators_allowed_for_child_policies": ["@@none"],
| "default": {
[2] | "@@operators_allowed_for_child_policies": ["@@none"],
| "opt_out_policy": {
[3] | "@@operators_allowed_for_child_policies": ["@@none"],
| "@@assign": "optOut"
| }
| }
| }
| }
```
+ [1] : Le `"@@operators_allowed_for_child_policies": ["@@none"]` qui est sous `services` empêche toute politique enfant d'ajouter de nouvelles sections pour des services individuels autres que la section `default` qui est déjà là. `Default` est l'espace réservé qui représente « tous les services IA ».
+ [2] : Le `"@@operators_allowed_for_child_policies": ["@@none"]` qui est sous `default` empêche toute politique enfant d'ajouter de nouvelles sections autres que la section `opt_out_policy` qui est déjà là.
+ [3] : Le `"@@operators_allowed_for_child_policies": ["@@none"]` qui est sous `opt_out_policy` empêche les politiques enfants de changer la valeur du paramètre `optOut` ou d'ajouter des paramètres supplémentaires.
### Exemple 2 : Définir un paramètre par défaut de l'organisation pour tous les services, mais autoriser les politiques enfants à remplacer le paramètre pour des services individuels
L'exemple de politique suivant définit une valeur par défaut à l'échelle de l'organisation pour tous les services IA. La valeur pour `default` empêche une politique enfant de modifier la valeur `optOut` pour le service `default`, l'espace réservé pour tous les services IA. Si cette politique est appliquée en tant que politique parente en l'attachant à la racine ou à une unité d'organisation, les politiques enfants peuvent toujours modifier le paramètre de désactivation pour chaque service, comme indiqué dans la deuxième politique.
+ Puisqu'il n'y a pas d'opérateur `"@@operators_allowed_for_child_policies": ["@@none"]` sous la clé `services`, les politiques enfants peuvent ajouter de nouvelles sections pour des services individuels.
+ Le `"@@operators_allowed_for_child_policies": ["@@none"]` qui est sous `default` empêche toute politique enfant d'ajouter de nouvelles sections autres que la section `opt_out_policy` qui est déjà là.
+ Le `"@@operators_allowed_for_child_policies": ["@@none"]` qui est sous `opt_out_policy` empêche les politiques enfants de changer la valeur du paramètre `optOut` ou d'ajouter des paramètres supplémentaires.
**Politique parente de désactivation des services d'IA de l'utilisateur root de l'organisation**
```
{
"services": {
"default": {
"@@operators_allowed_for_child_policies": ["@@none"],
"opt_out_policy": {
"@@operators_allowed_for_child_policies": ["@@none"],
"@@assign": "optOut"
}
}
}
}
```
L'exemple de politique suivant suppose que l'exemple de politique précédent est attaché à la racine de l'organisation ou à une unité d'organisation parente et que vous attachez cet exemple à un compte affecté par la politique parent. Il remplace le paramètre de désactivation par défaut et active explicitement uniquement le service Amazon Lex.
**Politique enfant de désactivation des services IA**
```
{
"services": {
"lex": {
"opt_out_policy": {
"@@assign": "optIn"
}
}
}
}
```
La politique effective qui en résulte Compte AWS est que le compte opte uniquement pour Amazon Lex et se désactive de tous les autres services d' AWS IA en raison du paramètre de `default` désinscription hérité de la politique parent.
### Exemple 3 : Définir une politique de désactivation des services IA à l'échelle de l'organisation pour un seul service
L'exemple suivant illustre une politique de désactivation des services IA qui définit un paramètre `optOut` pour un seul service IA. Si cette politique est attachée à la racine de l'organisation, elle empêche toute politique enfant de remplacer le paramètre `optOut` pour ce service précis. Les autres services ne sont pas concernés par cette politique, mais peuvent être affectés par les politiques relatives aux enfants dans d'autres comptes OUs ou comptes.
```
{
"services": {
"rekognition": {
"opt_out_policy": {
"@@assign": "optOut",
"@@operators_allowed_for_child_policies": ["@@none"]
}
}
}
}
```
# Politiques du Security Hub
AWS Security Hub les politiques fournissent aux équipes de sécurité une approche centralisée pour gérer les configurations de sécurité au sein de leurs équipes AWS Organizations. En tirant parti de ces politiques, vous pouvez établir et maintenir des contrôles de sécurité cohérents grâce à un mécanisme de configuration central. Cette intégration vous permet de combler les lacunes en matière de couverture de sécurité en créant des politiques conformes aux exigences de sécurité de votre entreprise et en les appliquant de manière centralisée à tous les comptes et unités organisationnelles (OUs).
Les politiques du Security Hub sont entièrement intégrées AWS Organizations, ce qui permet aux comptes de gestion ou aux administrateurs délégués de définir et d'appliquer les configurations de sécurité. Lorsque des comptes rejoignent votre organisation, ils héritent automatiquement des politiques applicables en fonction de leur emplacement dans la hiérarchie organisationnelle. Cela garantit que vos normes de sécurité sont appliquées de manière cohérente au fur et à mesure que votre organisation se développe. Les politiques respectent les structures organisationnelles existantes et offrent de la flexibilité dans la manière dont les configurations de sécurité sont distribuées, tout en maintenant le contrôle centralisé des paramètres de sécurité critiques.
## Caractéristiques et avantages clés
Les politiques du Security Hub fournissent un ensemble complet de fonctionnalités qui vous aident à gérer et à appliquer les configurations de sécurité au sein de votre AWS entreprise. Ces fonctionnalités rationalisent la gestion de la sécurité tout en garantissant un contrôle constant de votre environnement multi-comptes.
+ [Activez Security Hub de](https://docs.aws.amazon.com/securityhub/latest/userguide/security-hub-adv-getting-started-enable.html#security-hub-adv-getting-started-enable-org-account) manière centralisée sur tous les comptes et régions de votre organisation
+ Créez des politiques de sécurité qui définissent votre configuration de sécurité pour tous les comptes et OUs
+ Appliquez automatiquement des configurations de sécurité aux nouveaux comptes lorsqu'ils rejoignent votre organisation
+ Garantissez des paramètres de sécurité cohérents au sein de votre entreprise
+ Empêcher les comptes membres de modifier les configurations de sécurité au niveau de l'organisation
## Quelles sont les politiques de Security Hub ?
Les politiques du Security Hub sont des AWS Organizations politiques qui fournissent un contrôle centralisé des configurations de sécurité des comptes de votre entreprise. Ces politiques fonctionnent parfaitement pour vous aider AWS Organizations à établir et à maintenir des normes de sécurité cohérentes dans l'ensemble de votre environnement multi-comptes.
Lorsque vous implémentez les politiques du Security Hub, vous pouvez définir des configurations de sécurité spécifiques qui se propagent automatiquement au sein de votre organisation. Cela garantit que tous les comptes, y compris les comptes nouvellement créés, sont conformes aux exigences de sécurité et aux meilleures pratiques de votre organisation.
Ces politiques vous aident également à maintenir la conformité en appliquant des contrôles de sécurité cohérents et en empêchant les comptes individuels de modifier les paramètres de sécurité au niveau de l'organisation. Cette approche centralisée réduit considérablement les frais administratifs liés à la gestion des configurations de sécurité dans des AWS environnements complexes et de grande envergure.
## Comment fonctionnent les politiques du Security Hub
Lorsque vous associez une politique Security Hub à votre organisation ou unité organisationnelle, elle est AWS Organizations automatiquement évaluée et appliquée en fonction du périmètre que vous définissez. Le processus d'application des politiques suit des règles spécifiques de résolution des conflits :
Lorsque des régions apparaissent à la fois dans les listes d'activation et de désactivation, la configuration de désactivation est prioritaire. Par exemple, si une région est répertoriée dans les configurations d'activation et de désactivation, Security Hub sera désactivé dans cette région.
Lorsque l'activation `ALL_SUPPORTED` est spécifiée, Security Hub est activé dans toutes les régions actuelles et futures, sauf s'il est explicitement désactivé. Cela vous permet de maintenir une couverture de sécurité complète à mesure que vous vous AWS étendez dans de nouvelles régions.
Les politiques relatives aux enfants peuvent modifier les paramètres des politiques parentales à l'aide d'opérateurs d'héritage, ce qui permet un contrôle granulaire à différents niveaux organisationnels. Cette approche hiérarchique garantit que les unités organisationnelles spécifiques peuvent personnaliser leurs paramètres de sécurité tout en maintenant les contrôles de base.
## Terminologie
Cette rubrique utilise les termes suivants pour aborder les politiques du Security Hub.
**Terminologie des politiques du Security Hub**
| Durée | Définition |
| --- | --- |
| Stratégie effective | Politique finale qui s'applique à un compte après avoir combiné toutes les politiques héritées. |
| Héritage de politique | Processus par lequel les comptes héritent des politiques des unités organisationnelles parentes. |
| Administrateur délégué | Un compte désigné pour gérer les politiques du Security Hub au nom de l'organisation. |
| Rôle lié à un service | Rôle IAM qui permet à Security Hub d'interagir avec d'autres AWS services. |
## Cas d'utilisation des politiques du Security Hub
Les politiques du Security Hub répondent aux défis courants de gestion de la sécurité dans les environnements multi-comptes. Les cas d'utilisation suivants montrent comment les entreprises mettent généralement en œuvre ces politiques pour améliorer leur posture de sécurité.
### Exemple de cas d'utilisation : exigences de conformité régionales
Une multinationale a besoin de différentes configurations de Security Hub pour différentes régions géographiques. Ils créent une politique parent qui active Security Hub dans toutes les régions en utilisant`ALL_SUPPORTED`, puis utilisent des politiques relatives aux enfants pour désactiver des régions spécifiques où différents contrôles de sécurité sont requis. Cela leur permet de respecter les réglementations régionales tout en garantissant une couverture de sécurité complète.
### Exemple de cas d'utilisation : normes de sécurité pour les équipes de développement
Une organisation de développement de logiciels met en œuvre les politiques du Security Hub qui permettent de surveiller les régions de production tout en préservant la gestion des régions de développement. Ils utilisent des listes de régions explicites dans leurs politiques plutôt que `ALL_SUPPORTED` pour maintenir un contrôle précis sur la couverture de surveillance de la sécurité. Cette approche leur permet d'appliquer des contrôles de sécurité plus stricts dans les environnements de production tout en préservant la flexibilité dans les domaines de développement.
## Héritage et application des politiques
Comprendre comment les politiques sont héritées et appliquées est essentiel pour une gestion efficace de la sécurité au sein de votre entreprise. Le modèle d'héritage suit la AWS Organizations hiérarchie, garantissant ainsi une application prévisible et cohérente des politiques.
+ Les politiques associées au niveau racine s'appliquent à tous les comptes
+ Les comptes héritent des politiques de leurs unités organisationnelles mères
+ Plusieurs politiques peuvent s'appliquer à un seul compte
+ Les politiques plus spécifiques (plus proches du compte dans la hiérarchie) ont priorité
## Validation de politique
Lors de la création des politiques Security Hub, les validations suivantes ont lieu :
+ Les noms de région doivent être des identifiants de AWS région valides
+ Les régions doivent être prises en charge par Security Hub
+ La structure des politiques doit suivre les règles AWS Organizations de syntaxe des politiques
+ Les deux `enable_in_regions` et `disable_in_regions` les listes doivent être présentes, bien qu'elles puissent être vides
## Considérations régionales et régions prises en charge
Les politiques du Security Hub s'appliquent à plusieurs régions, ce qui nécessite un examen attentif de vos exigences de sécurité globales. Comprendre le comportement régional vous aide à mettre en œuvre des contrôles de sécurité efficaces sur l'ensemble du territoire mondial de votre entreprise.
+ L'application des politiques se fait indépendamment dans chaque région
+ Vous pouvez spécifier les régions à inclure ou à exclure dans vos politiques
+ Les nouvelles régions sont automatiquement incluses lorsque vous utilisez l'`ALL_SUPPORTED`option
+ Les politiques s'appliquent uniquement aux régions où Security Hub est disponible
## Étapes suivantes
Pour commencer à utiliser les politiques du Security Hub, procédez comme suit :
1. Consultez les conditions préalables dans les politiques de Getting Started with Security Hub
1. Planifiez votre stratégie politique à l'aide de notre guide des meilleures pratiques
1. En savoir plus sur la syntaxe des politiques et consulter des exemples de politiques
# Commencer à utiliser les politiques du Security Hub
Avant de configurer les politiques de Security Hub, assurez-vous de bien comprendre les prérequis et les exigences de mise en œuvre. Cette rubrique vous guide tout au long du processus de configuration et de gestion de ces politiques dans votre organisation.
## Avant de commencer
Passez en revue les exigences suivantes avant de mettre en œuvre les politiques du Security Hub :
+ Votre compte doit faire partie d'une AWS Organizations organisation
+ Vous devez être connecté en tant que :
+ Le compte de gestion de l'organisation
+ Un compte d'administrateur délégué autorisé à gérer les politiques du Security Hub
+ Vous devez activer l'accès sécurisé pour Security Hub dans votre organisation
+ Vous devez activer le type de politique Security Hub à la racine de votre organisation
Vérifiez également que :
+ Security Hub est pris en charge dans les régions où vous souhaitez appliquer des politiques
+ Le rôle `AWSServiceRoleForSecurityHubV2` lié au service est configuré dans votre compte de gestion. Pour vérifier que ce rôle existe, exécutez`aws iam get-role --role-name AWSServiceRoleForSecurityHubV2`. Si vous devez créer ce rôle, vous pouvez exécuter ce rôle `aws securityhub enable-security-hub-v2` dans n'importe quelle région à partir de votre compte de gestion ou le créer directement en exécutant`aws iam create-service-linked-role --aws-service-name securityhubv2.amazonaws.com`.
## Étapes d’implémentation
Pour mettre en œuvre efficacement les politiques du Security Hub, suivez ces étapes dans l'ordre. Chaque étape garantit une configuration correcte et permet d'éviter les problèmes courants lors de l'installation. Le compte de gestion ou l'administrateur délégué peut effectuer ces étapes via la AWS Organizations console, l'interface de ligne de AWS commande (AWS CLI) ou AWS SDKs.
1. [Activez un accès sécurisé pour Security Hub](orgs_integrate_services.md#orgs_how-to-enable-disable-trusted-access).
1. [Activez les politiques du Security Hub pour votre organisation](enable-policy-type.md).
1. [Créez une politique Security Hub](orgs_policies_create.md#create-security-hub-policy-procedure).
1. [Associez la politique Security Hub à la racine, à l'unité d'organisation ou au compte de votre organisation](orgs_policies_attach.md).
1. [Consultez la politique Security Hub combinée et efficace qui s'applique à un compte](orgs_manage_policies_effective.md).
Pour toutes ces étapes, vous devez vous connecter en tant qu'utilisateur Gestion des identités et des accès AWS (IAM), assumer un rôle IAM ou vous connecter en tant qu'utilisateur root (ce n'est [pas recommandé](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials)) dans le compte de gestion de l'organisation.
**Autres informations**
+ [Apprenez la syntaxe des politiques du Security Hub et consultez des exemples de politiques](orgs_manage_policies_security_hub_syntax.md)
# Bonnes pratiques relatives à l'utilisation des politiques du Security Hub
Lorsque vous mettez en œuvre les politiques du Security Hub au sein de votre organisation, le respect des meilleures pratiques établies permet de garantir le déploiement et la maintenance réussis de vos configurations de sécurité. Ces directives abordent spécifiquement les aspects uniques de la gestion et de l'application des politiques du Security Hub au sein de ce dernier AWS Organizations.
## Principes de conception des politiques
Avant de créer des politiques Security Hub, définissez des principes clairs pour votre structure de politique. Simplifiez les politiques et évitez les règles complexes à attributs croisés ou imbriquées qui compliquent la détermination du résultat final. Commencez par des politiques générales au niveau de la racine de l'organisation et affinez-les au besoin par le biais de politiques relatives aux enfants.
Envisagez d'utiliser des listes de régions vides de manière stratégique. Vous pouvez laisser ce `enable_in_regions` champ vide lorsque vous devez uniquement désactiver Security Hub dans des régions spécifiques, ou le laisser `disable_in_regions` vide pour éviter que les régions ne soient gérées par des règles. Cette flexibilité vous permet de garder un contrôle précis sur votre couverture de surveillance de sécurité.
## Stratégies de gestion des régions
Lorsque vous gérez des régions par le biais des politiques du Security Hub, tenez compte de ces approches éprouvées. À utiliser `ALL_SUPPORTED` lorsque vous souhaitez inclure automatiquement les futures régions dans votre couverture de sécurité. Pour un contrôle plus précis, listez explicitement les régions plutôt que de vous fier à celles-ci`ALL_SUPPORTED`, en particulier lorsque différentes régions nécessitent des configurations de sécurité différentes.
Documentez les exigences spécifiques à votre région, en particulier pour :
+ Régions soumises à des obligations de conformité qui nécessitent des configurations spécifiques
+ Différences entre environnement de développement et environnement de production
+ Régions optionnelles soumises à des considérations spéciales
+ Régions dans lesquelles Security Hub doit rester désactivé
## Politique de planification successorale
Planifiez soigneusement la structure d'héritage de vos polices afin de maintenir un contrôle de sécurité efficace tout en garantissant la flexibilité nécessaire. Documentez quelles unités organisationnelles peuvent modifier les politiques héritées et quelles modifications sont autorisées. Envisagez de restreindre les opérateurs d'héritage (@ @assign, @ @append, @ @remove) au niveau des parents lorsque vous devez appliquer des contrôles de sécurité stricts.
## Surveillance et validation
Mettez en œuvre des pratiques de surveillance régulières pour garantir l'efficacité de vos politiques. Passez régulièrement en revue les pièces jointes aux politiques, en particulier après des changements organisationnels. Vérifiez que les configurations régionales correspondent à la couverture de sécurité prévue, en particulier lors de l'utilisation `ALL_SUPPORTED` ou de la gestion de plusieurs listes de régions.
## Stratégies de dépannage
Lors de la résolution des problèmes liés aux politiques du Security Hub, concentrez-vous d'abord sur la priorité et l'héritage des politiques. N'oubliez pas que les configurations de désactivation ont priorité sur les configurations d'activation lorsque les régions apparaissent dans les deux listes. Consultez les chaînes d'héritage des politiques pour comprendre comment les politiques relatives aux parents et aux enfants se combinent pour créer une politique efficace pour chaque compte.
# Syntaxe et exemples de politiques du Security Hub
Les politiques de Security Hub suivent une syntaxe JSON standardisée qui définit la manière dont Security Hub est activé et configuré au sein de votre organisation. La compréhension de la structure des politiques vous aide à créer des politiques efficaces répondant à vos exigences de sécurité.
## Considérations
Avant de créer des politiques Security Hub, comprenez les points essentiels suivants concernant la syntaxe des politiques :
+ Les deux `enable_in_regions` `disable_in_regions` listes sont obligatoires dans la politique, bien qu'elles puissent être vides
+ Lors du traitement de politiques efficaces`disable_in_regions`, a priorité sur `enable_in_regions`
+ Les politiques relatives aux enfants peuvent modifier les politiques parentales à l'aide d'opérateurs d'héritage, sauf si elles sont explicitement limitées
+ La `ALL_SUPPORTED` désignation inclut à la fois les régions actuelles et futures
+ Les noms de région doivent être valides et disponibles dans Security Hub
## Structure politique de base
Une politique Security Hub utilise cette structure de base :
```
{
"securityhub": {
"enable_in_regions": {
"@@append": ["ALL_SUPPORTED"],
"@@operators_allowed_for_child_policies": ["@@all"]
},
"disable_in_regions": {
"@@append": [],
"@@operators_allowed_for_child_policies": ["@@all"]
}
}
}
```
## Composants de politique
Les politiques du Security Hub contiennent les éléments clés suivants :
`securityhub`
Le conteneur de premier niveau pour les paramètres de politique
Obligatoire pour toutes les politiques du Security Hub
`enable_in_regions`
Liste des régions dans lesquelles Security Hub doit être activé
Peut contenir des noms de régions spécifiques ou `ALL_SUPPORTED`
Champ obligatoire mais peut être vide
Lors de l'utilisation`ALL_SUPPORTED`, inclut les futures régions
`disable_in_regions`
Liste des régions dans lesquelles Security Hub doit être désactivé
Peut contenir des noms de régions spécifiques ou `ALL_SUPPORTED`
Champ obligatoire mais peut être vide
A priorité sur le `enable_in_regions` cas où les régions apparaissent dans les deux listes
Opérateurs d'héritage
@ @assign - Remplace les valeurs héritées
@ @append - Ajoute de nouvelles valeurs aux valeurs existantes
@ @remove - Supprime des valeurs spécifiques des paramètres hérités
## Exemples de politiques relatives au Security Hub
Les exemples suivants illustrent les configurations de politique courantes du Security Hub.
L'exemple ci-dessous active Security Hub dans toutes les régions actuelles et futures. En l'utilisant `ALL_SUPPORTED` dans la `enable_in_regions` liste et en la laissant `disable_in_regions` vide, cette politique garantit une couverture de sécurité complète à mesure que de nouvelles régions deviennent disponibles.
```
{
"securityhub":{
"enable_in_regions":{
"@@assign":[
"ALL_SUPPORTED"
]
},
"disable_in_regions":{
"@@assign":[
]
}
}
}
```
Cet exemple désactive Security Hub dans toutes les régions, y compris dans les régions futures, car `disable_in_regions` la liste a priorité sur. `enable_in_regions`
```
{
"securityhub":{
"enable_in_regions":{
"@@assign":[
"us-east-1",
"us-west-2"
]
},
"disable_in_regions":{
"@@assign":[
"ALL_SUPPORTED"
]
}
}
}
```
L'exemple suivant montre comment les politiques relatives aux enfants peuvent modifier les paramètres des politiques parentes à l'aide d'opérateurs d'héritage. Cette approche permet un contrôle granulaire tout en préservant la structure globale des politiques. La politique relative aux enfants ajoute une nouvelle région `enable_in_regions` et en supprime une`disable_in_regions`.
```
{
"securityhub":{
"enable_in_regions":{
"@@append":[
"eu-central-1"
]
},
"disable_in_regions":{
"@@remove":[
"us-west-2"
]
}
}
}
```
Cet exemple montre comment activer Security Hub dans plusieurs régions spécifiques sans l'utiliser`ALL_SUPPORTED`. Cela permet de contrôler avec précision les régions dans lesquelles Security Hub est activé, tout en laissant les régions non spécifiées non gérées par la politique.
```
{
"securityhub":{
"enable_in_regions":{
"@@assign":[
"us-east-1",
"us-west-2",
"eu-west-1",
"ap-southeast-1"
]
},
"disable_in_regions":{
"@@assign":[
]
}
}
}
```
L'exemple suivant montre comment gérer les exigences de conformité régionales en activant Security Hub dans la plupart des régions tout en le désactivant explicitement dans des emplacements spécifiques. La `disable_in_regions` liste est prioritaire, ce qui garantit que Security Hub reste désactivé dans ces régions, quels que soient les autres paramètres de politique.
```
{
"securityhub":{
"enable_in_regions":{
"@@assign":[
"ALL_SUPPORTED"
]
},
"disable_in_regions":{
"@@assign":[
"ap-east-1",
"me-south-1"
]
}
}
}
```
# Politiques d'Amazon Bedrock
Les politiques d'Amazon Bedrock vous permettent d'appliquer automatiquement les mesures de protection configurées dans Amazon Bedrock Guardrails à tous les éléments de la structure de votre organisation pour tous les appels d'inférence de modèles adressés à Amazon Bedrock. Il n'est donc plus nécessaire de configurer un garde-corps individuel pour chaque compte. Amazon Bedrock Guardrails fournit des garanties configurables pour aider à créer en toute sécurité des applications d'IA générative à grande échelle, avec une approche standard pour un large éventail de modèles de base, notamment : les modèles pris en charge par Amazon Bedrock, les modèles affinés et les modèles hébergés en dehors d'Amazon Bedrock.
Les politiques d'Amazon Bedrock dans AWS Organizations vous permettent de référencer un garde-corps créé dans votre compte de gestion au format JSON. Vous pouvez associer n'importe quelle politique à l'élément requis de la structure de votre organisation, tel que la racine, les unités organisationnelles (OUs) et les comptes individuels. AWS Organizations applique des règles d'héritage pour combiner les politiques, ce qui se traduit par une politique efficace pour chaque compte qui dicte la manière dont les garanties sont appliquées à votre application d'IA générative.
## Comment ça marche
Les politiques d'Amazon Bedrock vous permettent de contrôler l'application automatique des garanties au sein de barrières de sécurité sur plusieurs comptes, ce qui vous permet d'appliquer des barrières de sécurité sur tous les modèles ou sur un sous-ensemble de modèles pour les appels d'inférence vers Amazon Bedrock. Vous devez faire référence à une version spécifique du garde-fou approprié dans votre politique, conformément aux exigences responsables de votre organisation en matière d'IA. Cela est spécifique à la AWS région où se trouve votre garde-corps, et vous devez disposer de garde-corps différents pour chaque AWS région où vous souhaitez appliquer des contrôles de sécurité. Vous pouvez ensuite associer cette politique à n'importe quel nœud de l'organisation, et les comptes situés sous ce nœud hériteront automatiquement de ces garanties et les appliqueront à chaque modèle d'invocation à Amazon Bedrock.
Les politiques d'Amazon Bedrock vous aident à garantir des contrôles de sécurité cohérents dans l'ensemble de votre organisation et fournissent une approche centralisée pour créer en toute sécurité des applications d'IA générative à grande échelle.
# Commencer à utiliser les politiques d'Amazon Bedrock
Avant de configurer les politiques d'Amazon Bedrock, assurez-vous de bien comprendre les prérequis et les exigences de mise en œuvre. Cette rubrique vous guide tout au long du processus de configuration et de gestion de ces politiques au sein de votre organisation.
## Avant de commencer
Passez en revue les exigences suivantes avant de mettre en œuvre les politiques d'Amazon Bedrock :
+ Votre compte doit faire partie d'une AWS organisation
+ Vous devez être connecté sous l'une des formes suivantes :
+ Le compte de gestion de l'organisation
+ Un compte d'administrateur délégué autorisé à gérer les politiques d'Amazon Bedrock
+ Vous devez activer le type de politique Amazon Bedrock à la racine de votre organisation
## Étapes d’implémentation
Pour mettre en œuvre efficacement les politiques d'Amazon Bedrock, suivez ces étapes dans l'ordre. Chaque étape garantit une configuration correcte et permet d'éviter les problèmes courants lors de l'installation. Le compte de gestion ou l'administrateur délégué peut effectuer ces étapes via la AWS Organizations console, l'interface de ligne de AWS commande (AWS CLI) ou AWS SDKs.
1. [Activez les politiques Amazon Bedrock pour votre organisation](enable-policy-type.md).
1. [Créez une politique Amazon Bedrock](orgs_manage_policies_bedrock_syntax.md).
1. [Associez la politique Amazon Bedrock à la racine, à l'unité d'organisation ou au compte de votre organisation](orgs_policies_attach.md).
1. [Consultez la politique combinée en vigueur d'Amazon Bedrock qui s'applique à un compte](orgs_manage_policies_effective.md).
# Bonnes pratiques relatives à l'utilisation des politiques d'Amazon Bedrock
## Utiliser un identifiant de garde-corps valide
Un identifiant incorrect ou mal formé entraînera l'échec de tous les appels d'API Amazon Bedrock au sein de l'organisation cible. [Surveillez CloudTrail les alertes de politique efficaces non valides afin de détecter rapidement les erreurs de configuration.](https://docs.aws.amazon.com/organizations/latest/userguide/invalid-policy-alerts.html)
## Exclure les politiques de raisonnement automatique
Les garde-fous qui incluent une politique de raisonnement automatique ne sont pas pris en charge pour l'application au niveau de l'organisation. Vérifiez que le garde-corps Amazon Bedrock que vous avez sélectionné n'en contient pas.
## Accordez les autorisations IAM nécessaires
Utilisez les [politiques basées sur les ressources d'Amazon Bedrock Guardrails](https://docs.aws.amazon.com/bedrock/latest/userguide/guardrails-resource-based-policies.html) pour autoriser l'organisation et ses comptes membres à évaluer le garde-fou appliqué lors de l'exécution.
## Consultez les limites de service d'Amazon Bedrock pour les rambardes
Les appels relatifs au compte d'un membre utilisant la politique Amazon Bedrock seront pris en compte dans le calcul des Quotas de Service pour le membre. Consultez la console Service Quotas et assurez-vous que les limites d'exécution de Guardrails sont suffisantes pour votre volume d'appels.
## Commencez petit, puis agrandissez
Attachez votre politique à quelques comptes pour commencer, en vous assurant qu'elle est appliquée comme vous le souhaitez. Assurez-vous de vérifier que les autorisations Guardrail sont configurées pour autoriser l'accès entre comptes.
## Validez les modifications apportées à vos politiques Amazon Bedrock à l'aide de DescribeEffectivePolicy
Après avoir modifié une politique Amazon Bedrock, vérifiez les politiques en vigueur pour les comptes représentatifs situés en dessous du niveau auquel vous avez apporté la modification. Vous pouvez consulter la politique effective à l'aide de la console AWS de gestion, de l'opération `DescribeEffectivePolicy` API ou de l'une de ses variantes de AWS CLI ou de AWS SDK. Assurez-vous que la modification que vous avez apportée a eu l'impact escompté sur la politique effective.
## Communiquez et entraînez-vous
Assurez-vous que vos organisations comprennent l'objectif et l'impact de vos politiques Amazon Bedrock. Fournissez des conseils clairs sur le comportement d'Amazon Bedrock Guardrails et sur ce à quoi vous pouvez vous attendre.
# Syntaxe et exemples de politiques Amazon Bedrock
Une politique Amazon Bedrock est un fichier en texte brut structuré selon les règles du JSON. La syntaxe des politiques Amazon Bedrock suit celle de tous les types de politiques de gestion. Pour plus d'informations, voir [Syntaxe des politiques et héritage pour les types de politiques de gestion](orgs_manage_policies_inheritance_mgmt.md). Cette rubrique se concentre sur l'application de cette syntaxe générale aux exigences spécifiques du type de politique Amazon Bedrock.
L'exemple de politique Amazon Bedrock suivant montre la syntaxe de base de la politique Amazon Bedrock :
```
{
"bedrock": {
"guardrail_inference": {
"us-east-1": {
"config_1": {
"identifier": {
"@@assign": "arn:aws:bedrock:us-east-1:123456789012:guardrail/hu1dlsv9wy1d:1"
},
"selective_content_guarding": {
"system": {
"@@assign": "selective"
},
"messages": {
"@@assign": "comprehensive"
}
},
"model_enforcement": {
"included_models": {
"@@assign": ["ALL"]
},
"excluded_models": {
"@@assign": ["amazon.titan-embed-text-v2:0", "cohere.embed-english-v3"]
}
}
}
}
}
}
}
```
## La syntaxe de la politique Amazon Bedrock inclut les éléments suivants :
`"bedrock"`
La clé de niveau supérieur pour les documents de politique d'Amazon Bedrock.
`"guardrail_inference"`
Définit la configuration de renforcement des garde-corps.
``
Région dans laquelle la politique sera appliquée. Par exemple, `"us-east-1"`.
`"config_1"`
Identifiant de configuration pour les paramètres du garde-corps.
`"identifier"` (Obligatoire)
Guardrail ARN, suivi `:version` de la version Guardrail.
+ Le garde-corps doit appartenir au compte de gestion. Vous ne pouvez pas créer de politique à l'aide d'un garde-corps provenant d'un autre compte.
+ Le garde-corps doit avoir une version, et cette version ne peut pas être DRAFT. Pour créer une version de votre garde-corps, consultez la section [Créer une version d'un garde-corps dans le guide de](https://docs.aws.amazon.com/bedrock/latest/userguide/guardrails-versions-create.html) l'utilisateur d'Amazon Bedrock.
+ Le Guardrail doit avoir une politique basée sur les ressources qui permet aux membres de l'organisation d'appeler. `ApplyGuardrail`
+ Le garde-corps doit être créé et utilisé dans la région spécifiée.
`"selective_content_guarding"` (facultatif)
Amazon Bedrock APIs permet de marquer du contenu spécifique dans la saisie que l'appelant souhaite que les garde-corps traitent. Ces paramètres permettent aux responsables de l'application de contrôler s'ils doivent ou non respecter les décisions de balisage du contenu prises par l'appelant. Lorsque cela est spécifié, l'un `"system"` des `"messages"` deux est requis.
`"system"` (facultatif)
Choisissez la manière dont les instructions du système seront traitées par les glissières de sécurité. La valeur par défaut est `comprehensive` lorsqu'elle n'est pas spécifiée.
+ `"comprehensive"`: évaluez l'ensemble du contenu indépendamment des balises de contenu de protection.
+ `"selective"`: évaluez uniquement le contenu inclus dans les balises de contenu Guard. N'évalue aucun contenu lorsqu'aucune balise n'est spécifiée.
`"messages"` (facultatif)
Choisissez la manière dont le contenu des messages contenant les conversations entre l'utilisateur et l'assistant sera traité par des garde-fous. La valeur par défaut est `comprehensive` lorsqu'elle n'est pas spécifiée.
+ `"comprehensive"`: évaluez l'ensemble du contenu indépendamment des balises de contenu de protection.
+ `"selective"`: évaluez uniquement le contenu inclus dans les balises de contenu Guard. Évalue tout le contenu des messages lorsqu'aucune balise n'est spécifiée.
`"model_enforcement"` (facultatif)
Informations spécifiques au modèle pour la configuration du garde-corps imposé. Si elle n'est pas présente, la configuration est appliquée à tous les modèles.
`"included_models"` (Obligatoire)
Liste des modèles sur lesquels renforcer le garde-corps. Lorsqu'il est vide, applique l'application à tous les modèles. Accepte également le mot clé « ALL » pour inclure explicitement tous les modèles.
`"excluded_models"` (Obligatoire)
Modèles à exclure de l'application du garde-corps. Lorsqu'il est vide, aucun modèle n'est exclu de l'application. Si un modèle est présent à la fois dans les listes des modèles inclus et exclus, il est exclu.
# Politiques d'Amazon Inspector
Les politiques Amazon Inspector vous permettent d'activer et de gérer Amazon Inspector de manière centralisée pour tous les comptes de votre AWS organisation. Avec une politique Amazon Inspector, vous spécifiez les entités organisationnelles (root ou comptes) sur lesquelles Amazon Inspector est automatiquement activé et lié au compte d'administrateur délégué Amazon Inspector. OUs Vous pouvez utiliser les politiques d'Amazon Inspector pour simplifier l'intégration à l'échelle du service et garantir une activation cohérente d'Amazon Inspector dans tous les comptes existants et nouvellement créés.
## Caractéristiques et avantages clés
Les politiques d'Amazon Inspector vous permettent de définir les types de scan qui doivent être activés pour votre organisation ou des sous-ensembles de celle-ci, afin de garantir une couverture cohérente et de réduire les efforts manuels. Une fois mis en œuvre, ils vous aident à intégrer automatiquement de nouveaux comptes et à maintenir votre base de référence en matière de numérisation à mesure que votre entreprise évolue.
## Comment ça marche
Lorsque vous associez une politique Amazon Inspector à une entité organisationnelle, cette politique active automatiquement Amazon Inspector pour tous les comptes membres compris dans cette zone. De plus, si vous avez finalisé la configuration d'Amazon Inspector en enregistrant un administrateur délégué pour Amazon Inspector, ce compte bénéficiera d'une visibilité centralisée des vulnérabilités sur les comptes de l'organisation sur lesquels Amazon Inspector est activé.
Les politiques d'Amazon Inspector peuvent être appliquées à l'ensemble de l'organisation, à des unités organisationnelles spécifiques (OUs) ou à des comptes individuels. Les comptes qui rejoignent l'organisation, ou qui migrent vers une unité d'organisation associée à une politique Amazon Inspector, héritent automatiquement de la politique, et Amazon Inspector est activé et lié à l'administrateur délégué d'Amazon Inspector. Les politiques d'Amazon Inspector vous permettent d'activer le EC2 scan Amazon, le scan Amazon ECR ou Lambda Standard et le scan de code, ainsi que la sécurité du code. Les paramètres de configuration et les règles de suppression spécifiques peuvent être gérés via le compte d'administrateur délégué de l'organisation.
Lorsque vous associez une politique Amazon Inspector à votre organisation ou unité organisationnelle, AWS Organizations évalue automatiquement la politique et l'applique en fonction du champ d'application que vous définissez. Le processus d'application des politiques suit des règles spécifiques de résolution des conflits :
+ Lorsque des régions apparaissent à la fois dans les listes d'activation et de désactivation, la configuration de désactivation est prioritaire. Par exemple, si une région est répertoriée à la fois dans les configurations d'activation et de désactivation, Amazon Inspector sera désactivé dans cette région.
+ Lorsque l'activation `ALL_SUPPORTED` est spécifiée, Amazon Inspector est activé dans toutes les régions actuelles et futures, sauf s'il est explicitement désactivé. Cela vous permet de maintenir une couverture complète à mesure que vous vous AWS étendez dans de nouvelles régions.
+ Les politiques relatives aux enfants peuvent modifier les paramètres des politiques parentales à l'aide d'opérateurs d'héritage, ce qui permet un contrôle granulaire à différents niveaux organisationnels. Cette approche hiérarchique garantit que les unités organisationnelles spécifiques peuvent personnaliser leurs paramètres de sécurité tout en maintenant les contrôles de base.
### Terminologie
Cette rubrique utilise les termes suivants pour aborder les politiques d'Amazon Inspector.
| Durée | Définition |
| --- | --- |
| Stratégie effective | Politique finale qui s'applique à un compte après avoir combiné toutes les politiques héritées. |
| Héritage de politique | Processus par lequel les comptes héritent des politiques des unités organisationnelles parentes. |
| Administrateur délégué | Un compte désigné pour gérer les politiques d'Amazon Inspector au nom de l'organisation. |
| Rôle lié à un service | Rôle IAM qui permet à Amazon Inspector d'interagir avec d'autres AWS services. |
### Cas d'utilisation des politiques d'Amazon Inspector
Organisations qui lancent des charges de travail à grande échelle sur plusieurs comptes peuvent utiliser cette politique pour garantir que tous les comptes activent immédiatement les types de scan appropriés et éviter les lacunes. Les environnements axés sur la réglementation ou la conformité peuvent utiliser des politiques secondaires pour annuler ou limiter les types de numérisation par unité d'organisation. Les environnements à croissance rapide peuvent automatiser l'activation des comptes nouvellement créés afin qu'ils soient toujours conformes aux normes de base.
### Héritage et application des politiques
Comprendre comment les politiques sont héritées et appliquées est essentiel pour une gestion efficace de la sécurité au sein de votre entreprise. Le modèle d'héritage suit la hiérarchie AWS des Organisations, garantissant ainsi une application prévisible et cohérente des politiques.
+ Les politiques associées au niveau racine s'appliquent à tous les comptes
+ Les comptes héritent des politiques de leurs unités organisationnelles mères
+ Plusieurs politiques peuvent s'appliquer à un seul compte
+ Les politiques plus spécifiques (plus proches du compte dans la hiérarchie) ont priorité
### Validation de politique
Lors de la création des politiques Amazon Inspector, les validations suivantes ont lieu :
+ Les noms de région doivent être des identifiants de AWS région valides
+ Les régions doivent être prises en charge par Amazon Inspector
+ La structure des politiques doit suivre les règles de syntaxe AWS des politiques des Organisations
+ Les deux `enable_in_regions` et `disable_in_regions` les listes doivent être présentes, bien qu'elles puissent être vides
### Considérations régionales et régions prises en charge
Les politiques d'Amazon Inspector s'appliquent uniquement dans les régions où un accès sécurisé est disponible pour Amazon Inspector et AWS Organizations. Comprendre le comportement régional vous aide à mettre en œuvre des contrôles de sécurité efficaces sur l'ensemble du territoire mondial de votre entreprise.
+ L'application des politiques se fait indépendamment dans chaque région
+ Vous pouvez spécifier les régions à inclure ou à exclure dans vos politiques
+ Les nouvelles régions sont automatiquement incluses lorsque vous utilisez l'`ALL_SUPPORTED`option
+ Les politiques s'appliquent uniquement aux régions dans lesquelles Amazon Inspector est disponible
### Comportement du détachement
Si vous supprimez une politique Amazon Inspector, Amazon Inspector reste activé sur les comptes précédemment couverts. Toutefois, les modifications futures de la structure organisationnelle (telles que l'ajout de nouveaux comptes ou le transfert de comptes existants dans l'unité d'organisation) n'activeront plus automatiquement Amazon Inspector. Toute activation supplémentaire doit être effectuée manuellement ou en rattachant une politique.
## Détails supplémentaires
### Administrateur délégué
Un seul administrateur délégué peut être enregistré pour Amazon Inspector dans une organisation. Vous devez le configurer dans la console Amazon Inspector ou via APIs avant de joindre les politiques Amazon Inspector.
### Conditions préalables
Vous devez activer l'accès sécurisé pour les AWS Organizations, avoir un administrateur délégué enregistré pour Amazon Inspector et disposer de rôles liés à un service dans tous les comptes.
### Régions prises en charge
Toutes les régions dans lesquelles Amazon Inspector est disponible.
# Commencer à utiliser les politiques d'Amazon Inspector
Avant de configurer les politiques Amazon Inspector, assurez-vous de bien comprendre les prérequis et les exigences de mise en œuvre. Cette rubrique vous guide tout au long du processus de configuration et de gestion de ces politiques dans votre organisation.
## En savoir plus sur les autorisations requises
Pour activer ou joindre les politiques Amazon Inspector, vous devez disposer des autorisations suivantes dans le compte de gestion :
+ `organizations:EnableAWSServiceAccess` pour `inspector2.amazonaws.com`
+ `organizations:RegisterDelegatedAdministrator` pour `inspector2.amazonaws.com`
+ `organizations:AttachPolicy`, `organizations:CreatePolicy`, `organizations:DescribeEffectivePolicy`
+ `inspector2:Enable`(pour le compte de gestion et l'administrateur délégué)
## Avant de commencer
Passez en revue les exigences suivantes avant de mettre en œuvre les politiques d'Amazon Inspector :
+ Votre compte doit faire partie d'une AWS organisation
+ Vous devez être connecté en tant que :
+ Le compte de gestion de l'organisation
+ Administrateur délégué d'une AWS organisation autorisé à gérer les politiques d'Amazon Inspector
+ Vous devez activer l'accès sécurisé pour Amazon Inspector dans votre organisation
+ Vous devez activer le type de politique Amazon Inspector à la racine de votre organisation
Vérifiez également que :
+ Amazon Inspector est pris en charge dans les régions où vous souhaitez appliquer des politiques
+ Le rôle `AWSServiceRoleForInspectorV2` lié au service est configuré dans votre compte de gestion. Pour vérifier que ce rôle existe, exécutez`aws iam get-role --role-name AWSServiceRoleForInspectorV2`. Si vous devez créer ce rôle, vous pouvez exécuter ce rôle `aws inspector2 enable` dans n'importe quelle région à partir de votre compte de gestion ou le créer directement en exécutant`aws iam create-service-linked-role --aws-service-name inspector2.amazonaws.com`.
## Étapes d’implémentation
Pour mettre en œuvre efficacement les politiques d'Amazon Inspector, suivez ces étapes dans l'ordre. Chaque étape garantit une configuration correcte et permet d'éviter les problèmes courants lors de l'installation. Le compte de gestion ou l'administrateur délégué peut effectuer ces étapes via la AWS Organizations console, l'interface de ligne de AWS commande (AWS CLI) ou AWS SDKs.
1. [Activez un accès sécurisé pour Amazon Inspector](orgs_integrate_services.md#orgs_how-to-enable-disable-trusted-access).
1. [Activez les politiques Amazon Inspector pour votre organisation](enable-policy-type.md).
1. [Créez une politique Amazon Inspector](orgs_manage_policies_inspector_syntax.md).
1. [Associez la politique Amazon Inspector à la racine, à l'unité d'organisation ou au compte de votre organisation](orgs_policies_attach.md).
1. [Consultez la politique Amazon Inspector en vigueur combinée qui s'applique à un compte](orgs_manage_policies_effective.md).
## Création d'une politique Amazon Inspector
### Autorisations minimales
Pour créer une politique Amazon Inspector, vous devez disposer des autorisations suivantes :
+ `organizations:CreatePolicy`
### AWS Console de gestion
**Pour créer une politique Amazon Inspector**
1. Connectez-vous à la [console AWS Organizations](https://console.aws.amazon.com/organizations/v2). Vous devez vous connecter en tant qu'utilisateur IAM, assumer un rôle IAM ou vous connecter en tant qu'utilisateur racine ([non recommandé](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials)) dans le compte de gestion de l'organisation.
1. Définissez un administrateur délégué pour le service utilisé dans la console Amazon Inspector.
1. Une fois que l'administrateur délégué a été configuré pour Amazon Inspector, rendez-vous sur la console de AWS l'organisation pour configurer les politiques. Sur la console de AWS l'organisation, rendez-vous sur la page Amazon Inspector Policies, puis choisissez **Create policy**.
1. Sur la page **Créer une nouvelle politique Amazon Inspector**, entrez le **nom de la politique** et une **description de la politique** facultative.
1. (Facultatif) Vous pouvez ajouter une ou plusieurs balises à la politique en choisissant **Ajouter une balise**, puis en saisissant une clé et éventuellement une valeur. Laisser la valeur vide la définit à une chaîne vide ; elle ne prend pas la valeur `null`. Vous pouvez attacher jusqu'à 50 balises à une politique. Pour de plus amples informations, veuillez consulter [Ressources de balisage AWS OrganizationsConsidérations](orgs_tagging.md).
1. Entrez ou collez le texte de la politique dans la zone de code JSON. Pour plus d'informations sur la syntaxe des politiques Amazon Inspector et pour des exemples de politiques que vous pouvez utiliser comme point de départ, consultez[Syntaxe et exemples de politiques Amazon Inspector](orgs_manage_policies_inspector_syntax.md).
1. Lorsque vous avez terminé la modification de votre politique, choisissez **Créer la politique** dans l'angle inférieur droit de la page.
# Bonnes pratiques relatives à l'utilisation des politiques d'Amazon Inspector
Lorsque vous mettez en œuvre les politiques Amazon Inspector au sein de votre organisation, le respect des meilleures pratiques établies permet de garantir un déploiement et une maintenance réussis.
## Commencez simplement en réalisant de petites modifications
Commencez par activer les politiques Amazon Inspector dans une unité organisationnelle limitée (par exemple, « Security Pilot ») afin de valider le comportement attendu avant de les déployer sur tous les comptes. Cette approche progressive vous permet d'identifier et de résoudre les problèmes potentiels dans un environnement contrôlé avant un déploiement à grande échelle.
## Mettre en place des processus de révision
Surveillez régulièrement les nouveaux comptes qui rejoignent votre organisation et vérifiez qu'ils héritent automatiquement de l'activation d'Amazon Inspector. Passez en revue les champs d'application des politiques tous les trimestres pour vous assurer que votre couverture de sécurité reste conforme à votre structure organisationnelle et à vos exigences en matière de sécurité.
## Validez les modifications en utilisant DescribeEffectivePolicy
Après avoir joint ou modifié une politique, lancez-vous vers `DescribeEffectivePolicy` des comptes représentatifs afin de vous assurer que l'activation d'Amazon Inspector est correctement prise en compte. Cette étape de validation vous permet de confirmer que vos modifications de politique ont l'effet escompté dans l'ensemble de votre organisation.
## Communiquez et entraînez-vous
Indiquez aux propriétaires de comptes qu'Amazon Inspector sera activé automatiquement et que les résultats pourront apparaître dans leur tableau de bord Security Hub ou Amazon Inspector une fois qu'ils seront liés à l'administrateur délégué d'Amazon Inspector. Une communication claire permet de s'assurer que les titulaires de comptes comprennent la surveillance de sécurité en place et peuvent réagir de manière appropriée aux constatations.
## Planifiez votre stratégie d'administrateur délégué
Désignez un compte de sécurité ou de conformité en tant qu'administrateur délégué d'Amazon Inspector. Définissez l'administrateur délégué depuis la console Amazon Inspector ou via AWS Organizations APIs. Cette approche permet une surveillance et une gestion cohérentes de la sécurité au sein de votre organisation.
## Gérer les considérations régionales
Activez Amazon Inspector dans les régions où s'exécutent vos charges de travail. Tenez compte de vos exigences de conformité et de vos besoins opérationnels lorsque vous déterminez les régions qui nécessitent une couverture Amazon Inspector. Documentez les exigences spécifiques à votre région afin de maintenir une surveillance cohérente de la sécurité dans l'ensemble de votre infrastructure.
# Syntaxe et exemples de politiques Amazon Inspector
Les politiques d'Amazon Inspector suivent une syntaxe JSON standardisée qui définit la manière dont Amazon Inspector est activé et configuré au sein de votre organisation. Une politique Amazon Inspector est un document JSON structuré selon la syntaxe de la politique de gestion des AWS Organizations. Il définit les entités organisationnelles pour lesquelles Amazon Inspector sera automatiquement activé.
## Structure politique de base
Une politique Amazon Inspector utilise cette structure de base :
```
{
"inspector": {
"enablement": {
"ec2_scanning": {
"enable_in_regions": {
"@@assign": ["us-east-1", "us-west-2"]
},
"disable_in_regions": {
"@@assign": ["eu-west-1"]
}
}
}
}
}
```
## Composants de politique
Les politiques d'Amazon Inspector contiennent les éléments clés suivants :
`inspector`
La clé de niveau supérieur pour les documents de politique Amazon Inspector, qui est requise pour toutes les politiques Amazon Inspector.
`enablement`
Définit la manière dont Amazon Inspector est activé au sein de l'organisation et contient les configurations des types de scan.
`Regions (Array of Strings)`
Spécifie les régions dans lesquelles Amazon Inspector doit être activé automatiquement.
## Exemples de politiques Amazon Inspector
Les exemples suivants illustrent les configurations de politique courantes d'Amazon Inspector.
### Exemple 1 — Activer Amazon Inspector à l'échelle de l'organisation
L'exemple suivant active Amazon Inspector dans `us-east-1` et `us-west-2` pour tous les comptes de la racine de l'organisation.
Créez un fichier `inspector-policy-enable.json` :
```
{
"inspector": {
"enablement": {
"lambda_standard_scanning": {
"enable_in_regions": {
"@@assign": [
"us-east-1",
"us-west-2"
]
},
"disable_in_regions": {
"@@assign": [
"eu-west-1"
]
},
"lambda_code_scanning": {
"enable_in_regions": {
"@@assign": [
"us-east-1",
"us-west-2"
]
},
"disable_in_regions": {
"@@assign": [
"eu-west-1"
]
}
}
},
"ec2_scanning": {
"enable_in_regions": {
"@@assign": [
"us-east-1",
"us-west-2"
]
},
"disable_in_regions": {
"@@assign": [
"eu-west-1"
]
}
},
"ecr_scanning": {
"enable_in_regions": {
"@@assign": [
"us-east-1",
"us-west-2"
]
},
"disable_in_regions": {
"@@assign": [
"eu-west-1"
]
}
},
"code_repository_scanning": {
"enable_in_regions": {
"@@assign": [
"us-east-1",
"us-west-2"
]
},
"disable_in_regions": {
"@@assign": [
"eu-west-1"
]
}
}
}
}
}
```
Lorsqu'ils sont connectés à la racine, tous les comptes de l'organisation activent automatiquement Amazon Inspector, et les résultats de leur analyse sont mis à la disposition de l'administrateur délégué d'Amazon Inspector.
Créez et attachez la politique :
```
POLICY_ID=$(aws organizations create-policy \
--content file://inspector-policy-enable.json \
--name InspectorOrgPolicy \
--type INSPECTOR_POLICY \
--description "Inspector organization policy to enable all resources in IAD and PDX." \
--query 'Policy.PolicySummary.Id' \
--output text)
aws organizations attach-policy --policy-id $POLICY_ID --target-id
```
Tout nouveau compte rejoignant l'organisation hérite automatiquement de l'activation.
S'ils sont détachés, les comptes existants restent activés, mais les comptes futurs ne le sont pas automatiquement :
```
aws organizations detach-policy --policy-id $POLICY_ID --target-id
```
### Exemple 2 — Activer Amazon Inspector pour une unité d'organisation spécifique
Créez un fichier `inspector-policy-eu-west-1.json` :
```
{
"inspector": {
"enablement": {
"lambda_standard_scanning": {
"enable_in_regions": {
"@@assign": [
"eu-west-1"
]
},
"disable_in_regions": {
"@@assign": [
"eu-west-2"
]
},
"lambda_code_scanning": {
"enable_in_regions": {
"@@assign": [
"eu-west-1"
]
},
"disable_in_regions": {
"@@assign": [
"eu-west-2"
]
}
}
},
"ec2_scanning": {
"enable_in_regions": {
"@@assign": [
"eu-west-1"
]
},
"disable_in_regions": {
"@@assign": [
"eu-west-2"
]
}
},
"ecr_scanning": {
"enable_in_regions": {
"@@assign": [
"eu-west-1"
]
},
"disable_in_regions": {
"@@assign": [
"eu-west-2"
]
}
},
"code_repository_scanning": {
"enable_in_regions": {
"@@assign": [
"eu-west-1"
]
},
"disable_in_regions": {
"@@assign": [
"eu-west-2"
]
}
}
}
}
}
```
Joignez-le à une unité d'organisation pour vous assurer qu'Amazon Inspector `eu-west-1` sera activé sur tous les comptes de production inclus et qu'ils seront liés à l'administrateur délégué d'Amazon Inspector :
```
aws organizations update-policy --policy-id $POLICY_ID --content file://inspector-policy-eu-west-1.json --description "Inspector organization policy - Enable all (eu-west-1)"
aws organizations attach-policy --policy-id $POLICY_ID --target-id ou-aaaa-12345678
```
Les comptes extérieurs à l'UO ne sont pas affectés.
# Mettre à niveau les politiques de déploiement
AWS Organizations les politiques de déploiement des mises à niveau vous permettent de gérer de manière centralisée et d'échelonner les mises à niveau automatiques sur plusieurs AWS ressources et comptes de votre organisation. Grâce à ces politiques, vous pouvez définir l'ordre dans lequel les ressources reçoivent les mises à niveau, en veillant à ce que les modifications soient validées dans des environnements moins critiques avant d'entrer en production.
Dans les environnements cloud complexes d'aujourd'hui, la gestion des mises à niveau sur de nombreux comptes et ressources peut s'avérer difficile. Les politiques de déploiement des mises à niveau répondent à ce défi en proposant une approche systématique de mise en œuvre des mises à niveau. En utilisant ces politiques, vous pouvez aligner votre processus de mise à niveau sur les pratiques de gestion du changement de votre organisation, en réduisant les risques et en améliorant l'efficacité opérationnelle.
Les politiques de déploiement des mises à niveau tirent parti de la structure hiérarchique de AWS Organizations pour appliquer des politiques à l'ensemble de votre organisation ou à des unités organisationnelles spécifiques (OUs). Cette intégration vous permet de gérer les mises à niveau à grande échelle, éliminant ainsi le besoin de coordination manuelle ou de scripts d'automatisation personnalisés.
## Caractéristiques et avantages clés
Les politiques de déploiement des mises à niveau fournissent des fonctionnalités complètes de gestion des mises à niveau tout en offrant des avantages significatifs aux entreprises qui gèrent des ressources sur plusieurs comptes et environnements. Le tableau suivant décrit les principales fonctionnalités et les avantages associés :
**Caractéristiques et avantages des politiques de déploiement des mises à niveau**
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/organizations/latest/userguide/orgs_manage_policies_upgrade_rollout.html)
Pour plus d'informations sur l'héritage des politiques, consultez[Fonctionnement de l'héritage des politiques de gestion](orgs_manage_policies_inheritance_mgmt.md).
## Quelles sont les politiques de déploiement des mises à niveau ?
Les politiques de déploiement des mises à niveau sont un ensemble de règles qui déterminent comment et quand les mises à niveau automatiques sont appliquées à vos AWS ressources. Ces politiques vous permettent de définir différents ordres de mise à niveau pour vos ressources, généralement en fonction de vos environnements de développement, de test et de production. Vous pouvez ainsi vous assurer que les mises à niveau sont d'abord appliquées aux systèmes moins critiques, ce qui vous permet d'identifier et de résoudre les problèmes avant qu'ils n'affectent vos charges de travail de production.
Les politiques prennent en charge trois ordres de mise à niveau : le premier, le deuxième et le dernier. Ces commandes créent une approche progressive des mises à niveau, les ressources étant désignées comme « premières » recevant les améliorations dans un premier temps, suivies de « secondes » après une période d'attente, et enfin « dernières » après une autre période d'attente. Cette approche échelonnée vous donne le temps de valider les mises à niveau à chaque étape avant qu'elles ne passent à des systèmes plus critiques.
Les politiques de déploiement des mises à niveau sont particulièrement utiles pour les organisations dotées de structures multicomptes complexes ou soumises à des exigences strictes en matière de gestion du changement. Ils fournissent un équilibre entre la maintenance up-to-date des systèmes et la minimisation du risque d'interruptions des services critiques liées aux mises à niveau.
## Comment fonctionnent les politiques de déploiement des mises à niveau
Les politiques de déploiement des mises à niveau s'intègrent parfaitement à votre AWS infrastructure et à vos processus existants. Lorsque vous créez et attachez une politique de déploiement de mise à niveau à une unité organisationnelle, elle s'applique à tous les comptes de cette unité d'organisation. Vous pouvez ensuite utiliser des balises de ressources ou des ordres de patch pour spécifier quelles ressources doivent être mises à niveau dans quel ordre.
Lorsqu'un AWS service pris en charge publie une mise à niveau, il consulte les politiques de déploiement de la mise à niveau afin de déterminer l'ordre dans lequel les ressources doivent recevoir la mise à niveau. Le service applique d'abord la mise à niveau aux ressources marquées comme « Premières » pendant leurs fenêtres de maintenance configurées. Après une période d'attente spécifique au service, généralement d'une semaine environ, les ressources marquées comme « Deuxième » deviennent éligibles à la mise à niveau. Enfin, après une nouvelle période d'attente, les ressources marquées comme « Dernières » reçoivent la mise à niveau.
Ce processus garantit que les mises à niveau sont appliquées de manière contrôlée et prévisible dans l'ensemble de votre organisation. Il vous permet de surveiller l'impact des mises à niveau à chaque étape et de prendre des mesures correctives si nécessaire avant que les modifications n'atteignent vos environnements les plus critiques. La nature automatisée de ce processus réduit les frais opérationnels liés à la gestion des mises à niveau, tout en vous fournissant le contrôle et la visibilité dont vous avez besoin pour maintenir la stabilité et la sécurité de vos AWS ressources.
## Terminologie
Voici les principaux termes que vous devez comprendre lorsque vous travaillez avec des politiques de déploiement des mises à niveau :
**Conditions de la politique de déploiement des mises à niveau**
| Durée | Définition |
| --- | --- |
| Date d'activité | Date à laquelle l'AmVu devient visible dans l'API Describe Pending Maintenance Actions et disponible pour l'application. |
| AmVu (mise à niveau automatique des versions mineures) | Processus de mise à niveau automatique pour les versions mineures des moteurs de base de données. |
| Stratégie effective | Ensemble final de règles qui s'appliquent à un compte ou à une ressource après avoir pris en compte toutes les politiques héritées et directement associées. |
| Fenêtre de maintenance | Période récurrente pendant laquelle des mises à niveau automatiques peuvent être appliquées à une ressource. Les politiques de déploiement des mises à niveau fonctionnent dans ces fenêtres de maintenance configurées. |
| Unité d'organisation (UO) | Un conteneur pour les AWS comptes de votre organisation. Des politiques de déploiement des mises à niveau peuvent être associées au niveau de l'unité d'organisation pour affecter tous les comptes qu'elle contient. |
| Ordre des patchs | Ordre dans lequel les ressources reçoivent les mises à niveau (première, deuxième, dernière). |
| Objectif de la politique | L'étendue à laquelle s'applique une politique de déploiement de mise à niveau, qui peut concerner une organisation entière OUs, des comptes spécifiques ou des comptes individuels. |
| Balises de ressources | Paires clé-valeur qui peuvent être utilisées pour identifier les ressources devant suivre des ordres de mise à niveau spécifiques dans le cadre d'une politique. |
| Fenêtre de planification | Période pendant laquelle les ressources d'un ordre de correctif spécifique reçoivent des mises à niveau. |
| Période d'attente spécifique au service | Intervalle de temps désigné entre les ressources de mise à niveau des différents ordres de mise à niveau. Cette période varie en fonction du AWS service et du type de mise à niveau. |
| Ordre de mise à niveau | Désignation qui détermine à quel moment une ressource reçoit des améliorations par rapport aux autres ressources. Peut être réglé sur Premier, Deuxième ou Dernier. |
| Politique de déploiement des mises à niveau | Type de AWS Organizations politique utilisé pour gérer les calendriers de mise à niveau entre les ressources. |
## Cas d'utilisation des politiques de déploiement des mises à niveau
Organisations de tailles et de secteurs d'activité différents peuvent tirer parti des politiques de déploiement des mises à niveau. Les scénarios fictifs suivants illustrent les problèmes courants liés à la gestion des mises à niveau et montrent comment les politiques de déploiement des mises à niveau fournissent des solutions efficaces. Ces exemples sont basés sur des expériences clients typiques, mais ont été simplifiés pour mettre en évidence les principaux avantages et les modèles de mise en œuvre.
De nombreuses entreprises sont confrontées à des défis similaires : elles doivent conserver leurs ressources up-to-date avec les dernières versions tout en minimisant les risques pour leurs environnements de production. Sans approche centralisée basée sur des règles, les équipes ont souvent recours à des processus manuels ou à des scripts d'automatisation complexes. Les exemples suivants montrent comment deux organisations différentes peuvent résoudre des problèmes similaires à l'aide de politiques de déploiement des mises à niveau :
### Exemple de cas d'utilisation : société mondiale de services financiers
Une société de services financiers gère des centaines de bases de données Aurora PostgreSQL sur plusieurs comptes. AWS Avant les politiques de déploiement des mises à niveau, leur DevOps équipe passait plusieurs jours par mois à coordonner manuellement les mises à niveau des bases de données, en veillant à ce que les modifications soient testées dans les environnements de développement avant d'atteindre les systèmes de production. En mettant en œuvre des politiques de déploiement des mises à niveau, ils :
+ Bases de données de développement étiquetées avec ordre de mise à niveau « First »
+ Bases de données QA assignées à l'ordre de mise à niveau « Second »
+ Bases de données de production désignées comme « dernier » ordre de mise à niveau
+ Réduction de la coordination des mises à niveau de plusieurs jours à quelques minutes
+ Validation automatique des modifications d'abord dans les environnements inférieurs
+ Maintien de la conformité à leurs exigences en matière de gestion du changement
### Exemple de cas d'utilisation : fournisseur de plateforme d'appareils IoT
Une entreprise d'IoT traite des millions d'événements liés à des appareils par jour à l'aide de plusieurs bases de données Amazon RDS. Ils devaient s'assurer que les mises à niveau automatiques des versions mineures ne perturberaient pas leurs services de production. À l'aide de politiques de déploiement des mises à niveau, ils :
+ A créé une politique qui s'applique à l'ensemble de leur structure organisationnelle
+ Environnements Canary configurés pour recevoir les mises à niveau en premier
+ Configuration de la surveillance dans les environnements de mise à niveau précoce
+ Temps gagné pour détecter et résoudre les problèmes éventuels avant les mises à niveau de production
+ Remplacement de l'automatisation complexe des mises à niveau personnalisées par une politique simple
+ Maintien d'une haute disponibilité pour leurs charges de travail de production tout en restant à jour avec les versions des bases de données
## AWS Services pris en charge
Les politiques de déploiement des mises à niveau s'intègrent aux AWS services suivants tout en prenant en charge les mises à niveau automatiques des versions mineures :
**Services pris en charge pour les politiques de déploiement des mises à niveau**
| Nom du service | Objectif |
| --- | --- |
| Amazon Aurora PostgreSQL-Compatible Edition | [Mises à niveau automatiques des versions mineures](https://docs.aws.amazon.com/AmazonRDS/latest/AuroraUserGuide/USER_UpgradeDBInstance.Maintenance.html#Aurora.Maintenance.AMVU) |
| Amazon Aurora MySQL-Compatible Edition | [Mises à niveau automatiques des versions mineures](https://docs.aws.amazon.com/AmazonRDS/latest/AuroraUserGuide/USER_UpgradeDBInstance.Maintenance.html#Aurora.Maintenance.AMVU) |
| Amazon Relational Database Service pour PostgreSQL | [Mises à niveau automatiques des versions mineures](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_UpgradeDBInstance.PostgreSQL.Minor.html) |
| Amazon Relational Database Service pour SQL Server | [Mises à niveau automatiques des versions mineures](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_UpgradeDBInstance.SQLServer.html) |
| Amazon Relational Database Service pour Oracle | [Mises à niveau automatiques des versions mineures](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_UpgradeDBInstance.Oracle.Minor.html#oracle-minor-version-upgrade-tuning-on) |
| Amazon Relational Database Service pour MariaDB | [Mises à niveau automatiques des versions mineures](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_UpgradeDBInstance.MariaDB.Minor.html) |
| Amazon Relational Database Service pour MySQL | [Mises à niveau automatiques des versions mineures](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_UpgradeDBInstance.MySQL.Minor.html) |
| Amazon Relational Database Service pour DB2 | [Mises à niveau automatiques des versions mineures](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/Db2.Concepts.VersionMgmt.html) |
## Conditions préalables
Les conditions requises et les autorisations requises sont les suivantes pour gérer les politiques de déploiement des mises à niveau dans : AWS Organizations
+ AWS Organizations compte de gestion ou accès administrateur délégué
+ Ressources des services pris en charge (actuellement les moteurs de base de données Amazon Aurora et Amazon Relational Database Service)
+ Autorisations IAM appropriées pour gérer les politiques de déploiement des mises à niveau
## Étapes suivantes
Pour commencer à utiliser les politiques de déploiement des mises à niveau :
1. Consultez le [Commencer à utiliser les politiques de déploiement des mises à niveau](orgs_manage_policies_upgrade_getting_started.md) pour savoir comment créer et gérer des politiques
1. Découvrez comment mettre [Bonnes pratiques relatives à l'utilisation des politiques de déploiement des mises à niveau](orgs_manage_policies_upgrade_best_practices.md) en œuvre des politiques de déploiement des mises à niveau
1. Comprendre [Syntaxe et exemples de politique de déploiement des mises à niveau](orgs_manage_policies_upgrade_syntax.md)
# Commencer à utiliser les politiques de déploiement des mises à niveau
Suivez ces étapes pour mettre en œuvre des politiques de déploiement des mises à niveau dans votre organisation. Chaque étape renvoie à des informations détaillées qui vous aideront à mener à bien la mise en œuvre.
## Avant de commencer
Vérifiez que vous disposez des éléments suivants :
+ Accès administratif à AWS Organizations
+ Ressources des AWS services pris en charge (tels qu'Aurora ou Amazon Relational Database Service)
+ Autorisations IAM nécessaires configurées
## Étapes d’implémentation
1. [Activez les politiques de déploiement des mises à niveau pour votre organisation.](enable-policy-type.md)
1. [Découvrez comment fonctionnent les politiques de déploiement des mises à niveau.](orgs_manage_policies_upgrade_rollout.md#orgs_manage_policies_upgrade_rollout_how_work)
+ Identifier les environnements de développement, de test et de production
+ Déterminez quelles ressources doivent être mises à niveau en premier, en deuxième et en dernier
+ Documentez votre stratégie de balisage pour l'identification des ressources
1. [Création d'une politique de déploiement des mises à niveau](orgs_policies_create.md#create-upgrade-rollout-policy-procedure):
+ Définissez l'ordre de déploiement par défaut (unité organisationnelle ou niveau du compte)
+ Spécifier le ciblage des ressources en utilisant des balises
+ Configurer toutes les exclusions de politique
1. [Associez une politique de déploiement des mises à niveau à un compte de membre unique que vous pouvez utiliser pour les tests.](orgs_policies_attach.md) :
+ Commencez par une unité organisationnelle de test
+ Vérifier l'héritage des politiques
+ Confirmer le statut des pièces jointes aux politiques
1. Étiquetez vos ressources en fonction de votre stratégie d'ordre de mise à niveau :
+ Appliquer des balises aux ressources de développement pour les premières mises à niveau
+ Ressources de test d'étiquettes pour les mises à niveau de second ordre
+ Désignez les ressources de production pour les mises à niveau de dernière commande
1. Surveillez et validez la politique :
+ Vérifiez les attributions des ordres de surclassement
+ Vérifier les effets des politiques sur les ressources de test
1. Testez le processus de mise à niveau :
+ Attendez qu'une mise à niveau de service soit disponible
+ Surveillez la progression de la mise à niveau dans vos environnements
+ Vérifiez que les mises à niveau suivent la commande que vous avez spécifiée
1. Activez les politiques de déploiement des mises à niveau pour les unités organisationnelles supplémentaires selon les besoins
**Autres informations**
+ [Apprenez la syntaxe des politiques de déploiement des mises à niveau et consultez des exemples de politiques](orgs_manage_policies_upgrade_syntax.md)
# Bonnes pratiques relatives à l'utilisation des politiques de déploiement des mises à niveau
AWS recommande les meilleures pratiques suivantes pour l'utilisation des politiques de déploiement des mises à niveau.
**Topics**
+ [Commencez petit et agrandissez progressivement](#orgs_manage_policies_upgrade_best_practices_scale)
+ [Mettre en place des processus de révision](#orgs_manage_policies_upgrade_best_practices_review)
+ [Validez efficacement les modifications de politique](#orgs_manage_policies_upgrade_best_practices_validate)
+ [Surveiller et communiquer les modifications](#orgs_manage_policies_upgrade_best_practices_monitor)
+ [Maintien de la conformité et de la sécurité](#orgs_manage_policies_upgrade_best_practices_compliance)
+ [Optimisez l'efficacité opérationnelle](#orgs_manage_policies_upgrade_best_practices_optimize)
## Commencez petit et agrandissez progressivement
Commencez votre mise en œuvre par une politique de test associée à un compte unique dans un environnement non critique. Cette approche vous permet de valider le comportement et l'impact des politiques de déploiement des mises à niveau sans risquer de perturber les charges de travail critiques. Une fois que vous avez confirmé que la politique fonctionne comme prévu, déplacez-la progressivement vers le haut de votre structure organisationnelle pour inclure davantage de comptes et d'unités organisationnelles.
Cette mise à l'échelle progressive vous aide à identifier et à résoudre les problèmes dès le début du processus de mise en œuvre. Envisagez de créer un groupe pilote de ressources représentant la diversité de votre environnement tout en minimisant les risques opérationnels. Documentez les résultats de chaque phase d'expansion pour éclairer les futurs déploiements et ajustements des politiques.
## Mettre en place des processus de révision
Mettez en œuvre des processus de révision réguliers pour surveiller les nouveaux attributs de la politique de déploiement des mises à niveau et évaluer les exceptions aux politiques. Ces examens doivent être conformes aux exigences opérationnelles et de sécurité de votre organisation. Créez un calendrier pour examiner l'efficacité des politiques et conservez la documentation de tout ajustement effectué.
Votre processus de révision doit inclure des évaluations régulières des ressources régies par des politiques, la vérification que les commandes de mise à niveau sont conformes à la stratégie que vous avez prévue et une évaluation de toute exception aux politiques. Envisagez d'établir des critères pour déterminer quand les politiques doivent être mises à jour et de tenir un journal des modifications pour suivre l'évolution des politiques au fil du temps.
## Validez efficacement les modifications de politique
Après avoir modifié une politique de déploiement des mises à niveau, vérifiez les politiques efficaces pour les comptes représentatifs à chaque niveau de votre organisation. Utilisez la console AWS de gestion ou `DescribeEffectivePolicy` l'opération API pour vérifier que vos modifications ont l'impact escompté. Cette validation doit inclure la vérification des ressources des différentes unités organisationnelles et la confirmation que l'héritage fonctionne comme prévu.
Portez une attention particulière aux ressources auxquelles des ordres de mise à niveau explicites sont attribués par rapport à celles qui utilisent des valeurs par défaut. Établissez une liste de contrôle de validation qui inclut la vérification du ciblage basé sur les balises, la confirmation des alignements des fenêtres de maintenance et le test de l'héritage des politiques.
## Surveiller et communiquer les modifications
Établissez une surveillance complète de vos politiques de déploiement des mises à niveau et créez des canaux de communication clairs pour partager les informations relatives aux mises à niveau. Documentez des procédures claires pour gérer les échecs de mise à niveau et créez des plans de réponse pour différents scénarios.
Maintenez une communication régulière avec les équipes qui gèrent les ressources affectées par les politiques de mise à niveau. Envisagez de créer des tableaux de bord offrant une visibilité sur les mises à niveau à venir et leur progression prévue dans vos environnements.
## Maintien de la conformité et de la sécurité
Auditez régulièrement vos politiques de déploiement des mises à niveau pour vous assurer qu'elles sont conformes à vos exigences de conformité. Documentez toutes les décisions politiques et conservez des enregistrements clairs des modèles de mise à niveau et des exceptions. Mettez en œuvre des contrôles de sécurité relatifs aux modifications des politiques et maintenez une piste d'audit des modifications de politique à l'aide de AWS CloudTrail.
Passez régulièrement en revue les autorisations d'accès aux fonctions de gestion des politiques et implémentez l'accès du moindre privilège pour l'administration des politiques. Créez des procédures pour les modifications d'urgence des politiques et maintenez la documentation des exigences de mise à niveau liées à la sécurité.
## Optimisez l'efficacité opérationnelle
Concevez vos politiques de manière à minimiser les frais d'exploitation tout en maintenant les contrôles nécessaires. Pour éviter tout comportement involontaire, ne réutilisez pas les balises dans différents cas d'utilisation. Automatisez le contrôle de conformité aux politiques dans la mesure du possible et créez des procédures opérationnelles standard pour les tâches courantes de gestion des politiques.
Envisagez de créer des modèles pour différents types de scénarios de mise à niveau et conservez la documentation des modèles de politiques efficaces. L'examen régulier des indicateurs opérationnels peut aider à identifier les opportunités d'optimisation des politiques et d'amélioration des processus.
# Syntaxe et exemples de politique de déploiement des mises à niveau
Une politique de déploiement des mises à niveau définit la manière dont les AWS services appliquent les mises à niveau automatiques à l'ensemble de vos ressources. La compréhension de la syntaxe des politiques vous permet de créer des politiques efficaces qui répondent aux exigences de mise à niveau de votre organisation.
**Topics**
+ [Considérations](#orgs_manage_policies_upgrade_syntax_considerations)
+ [Structure politique de base](#orgs_manage_policies_upgrade_syntax_structure)
+ [Composants de politique](#orgs_manage_policies_upgrade_syntax_components)
+ [Exemples de politiques de déploiement des mises à niveau](#orgs_manage_policies_upgrade_syntax_examples)
## Considérations
Lors de la mise en œuvre des politiques de déploiement des mises à niveau, tenez compte des facteurs importants suivants :
+ Les noms des politiques doivent être uniques au sein de votre organisation et doivent être clairs et descriptifs. Choisissez des noms qui reflètent l'objectif et la portée de la politique. Pour de plus amples informations, veuillez consulter [Optimisez l'efficacité opérationnelle](orgs_manage_policies_upgrade_best_practices.md#orgs_manage_policies_upgrade_best_practices_optimize).
+ Les tests sont essentiels avant un déploiement à grande échelle. Validez d'abord les nouvelles politiques dans les environnements non liés à la production, puis étendez-les progressivement pour garantir le comportement souhaité. Pour de plus amples informations, veuillez consulter [Commencez petit et agrandissez progressivement](orgs_manage_policies_upgrade_best_practices.md#orgs_manage_policies_upgrade_best_practices_scale).
+ Les modifications de politique peuvent prendre plusieurs heures pour se propager au sein de votre organisation. Planifiez vos mises en œuvre en conséquence et assurez-vous qu'une surveillance appropriée est en place. Pour de plus amples informations, veuillez consulter [Surveiller et communiquer les modifications](orgs_manage_policies_upgrade_best_practices.md#orgs_manage_policies_upgrade_best_practices_monitor).
+ Le formatage JSON doit être valide et respecter la taille maximale de la politique de 5 120 octets. Simplifiez au maximum les structures des politiques tout en répondant à vos exigences.
+ Des révisions régulières des politiques contribuent à maintenir l'efficacité. Planifiez des évaluations périodiques de vos politiques pour vous assurer qu'elles continuent de répondre aux besoins de votre organisation. Pour de plus amples informations, veuillez consulter [Mettre en place des processus de révision](orgs_manage_policies_upgrade_best_practices.md#orgs_manage_policies_upgrade_best_practices_review).
+ Les ressources sans ordre de mise à niveau attribué sont par défaut du « deuxième » ordre. Envisagez de définir explicitement des ordres de mise à niveau pour les ressources critiques plutôt que de vous fier aux valeurs par défaut. Pour de plus amples informations, veuillez consulter [Validez efficacement les modifications de politique](orgs_manage_policies_upgrade_best_practices.md#orgs_manage_policies_upgrade_best_practices_validate).
+ Les mises à niveau manuelles ont la priorité sur les ordres de mise à niveau définis par des règles. Assurez-vous que vos processus de gestion des modifications tiennent compte des scénarios de mise à niveau automatiques et manuels. Pour de plus amples informations, veuillez consulter [Mettre en place des processus de révision](orgs_manage_policies_upgrade_best_practices.md#orgs_manage_policies_upgrade_best_practices_review).
**Note**
Lorsque vous mettez en œuvre des politiques de déploiement de mise à niveau basées sur des balises à partir de votre compte de gestion, sachez que le compte de gestion ne peut pas afficher ou accéder directement aux balises au niveau des ressources dans les comptes membres. Nous recommandons d'établir un processus dans le cadre duquel les comptes membres appliquent des balises de ressources cohérentes, puis de créer des politiques au niveau de l'organisation qui font référence à ces balises. Cela garantit une bonne coordination entre le balisage au niveau des ressources et l'application des politiques organisationnelles. Vous pouvez également l'utiliser [Politiques de balises](orgs_manage_policies_tag-policies.md) pour maintenir la cohérence des balises lorsque les ressources sont balisées au sein de votre organisation.
## Structure politique de base
Les politiques de déploiement des mises à niveau utilisent une structure JSON qui inclut les principaux éléments suivants :
+ Métadonnées relatives aux politiques (telles que les informations de version)
+ Règles de ciblage des ressources
+ Spécifications des commandes de mise à niveau
+ Messages d'exception facultatifs
+ Attributs spécifiques au service
L'exemple suivant montre une structure de politique de déploiement de mise à niveau de base :
```
{
"upgrade_rollout":{
"default":{
"patch_order":{
"@@assign":"last"
}
},
"tags":{
"devtag":{
"tag_values":{
"tag1":{
"patch_order":{
"@@assign":"first"
}
},
"tag2":{
"patch_order":{
"@@assign":"second"
}
},
"tag3":{
"patch_order":{
"@@assign":"last"
}
}
}
}
}
}
}
```
## Composants de politique
Une politique de déploiement des mises à niveau se compose de deux composants clés qui fonctionnent ensemble pour contrôler la manière dont les mises à niveau sont appliquées à l'ensemble de vos ressources. Ces composants incluent des options de configuration pour les comportements par défaut et les remplacements basés sur des balises. Comprendre comment ces composants interagissent vous aide à créer des politiques efficaces qui répondent aux besoins de votre organisation.
### Configuration de l'ordre des correctifs par défaut
Lorsque vous créez une politique de déploiement de mise à niveau sans spécifier de dérogations spécifiques aux ressources, toutes les ressources utilisent par défaut un ordre de mise à niveau de base. Vous pouvez définir cette valeur par défaut à l'aide du champ « par défaut » de votre politique. Les ressources sans attribution explicite d'ordre de mise à niveau via des balises suivront cet ordre par défaut.
**Note**
L'expérience console actuelle nécessite la spécification d'un ordre par défaut.
L'exemple suivant montre comment configurer toutes les ressources pour qu'elles reçoivent les mises à niveau en dernier par défaut, sauf si elles sont remplacées par des balises. Cette approche est utile lorsque vous souhaitez vous assurer que la plupart des ressources sont mises à jour ultérieurement dans le cycle de mise à niveau :
```
"upgrade_rollout": {
"default": {
"patch_order": "last"
}
}
```
### Modification du niveau de ressource via des balises
Vous pouvez annuler l'ordre de mise à niveau par défaut pour des ressources spécifiques à l'aide de balises. Cela vous permet de créer un contrôle granulaire sur les ressources qui reçoivent des mises à niveau et dans quel ordre. Par exemple, vous pouvez attribuer différents ordres de mise à niveau en fonction de vos types d'environnement, des étapes de développement ou de la criticité de votre charge de travail.
L'exemple suivant montre comment configurer les ressources de développement pour recevoir les mises à niveau en premier et les ressources de production pour les recevoir en dernier. Cette configuration garantit que vos environnements de développement peuvent valider les mises à niveau avant qu'elles ne soient mises en production :
```
"upgrade_rollout": {
"tags": {
"environment": {
"tag_values": {
"development": {
"patch_order": "first"
},
"production": {
"patch_order": "last"
}
}
}
}
}
```
## Exemples de politiques de déploiement des mises à niveau
Voici les scénarios courants relatifs aux politiques de déploiement des mises à niveau :
### Exemple 1 : environnement de développement d'abord
Cet exemple montre comment configurer les ressources de votre environnement de développement pour qu'elles reçoivent d'abord les mises à niveau. En ciblant les ressources à l'aide de la balise d'environnement « développement », vous vous assurez que vos environnements de développement sont les premiers à recevoir et à valider les nouvelles mises à niveau. Ce modèle permet d'identifier les problèmes potentiels avant que les mises à niveau n'atteignent des environnements plus critiques :
```
{
"tags": {
"environment": {
"tag_values": {
"development": {
"upgrade_order": "first"
}
}
}
}
}
```
### Exemple 2 : dernier environnement de production
Cet exemple montre comment garantir que vos environnements de production reçoivent les mises à niveau en dernier. En affectant explicitement les ressources étiquetées en production à la dernière commande de mise à niveau, vous maintenez la stabilité de votre environnement de production tout en permettant des tests adéquats dans les environnements de pré-production. Cette approche est particulièrement utile pour les organisations ayant des exigences strictes en matière de gestion du changement :
```
{
"tags": {
"environment": {
"tag_values": {
"production": {
"upgrade_order": "last"
}
}
}
}
}
```
### Exemple 3 : plusieurs ordres de mise à niveau utilisant des balises
L'exemple suivant montre comment utiliser une clé de balise unique avec des valeurs différentes pour spécifier les trois ordres de mise à niveau. Cette approche est utile lorsque vous souhaitez gérer les commandes de mise à niveau via un schéma de balisage unique :
```
{
"upgrade_rollout":{
"default":{
"patch_order":{
"@@assign":"last"
}
},
"tags":{
"devtag":{
"tag_values":{
"tag1":{
"patch_order":{
"@@assign":"first"
}
},
"tag2":{
"patch_order":{
"@@assign":"second"
}
},
"tag3":{
"patch_order":{
"@@assign":"last"
}
}
}
}
}
}
}
```
# Politiques Amazon S3
Les politiques Amazon S3 vous permettent de gérer de manière centralisée les configurations des ressources Amazon S3 à grande échelle sur l'ensemble des comptes d'une organisation. Les politiques Amazon S3 prennent actuellement en charge les paramètres de blocage de l'accès public.
Vous pouvez utiliser une politique Amazon S3 pour spécifier s'il faut activer ou désactiver les quatre paramètres de blocage de l'accès public, et cette spécification s'appliquera à toutes les ressources Amazon S3 au sein des comptes sélectionnés. Vous pouvez utiliser les paramètres de blocage de l'accès public dans une politique Amazon S3 pour appliquer une posture de sécurité cohérente au sein de votre organisation et éliminer les frais opérationnels liés à la gestion des configurations de comptes individuels.
## Comment ça marche
Lorsque vous associez une politique Amazon S3 à une entité organisationnelle, elle définit les paramètres qui s'appliquent à toutes les ressources Amazon S3 au sein des comptes relevant de cette étendue. Ces configurations remplacent les paramètres au niveau du compte, ce qui vous permet de gérer de manière centralisée les paramètres Amazon S3.
Les politiques Amazon S3 peuvent être appliquées à l'ensemble d'une organisation, à des unités organisationnelles (OUs) ou à des comptes individuels. Les comptes rejoignant une organisation hériteront automatiquement de toutes les politiques Amazon S3 en fonction de leur emplacement dans la hiérarchie de l'organisation.
Comportement de détachement : si une politique Amazon S3 est dissociée, les comptes reprennent automatiquement leur configuration précédente au niveau du compte. Amazon S3 préserve les paramètres d'origine au niveau du compte afin de permettre une restauration fluide.
## Fonctions principales
+ Contrôle unifié : les quatre paramètres d'accès public par blocs (BlockPublicAcls, BlockPublicPolicy, IgnorePublicAcls, RestrictPublicBuckets) sont contrôlés ensemble en tant que configuration unique
+ Héritage automatique : les nouveaux comptes héritent automatiquement des politiques en fonction de leur placement organisationnel
+ Protection de remplacement : empêche les modifications au niveau du compte lorsque les politiques de l'organisation sont actives
+ Restauration fluide : les paramètres du compte d'origine sont préservés et restaurés lorsque les politiques sont détachées
## Conditions préalables
Avant d'utiliser les politiques Amazon S3, assurez-vous d'avoir :
+ Une AWS organisation en mode toutes les fonctionnalités
+ Autorisations pour gérer AWS les politiques des organisations (organisations : CreatePolicyAttachPolicy, organisations :, etc.)
+ Le type de politique Amazon S3 activé pour votre organisation
# Bonnes pratiques relatives à l'utilisation des politiques Amazon S3
Lors de la mise en œuvre des politiques Amazon S3 au sein de votre organisation, le respect des meilleures pratiques établies permet de garantir un déploiement et une maintenance réussis.
## Commencez simplement en réalisant de petites modifications
Pour simplifier le débogage, commencez par des politiques simples et apportez des modifications à un élément à la fois. Validez le comportement et l'impact de chaque modification avant d'effectuer la suivante. Vous réduisez ainsi le nombre de variables dont vous devez tenir compte lorsqu'une erreur ou un résultat inattendu se produit.
## Mettre en place des processus de révision
Mettez en œuvre des processus pour surveiller les nouveaux attributs des politiques, évaluer les exceptions aux politiques et apporter des ajustements afin de maintenir l'alignement sur les exigences opérationnelles et de sécurité de votre organisation.
## Validez les modifications apportées à vos politiques Amazon S3 à l'aide de DescribeEffectivePolicy
Après avoir modifié une politique Amazon S3, vérifiez les politiques en vigueur pour les comptes représentatifs situés en dessous du niveau auquel vous avez apporté la modification. Vous pouvez consulter la politique effective à l'aide de la console AWS de gestion, de l'opération DescribeEffectivePolicy API ou de l'une de ses variantes de AWS CLI ou de AWS SDK. Assurez-vous que la modification que vous avez apportée a eu l'impact escompté sur la politique effective.
## Communiquez et entraînez-vous
Assurez-vous que votre organisation comprend l'objectif et l'impact de vos politiques. Fournissez des conseils clairs sur les comportements attendus et sur la manière de gérer les défaillances dues à l'application des politiques.
## Planifier pour répondre aux besoins légitimes d'accès du public
Avant de mettre en œuvre des politiques au niveau de l'organisation, identifiez les comptes qui nécessitent des compartiments Amazon S3 publics à des fins commerciales légitimes (telles que l'hébergement de sites Web statiques). Envisagez d'utiliser l'attachement à une politique au niveau de l'unité d'organisation ou au niveau du compte pour exclure ces comptes, ou pour regrouper les besoins en compartiments publics dans des comptes dédiés.
## Surveiller l'application des politiques
AWS CloudTrail À utiliser pour surveiller l'attachement aux politiques et les mesures d'application. Définissez EventBridge des règles pour automatiser les réponses aux violations ou aux modifications des politiques.
# Syntaxe et exemples de politiques Amazon S3
Une politique Amazon S3 est un fichier en texte brut structuré selon les règles du [JSON](http://json.org). La syntaxe des politiques Amazon S3 suit celle de tous les types de politiques de gestion. Pour de plus amples informations, veuillez consulter [Fonctionnement de l'héritage des politiques de gestion](orgs_manage_policies_inheritance_mgmt.md). Cette rubrique se concentre sur l'application de cette syntaxe générale aux exigences spécifiques des politiques Amazon S3 et aux paramètres de blocage de l'accès public qu'elles permettent de gérer.
L'exemple de politique Amazon S3 suivant montre la syntaxe de base de la politique :
```
{
"s3_attributes": {
"public_access_block_configuration": {
"@@assign": "all"
}
}
}
```
## La syntaxe de la politique Amazon S3 inclut les éléments suivants
`s3_attributes`
La clé de niveau supérieur pour la configuration des politiques Amazon S3.
`public_access_block_configuration`
Définit le comportement de blocage de l'accès public pour l'organisation.
`@@assign`
L'opérateur d'affectation qui accepte l'une des deux valeurs suivantes :
+ `"all"`- Active les quatre paramètres d'accès public par bloc d'Amazon S3 au niveau de l'organisation
+ `"none"`- Désactive le contrôle au niveau de l'organisation, permettant aux comptes individuels de gérer leurs propres paramètres de blocage de l'accès public
Amazon S3 Block Public Access possède quatre paramètres qui contrôlent l'accès public :
1. **BlockPublicAcls**- Amazon S3 bloquera les autorisations d'accès public appliquées aux buckets ou objets récemment ajoutés, et empêchera la création de nouvelles listes de contrôle d'accès public (ACLs) pour les buckets et objets existants. Ce paramètre ne modifie aucune autorisation existante qui autorise l'accès public aux ressources Amazon S3 à l'aide de ACLs.
1. **BlockPublicPolicy**- Amazon S3 bloquera les nouvelles politiques relatives aux compartiments et aux points d'accès qui accordent un accès public aux compartiments et aux objets. Ce paramètre ne modifie aucune politique existante qui autorise l'accès public aux ressources Amazon S3.
1. **IgnorePublicAcls**- Amazon S3 ignorera tout ACLs ce qui accorde un accès public aux compartiments et aux objets.
1. **RestrictPublicBuckets**- Amazon S3 ignorera l'accès public et entre comptes pour les compartiments ou les points d'accès avec des politiques qui accordent un accès public aux compartiments et aux objets.
Lorsque vous définissez `@@assign` cette option`"all"`, les quatre paramètres sont consolidés et activés au niveau de l'organisation, offrant ainsi une protection complète contre l'accès public à tous les comptes de votre organisation.
# AWS Shield Politiques du directeur de la sécurité réseau
AWS Shield Network Security Director permet de sécuriser votre AWS environnement en découvrant vos ressources informatiques, réseau et de sécurité réseau. Le directeur de la sécurité réseau évalue la configuration de sécurité de chaque ressource en analysant la topologie du réseau et les configurations de sécurité par rapport aux AWS meilleures pratiques et aux informations sur les menaces.
AWS Shield Les politiques de Network Security Director vous permettent d'activer et de gérer de manière centralisée Network Security Director sur tous les comptes de votre AWS organisation. Avec une politique Network Security Director, vous spécifiez les entités organisationnelles (root ou comptes) sur lesquelles Network Security Director est activé. OUs Lorsque des comptes rejoignent votre organisation, ils héritent automatiquement des politiques applicables en fonction de leur emplacement dans la hiérarchie organisationnelle. Cela garantit que vos ressources sont analysées pour détecter les lacunes de configuration de la sécurité réseau à mesure que votre entreprise se développe. Les politiques respectent les structures organisationnelles existantes et offrent une certaine flexibilité pour déterminer quels comptes sont analysés.
AWS Shield Network Security Director est actuellement disponible en version préliminaire.
## Comment ça marche
Lorsque vous associez une politique AWS Shield Network Security Director à une entité organisationnelle, la politique active automatiquement Network Security Director pour tous les comptes membres compris dans cette zone. En outre, si vous avez finalisé la configuration de AWS Shield Network Security Director en enregistrant un administrateur délégué, ce compte bénéficiera d'une visibilité centralisée sur le niveau de sécurité réseau des comptes de l'organisation sur lesquels AWS Shield Network Security Director est activé.
AWS Shield Les politiques du Network Security Director peuvent être appliquées à l'ensemble de l'organisation, à des unités organisationnelles spécifiques (OUs) ou à des comptes individuels. Les comptes qui rejoignent l'organisation, ou qui migrent vers une unité d'organisation associée à une politique, héritent automatiquement de la politique et ont le AWS Shield Network Security Director activé et lié à l'administrateur délégué du Network Security Director. Les politiques du Network Security Director vous permettent d'effectuer une analyse du réseau, de consulter la topologie du réseau et les résultats de sécurité du réseau pour vos ressources, et de recevoir des recommandations pour remédier aux lacunes de configuration. Les paramètres de configuration spécifiques et la suppression des résultats individuels peuvent être gérés via le compte d'administrateur délégué du Network Security Director de l'organisation.
Lorsque vous associez une politique AWS Shield Network Security Director à votre organisation ou unité organisationnelle, AWS Organizations évalue automatiquement la politique et l'applique en fonction du périmètre que vous définissez. La logique d'application des politiques suit des règles spécifiques de résolution des conflits :
+ Lorsque des régions apparaissent à la fois dans les listes d'activation et de désactivation, la configuration de désactivation est prioritaire. Par exemple, si une région est répertoriée dans les configurations d'activation et de désactivation, AWS Shield Network Security Director sera désactivé dans cette région.
+ Lorsque l'activation `ALL_SUPPORTED` est spécifiée, AWS Shield Network Security Director est activé dans toutes les régions actuelles et futures, sauf s'il est explicitement désactivé. Cela vous permet de maintenir une couverture complète à mesure que vous vous AWS étendez dans de nouvelles régions.
# Commencer à utiliser les politiques de AWS Shield Network Security Director
Avant de configurer les politiques de Network Security Director, assurez-vous de bien comprendre les prérequis et les exigences de mise en œuvre. Cette rubrique vous guide tout au long du processus de configuration et de gestion de ces politiques au sein de votre organisation.
## Avant de commencer
Passez en revue les exigences suivantes avant de mettre en œuvre les politiques du AWS Shield Network Security Director :
+ Votre compte doit faire partie d'une AWS organisation
+ Vous devez être connecté sous l'une des formes suivantes :
+ Le compte de gestion de l'organisation
+ Administrateur délégué d'une AWS organisation autorisé à gérer les politiques AWS Shield du Network Security Director
+ Vous devez activer l'accès sécurisé pour Network Security Director dans votre organisation
+ Vous devez activer le type de politique Network Security Director à la racine de votre organisation
Vérifiez également que :
+ AWS Shield Network Security Director est pris en charge dans les régions où vous souhaitez appliquer des politiques
+ Le rôle lié au service AWS Shield Network Security Director est configuré dans votre compte de gestion. Si vous devez créer ce rôle, vous pouvez le créer directement en exécutant`aws iam create-service-linked-role --aws-service-name network-director.amazonaws.com`.
## Étapes d’implémentation
Pour mettre en œuvre efficacement les politiques du Network Security Director, suivez ces étapes dans l'ordre. Chaque étape garantit une configuration correcte et permet d'éviter les problèmes courants lors de l'installation. Ces étapes peuvent être effectuées via la AWS Organizations console, l'interface de ligne de AWS commande (AWS CLI) ou AWS SDKs.
1. [Activez un accès sécurisé pour AWS Shield Network Security Director](orgs_integrate_services.md#orgs_how-to-enable-disable-trusted-access).
1. [Activez les politiques du AWS Shield Network Security Director pour votre organisation](enable-policy-type.md).
1. [Créez une politique de directeur de sécurité AWS Shield réseau](orgs_manage_policies_network_security_director_syntax.md).
1. [Associez la politique à la racine, à l'unité d'organisation ou au compte de votre](orgs_policies_attach.md) organisation.
1. [Consultez la politique combinée efficace du directeur de la sécurité réseau qui s'applique à un compte](orgs_manage_policies_effective.md).
# AWS Shield Syntaxe et exemples de politique du Network Security Director
Les politiques de Network Security Director suivent une syntaxe JSON standardisée qui définit la manière dont Network Security Director est activé et configuré au sein de votre organisation. Une politique AWS Shield Network Security Director est un document JSON structuré selon la syntaxe de la politique de gestion des AWS Organizations. Il définit les entités organisationnelles pour lesquelles AWS Shield Network Security Director sera automatiquement activé.
## Structure politique de base
Une politique de AWS Shield Network Security Director utilise cette structure de base :
```
{
"network_security_director": {
"enablement": {
"network_security_scan": {
"enable_in_regions": {
"@@assign": ["us-east-1", "eu-west-1"]
},
"disable_in_regions": {
"@@assign": []
}
}
},
}
}
}
```
## Composants de politique
AWS Shield Les politiques du Network Security Director contiennent les éléments clés suivants :
`network_security_director`
La clé de niveau supérieur pour les documents de politique de Network Security Director, qui est requise pour toutes les politiques de Network Security Director.
`enablement`
Définit le mode d'activation du Network Security Director au sein de l'organisation et contient les configurations de scan.
`network_security_scan`
Définit la configuration d'application pour l'analyse de sécurité du réseau.
`enable_in_regions`
Identifiant de configuration pour les paramètres régionaux. Définit l'endroit où le scan de sécurité réseau doit être activé.
`disable_in_regions`
Identifiant de configuration pour les paramètres régionaux. Définit l'endroit où le scan de sécurité réseau doit être désactivé.
# Administrateur délégué pour AWS Organizations
Nous vous recommandons d'utiliser le compte AWS Organizations de gestion, ses utilisateurs et ses rôles uniquement pour les tâches qui doivent être effectuées par ce compte. Nous vous recommandons également de stocker vos ressources AWS dans d'autres comptes membres de l'organisation et de les garder en dehors du compte de gestion. Cela est dû au fait que les fonctionnalités de sécurité telles que les politiques de contrôle des services des Organisations (SCPs) ne limitent pas les utilisateurs ou les rôles dans le compte de gestion.
À partir du compte de gestion de l'organisation, vous pouvez déléguer la gestion des politiques pour les organisations à des comptes membres spécifiques afin d'effectuer des actions de politique qui ne sont par défaut disponibles que pour le compte de gestion.
Par exemple, les politiques de délégation basées sur les ressources, voir. [Exemples de politiques basées sur les ressources pour AWS Organizations](security_iam_resource-based-policy-examples.md)
**Topics**
+ [Création d'une politique de délégation basée sur les ressources](orgs-policy-delegate.md)
+ [Mettre à jour une politique de délégation basée sur les ressources](orgs-policy-delegate-update.md)
+ [Afficher une politique de délégation basée sur les ressources](view-delegated-resource-based-policy.md)
+ [Supprimer une politique de délégation basée sur les ressources](delete-delegated-resource-based-policy.md)
# Créez une politique de délégation basée sur les ressources avec AWS Organizations
À partir du compte de gestion, créez une politique de délégation basée sur les ressources pour votre organisation et ajoutez une déclaration indiquant quels comptes membres peuvent effectuer des actions sur les politiques. Vous pouvez ajouter plusieurs déclarations dans la politique pour indiquer un ensemble d'autorisations différent pour les comptes membres.
**Autorisations minimales**
Pour créer la politique de délégation basée sur les ressources, vous devez disposer des autorisations nécessaires pour exécuter les actions suivantes :
`organizations:PutResourcePolicy`
`organizations:DescribeResourcePolicy`
En outre, vous devez accorder aux rôles et aux utilisateurs du compte administrateur délégué les autorisations IAM correspondant aux actions requises. Sans autorisations IAM, on suppose que le principal appelant ne dispose pas des autorisations requises pour gérer les AWS Organizations politiques.
------
#### [ AWS Management Console ]
Ajoutez des instructions à la politique de délégation basée sur les ressources dans la AWS Management Console à l'aide de l'une des méthodes suivantes :
+ **Politique JSON** : collez et personnalisez un exemple de politique de délégation basée sur les ressources à utiliser dans votre compte, ou saisissez votre propre document de politique JSON dans l'éditeur JSON.
+ **Éditeur visuel** : créez une nouvelle politique de délégation dans l'éditeur visuel, qui vous guide dans la création d'une politique de délégation sans avoir à écrire de syntaxe JSON.
**Utiliser l'éditeur de stratégie JSON pour créer une politique de délégation**
1. Connectez-vous à la [console AWS Organizations](https://console.aws.amazon.com/organizations/v2). Vous devez vous connecter en tant qu'utilisateur IAM, assumer un rôle IAM ou vous connecter en tant qu'utilisateur racine ([non recommandé](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials)) dans le compte de gestion de l'organisation.
1. Cliquez sur **Paramètres**.
1. Dans la section **Administrateur délégué pour AWS Organizations**, choisissez **Delegate** (Déléguer) pour créer la politique de délégation Organizations.
1. Entrez un document de stratégie JSON. Pour de plus amples informations sur le langage de la stratégie IAM, consultez la référence de [politique JSON IAM](https://docs.aws.amazon.com//IAM/latest/UserGuide/reference_policies.html).
1. Résolvez les [avertissements de sécurité, les erreurs ou les avertissements généraux](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_policy-validator.html) générés durant la validation de la politique, puis sélectionnez **Create policy** (Créer une politique).
**Utiliser l'éditeur visuel pour créer une politique de délégation**
1. Connectez-vous à la [console AWS Organizations](https://console.aws.amazon.com/organizations/v2). Vous devez vous connecter en tant qu'utilisateur IAM, assumer un rôle IAM ou vous connecter en tant qu'utilisateur racine ([non recommandé](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials)) dans le compte de gestion de l'organisation.
1. Cliquez sur **Paramètres**.
1. Dans la section **Administrateur délégué pour AWS Organizations**, choisissez **Delegate** (Déléguer) pour créer la politique de délégation Organizations.
1. Sur la page **Create Delegation policy** (Créer une politique de délégation), choisissez **Add new statement** (Ajouter une nouvelle déclaration).
1. Réglez **l'effet** sur `Allow`.
1. Ajoutez `Principal` pour définir les comptes membres auxquels vous souhaitez déléguer.
1. Dans la liste des **actions**, choisissez les actions que vous souhaitez déléguer. Vous pouvez utiliser les **actions de filtrage** pour affiner les choix.
1. Pour spécifier si le compte de membre délégué peut associer des politiques à la racine de l'organisation ou aux unités organisationnelles (OUs), définissez`Resources`. Vous devez également sélectionner `policy` comme type de ressource. Vous pouvez spécifier des ressources de la manière suivante :
+ Choisissez **Add a resource** (Ajouter une ressource) et créez l'ARN (Amazon Resource Name) en suivant les instructions de la boîte de dialogue.
+ Répertoriez les ressources ARNs manuellement dans l'éditeur. Pour plus d'informations sur la syntaxe de l'ARN, consultez [Amazon Resource Name (ARN)](https://docs.aws.amazon.com/general/latest/gr/aws-arns-and-namespaces.html) dans le Guide de référence AWS général. Pour plus d'informations sur ARNs l'utilisation de l'élément ressource d'une stratégie, voir [Éléments de stratégie IAM JSON : Ressource](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_resource.html).
1. Choisissez **Add a condition** (Ajouter une condition) pour spécifier d'autres conditions, notamment le type de politique que vous souhaitez déléguer. Choisissez la **clé de condition**, la **clé de balise**, le **qualificateur** et l'**opérateur** de la condition, puis saisissez une **Value**. Lorsque vous avez terminé, choisissez **Add condition** (Ajouter une condition). Pour plus d'informations sur l'élément **Condition**, consultez [Éléments de politique JSON IAM : Condition](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) dans la référence de politique JSON IAM.
1. Pour ajouter d'autres blocs d'autorisation, choisissez **Add new statement** (Ajouter une nouvelle déclaration). Pour chaque bloc, répétez les étapes 5 à 9.
1. Résolvez les avertissements de sécurité, les erreurs ou les avertissements généraux générés durant la [validation de la politique](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_policy-validator.html), puis sélectionnez **Create policy** (Créer une politique) pour enregistrer votre travail.
------
#### [ AWS CLI & AWS SDKs ]
**Création d'une politique de délégation**
Vous pouvez utiliser la commande suivante pour créer une politique de délégation :
+ AWS CLI: [put-resource-policy](https://docs.aws.amazon.com/cli/latest/reference/organizations/put-resource-policy.html)
L'exemple suivant crée une politique de délégation.
```
$ aws organizations put-resource-policy --content
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "Fully_manage_backup_policies",
"Effect": "Allow",
"Principal": {
"AWS": "135791357913"
},
"Action": [
"organizations:DescribeOrganization",
"organizations:ListAccounts",
"organizations:CreatePolicy",
"organizations:DescribePolicy",
"organizations:UpdatePolicy",
"organizations:DeletePolicy",
"organizations:AttachPolicy",
"organizations:DetachPolicy"
],
"Resource": [
"arn:aws:organizations::246802468024:root/o-abcdef/r-pqrstu",
"arn:aws:organizations::246802468024:ou/o-abcdef/*",
"arn:aws:organizations::246802468024:account/o-abcdef/*",
"arn:aws:organizations::246802468024:organization/policy/backup_policy/*",
],
"Condition": {
"StringLikeIfExists": {
"organizations:PolicyType": [
"BACKUP_POLICY"
]
}
}
}
]
}
```
+ AWS SDK : [PutResourcePolicy](https://docs.aws.amazon.com/organizations/latest/APIReference/API_PutResourcePolicy.html)
------
**Actions de politique de délégation prises en charge**
Les actions suivantes sont prises en charge pour la politique de délégation :
+ `AttachPolicy`
+ `CreatePolicy`
+ `DeletePolicy`
+ `DescribeAccount`
+ `DescribeCreateAccountStatus`
+ `DescribeEffectivePolicy`
+ `DescribeHandshake`
+ `DescribeOrganization`
+ `DescribeOrganizationalUnit`
+ `DescribePolicy`
+ `DescribeResourcePolicy`
+ `DetachPolicy`
+ `DisablePolicyType`
+ `EnablePolicyType`
+ `ListAccounts`
+ `ListAccountsForParent`
+ `ListAWSServiceAccessForOrganization`
+ `ListChildren`
+ `ListCreateAccountStatus`
+ `ListDelegatedAdministrators`
+ `ListDelegatedServicesForAccount`
+ `ListHandshakesForAccount`
+ `ListHandshakesForOrganization`
+ `ListOrganizationalUnitsForParent`
+ `ListParents`
+ `ListPolicies`
+ `ListPoliciesForTarget`
+ `ListRoots`
+ `ListTagsForResource`
+ `ListTargetsForPolicy`
+ `TagResource`
+ `UntagResource`
+ `UpdatePolicy`
**Clés de condition prises en charge**
Seules les clés de condition prises en charge par AWS Organizations peuvent être utilisées pour la politique de délégation. Pour plus d'informations, consultez la section [Clés de condition pour AWS Organizations](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsorganizations.html#awsorganizations-policy-keys) la *référence d'autorisation de service*.
# Mettez à jour une politique de délégation basée sur les ressources avec AWS Organizations
À partir du compte de gestion, mettez à jour une politique de délégation basée sur les ressources pour votre organisation et ajoutez une déclaration indiquant quels comptes membres peuvent effectuer des actions sur les politiques. Vous pouvez ajouter plusieurs déclarations dans la politique pour indiquer un ensemble d'autorisations différent pour les comptes membres.
**Autorisations minimales**
Pour mettre à jour la politique de délégation basée sur les ressources, vous devez disposer des autorisations nécessaires pour exécuter les actions suivantes :
`organizations:PutResourcePolicy`
`organizations:DescribeResourcePolicy`
En outre, vous devez accorder aux rôles et aux utilisateurs du compte administrateur délégué les autorisations IAM correspondant aux actions requises. Sans autorisations IAM, on suppose que le principal appelant ne dispose pas des autorisations requises pour gérer les AWS Organizations politiques.
------
#### [ AWS Management Console ]
Ajoutez des instructions à la politique de délégation basée sur les ressources dans la AWS Management Console à l'aide de l'une des méthodes suivantes :
+ **Politique JSON** : collez et personnalisez un exemple de politique de délégation basée sur les ressources à utiliser dans votre compte, ou saisissez votre propre document de politique JSON dans l'éditeur JSON.
+ **Éditeur visuel** : créez une nouvelle politique de délégation dans l'éditeur visuel, qui vous guide dans la création d'une politique de délégation sans avoir à écrire de syntaxe JSON.
**Utiliser l'éditeur de stratégie JSON pour mettre à jour une politique de délégation**
1. Connectez-vous à la [console AWS Organizations](https://console.aws.amazon.com/organizations/v2). Vous devez vous connecter en tant qu'utilisateur IAM, assumer un rôle IAM ou vous connecter en tant qu'utilisateur racine ([non recommandé](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials)) dans le compte de gestion de l'organisation.
1. Cliquez sur **Paramètres**.
1. Dans la AWS Organizations section **Administrateur délégué pour**, choisissez **Modifier** pour mettre à jour la politique de délégation des Organisations.
1. Entrez un document de stratégie JSON. Pour de plus amples informations sur le langage de la stratégie IAM, consultez la référence de [politique JSON IAM](https://docs.aws.amazon.com//IAM/latest/UserGuide/reference_policies.html).
1. Résolvez [les avertissements de sécurité, les erreurs ou les avertissements généraux](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_policy-validator.html) générés lors de la validation des politiques, puis choisissez **Créer une politique**.
**Utiliser l'éditeur visuel pour mettre à jour une politique de délégation**
1. Connectez-vous à la [console AWS Organizations](https://console.aws.amazon.com/organizations/v2). Vous devez vous connecter en tant qu'utilisateur IAM, assumer un rôle IAM ou vous connecter en tant qu'utilisateur racine ([non recommandé](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials)) dans le compte de gestion de l'organisation.
1. Cliquez sur **Paramètres**.
1. Dans la AWS Organizations section **Administrateur délégué pour**, choisissez **Modifier** pour mettre à jour la politique de délégation des Organisations.
1. Sur la page **Create Delegation policy** (Créer une politique de délégation), choisissez **Add new statement** (Ajouter une nouvelle déclaration).
1. Réglez **l'effet** sur `Allow`.
1. Ajoutez `Principal` pour définir les comptes membres auxquels vous souhaitez déléguer.
1. Dans la liste des **actions**, choisissez les actions que vous souhaitez déléguer. Vous pouvez utiliser les **actions de filtrage** pour affiner les choix.
1. Pour spécifier si le compte de membre délégué peut associer des politiques à la racine de l'organisation ou aux unités organisationnelles (OUs), définissez`Resources`. Vous devez également sélectionner `policy` comme type de ressource. Vous pouvez spécifier des ressources de la manière suivante :
+ Choisissez **Add a resource** (Ajouter une ressource) et créez l'ARN (Amazon Resource Name) en suivant les instructions de la boîte de dialogue.
+ Répertoriez les ressources ARNs manuellement dans l'éditeur. Pour plus d'informations sur la syntaxe de l'ARN, consultez [Amazon Resource Name (ARN)](https://docs.aws.amazon.com/general/latest/gr/aws-arns-and-namespaces.html) dans le Guide de référence AWS général. Pour plus d'informations sur ARNs l'utilisation de l'élément ressource d'une stratégie, voir [Éléments de stratégie IAM JSON : Ressource](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_resource.html).
1. Choisissez **Add a condition** (Ajouter une condition) pour spécifier d'autres conditions, notamment le type de politique que vous souhaitez déléguer. Choisissez la **clé de condition**, la **clé de balise**, le **qualificateur** et l'**opérateur** de la condition, puis saisissez une **Value**. Lorsque vous avez terminé, choisissez **Add condition** (Ajouter une condition). Pour plus d'informations sur l'élément **Condition**, consultez [Éléments de politique JSON IAM : Condition](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) dans la référence de politique JSON IAM.
1. Pour ajouter d'autres blocs d'autorisation, choisissez **Add new statement** (Ajouter une nouvelle déclaration). Pour chaque bloc, répétez les étapes 5 à 9.
1. Résolvez les avertissements de sécurité, les erreurs ou les avertissements généraux générés lors de [la validation de la politique](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_policy-validator.html), puis choisissez **Enregistrer la politique**.
------
#### [ AWS CLI & AWS SDKs ]
**Création ou mise à jour d'une politique de délégation**
Vous pouvez utiliser les commandes suivantes pour mettre à jour une politique de délégation :
+ AWS CLI: [put-resource-policy](https://docs.aws.amazon.com/cli/latest/reference/organizations/put-resource-policy.html)
L'exemple suivant crée ou met à jour la politique de délégation.
```
$ aws organizations put-resource-policy --content
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "Fully_manage_backup_policies",
"Effect": "Allow",
"Principal": {
"AWS": "135791357913"
},
"Action": [
"organizations:DescribeOrganization",
"organizations:ListAccounts",
"organizations:CreatePolicy",
"organizations:DescribePolicy",
"organizations:UpdatePolicy",
"organizations:DeletePolicy",
"organizations:AttachPolicy",
"organizations:DetachPolicy"
],
"Resource": [
"arn:aws:organizations::246802468024:root/o-abcdef/r-pqrstu",
"arn:aws:organizations::246802468024:ou/o-abcdef/*",
"arn:aws:organizations::246802468024:account/o-abcdef/*",
"arn:aws:organizations::246802468024:organization/policy/backup_policy/*",
],
"Condition": {
"StringLikeIfExists": {
"organizations:PolicyType": [
"BACKUP_POLICY"
]
}
}
}
]
}
```
+ AWS SDK : [PutResourcePolicy](https://docs.aws.amazon.com/organizations/latest/APIReference/API_PutResourcePolicy.html)
------
**Actions de politique de délégation prises en charge**
Les actions suivantes sont prises en charge pour la politique de délégation :
+ `AttachPolicy`
+ `CreatePolicy`
+ `DeletePolicy`
+ `DescribeAccount`
+ `DescribeCreateAccountStatus`
+ `DescribeEffectivePolicy`
+ `DescribeHandshake`
+ `DescribeOrganization`
+ `DescribeOrganizationalUnit`
+ `DescribePolicy`
+ `DescribeResourcePolicy`
+ `DetachPolicy`
+ `DisablePolicyType`
+ `EnablePolicyType`
+ `ListAccounts`
+ `ListAccountsForParent`
+ `ListAWSServiceAccessForOrganization`
+ `ListChildren`
+ `ListCreateAccountStatus`
+ `ListDelegatedAdministrators`
+ `ListDelegatedServicesForAccount`
+ `ListHandshakesForAccount`
+ `ListHandshakesForOrganization`
+ `ListOrganizationalUnitsForParent`
+ `ListParents`
+ `ListPolicies`
+ `ListPoliciesForTarget`
+ `ListRoots`
+ `ListTagsForResource`
+ `ListTargetsForPolicy`
+ `TagResource`
+ `UntagResource`
+ `UpdatePolicy`
**Clés de condition prises en charge**
Seules les clés de condition prises en charge par AWS Organizations peuvent être utilisées pour la politique de délégation. Pour plus d'informations, consultez la section [Clés de condition pour AWS Organizations](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsorganizations.html#awsorganizations-policy-keys) la *référence d'autorisation de service*.
# Consultez une politique de délégation basée sur les ressources avec AWS Organizations
À partir du compte de gestion, consultez la politique de délégation basée sur les ressources de votre organisation pour comprendre quels administrateurs délégués ont accès à la gestion de quels types de politiques.
**Autorisations minimales**
Pour créer ou mettre à jour la politique de délégation basée sur les ressources, vous devez disposer de l'autorisation d'exécuter les actions suivantes : `organizations:DescribeResourcePolicy`.
------
#### [ AWS Management Console ]
**Pour afficher une politique de délégation**
1. Connectez-vous à la [console AWS Organizations](https://console.aws.amazon.com/organizations/v2). Vous devez vous connecter en tant qu'utilisateur IAM, assumer un rôle IAM ou vous connecter en tant qu'utilisateur racine ([non recommandé](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials)) dans le compte de gestion de l'organisation.
1. Cliquez sur **Paramètres**.
1. Dans la section **Administrateur délégué pour AWS Organizations**, faites défiler la page pour afficher la politique de délégation complète.
------
#### [ AWS CLI & AWS SDKs ]
**Afficher une politique de délégation**
Vous pouvez utiliser la commande suivante pour supprimer une politique de délégation :
+ AWS CLI: [describe-resource-policy](https://docs.aws.amazon.com/cli/latest/reference/organizations/describe-resource-policy.html)
L'exemple suivant extrait la politique.
```
$ aws organizations describe-resource-policy
```
+ AWS SDK : [DescribeResourcePolicy](https://docs.aws.amazon.com/organizations/latest/APIReference/API_DescribeResourcePolicy.html)
------
# Supprimer une politique de délégation basée sur les ressources avec AWS Organizations
Lorsque vous n'avez plus besoin de déléguer la gestion des politiques dans votre organisation, vous pouvez supprimer la stratégie de délégation basée sur les ressources du compte de gestion de l'organisation.
**Important**
Si vous supprimez votre politique de délégation basée sur les ressources, vous ne pouvez pas la récupérer.
**Autorisations minimales**
Pour supprimer la politique de délégation basée sur les ressources, vous devez disposer de l'autorisation d'exécuter les actions suivantes : `organizations:DeleteResourcePolicy`.
------
#### [ AWS Management Console ]
**Pour supprimer une politique de délégation**
1. Connectez-vous à la [console AWS Organizations](https://console.aws.amazon.com/organizations/v2). Vous devez vous connecter en tant qu'utilisateur IAM, assumer un rôle IAM ou vous connecter en tant qu'utilisateur racine ([non recommandé](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials)) dans le compte de gestion de l'organisation.
1. Cliquez sur **Paramètres**.
1. Dans la section **Administrateur délégué pour AWS Organizations**, choisissez **Supprimer**.
1. Dans la boîte de dialogue de confirmation **Delete Policy** (Supprimer la politique), tapez **delete**. Choisissez **Delete policy (Supprimer la politique)**.
------
#### [ AWS CLI & AWS SDKs ]
**Supprimer une politique de délégation**
Vous pouvez utiliser la commande suivante pour supprimer une politique de délégation :
+ AWS CLI: [delete-resource-policy](https://docs.aws.amazon.com/cli/latest/reference/organizations/delete-resource-policy.html)
L'exemple suivant supprime la politique.
```
$ aws organizations delete-resource-policy
```
+ AWS SDK : [DeleteResourcePolicy](https://docs.aws.amazon.com/organizations/latest/APIReference/API_DeleteResourcePolicy.html)
------
# Désactivation d'un type de politique
Avant de pouvoir créer et attacher une politique à votre organisation, vous devez activer l'utilisation de ce type de politique. L'activation d'un type de politique se fait une fois pour toutes à la racine de l'organisation. Vous pouvez activer un type de politique uniquement à partir du compte de gestion de l'organisation ou d'un compte de membre désigné comme administrateur délégué.
**Autorisations minimales**
Pour activer un type de politique, vous devez avoir l'autorisation d'exécuter les actions suivantes :
`organizations:EnablePolicyType`
`organizations:DescribeOrganization` — requis uniquement si vous utilisez la console Organizations
`organizations:ListRoots` — requis uniquement si vous utilisez la console Organizations
------
#### [ AWS Management Console ]
**Pour activer un type de politique**
1. Connectez-vous à la [console AWS Organizations](https://console.aws.amazon.com/organizations/v2). Vous devez vous connecter en tant qu'utilisateur IAM, assumer un rôle IAM ou vous connecter en tant qu'utilisateur racine ([non recommandé](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials)) dans le compte de gestion de l'organisation.
1. Dans la page **[Politiques](https://console.aws.amazon.com/organizations/v2/home/policies)**, choisissez le nom du type de politique que vous souhaitez activer.
1. Sur la page du type de politique, choisissez **Activer *policy type***.
La page est remplacée par une liste des politiques disponibles du type spécifié.
------
#### [ AWS CLI & AWS SDKs ]
**Pour activer un type de politique**
Vous pouvez utiliser l'une des commandes suivantes pour activer un type de politique :
+ AWS CLI: [enable-policy-type](https://docs.aws.amazon.com/cli/latest/reference/organizations/enable-policy-type.html)
L'exemple suivant montre comment activer les politiques de sauvegarde pour votre organisation. Notez que vous devez spécifier l'ID de la racine de votre organisation.
```
$ aws organizations enable-policy-type \
--root-id r-a1b2 \
--policy-type BACKUP_POLICY
{
"Root": {
"Id": "r-a1b2",
"Arn": "arn:aws:organizations::123456789012:root/o-aa111bb222/r-a1b2",
"Name": "Root",
"PolicyTypes": [
{
"Type": "BACKUP_POLICY",
"Status": "ENABLED"
}
]
}
}
```
La liste des `PolicyTypes` dans la sortie inclut désormais le type de politique spécifié avec le `Status` « `ENABLED` ».
+ AWS SDKs: [EnablePolicyType](https://docs.aws.amazon.com/organizations/latest/APIReference/API_EnablePolicyType.html)
------
# Désactivation d'un type de politique
Si vous ne souhaitez plus utiliser un certain type de politique dans votre organisation, vous pouvez désactiver ce type pour empêcher son utilisation accidentelle. Vous pouvez désactiver un type de politique uniquement pour le compte de gestion de l'organisation ou pour un compte de membre désigné comme administrateur délégué.
## Considérations
**Les politiques désactivées sont détachées de toutes les entités mais ne sont pas supprimées**
Lorsque vous désactivez un type de politique, toutes les politiques du type spécifié sont automatiquement détachées de toutes les entités de la racine de l'organisation. Les politiques ne sont ***pas*** supprimées.
**(Type de politique de contrôle des services uniquement) Toutes les entités de la racine sont initialement attachées uniquement au `FullAWSAccess` SCP par défaut**
(Type de politique SCP uniquement) Si vous réactivez le type de politique SCP ultérieurement, toutes les entités de la racine de l'organisation sont initialement attachées uniquement à la SCP `FullAWSAccess` par défaut. Les pièces jointes SCPs aux entités sont perdues lorsqu'elles SCPs sont désactivées dans l'organisation. Si vous souhaitez les réactiver ultérieurement SCPs, vous devez les rattacher à la racine de l'organisation et aux comptes OUs, le cas échéant.
## Désactiver un type de politique
**Autorisations minimales**
Pour désactiver SCPs, vous devez être autorisé à exécuter les actions suivantes :
`organizations:DisablePolicyType`
`organizations:DescribeOrganization` — requis uniquement si vous utilisez la console Organizations
`organizations:ListRoots` — requis uniquement si vous utilisez la console Organizations
------
#### [ AWS Management Console ]
**Pour désactiver un type de politique**
1. Connectez-vous à la [console AWS Organizations](https://console.aws.amazon.com/organizations/v2). Vous devez vous connecter en tant qu'utilisateur IAM, assumer un rôle IAM ou vous connecter en tant qu'utilisateur racine ([non recommandé](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials)) dans le compte de gestion de l'organisation.
1. Dans la page **[Politiques](https://console.aws.amazon.com/organizations/v2/home/policies)**, choisissez le nom du type de politique que vous souhaitez désactiver.
1. Sur la page du type de politique, choisissez **Désactiver *policy type***.
1. Dans la boîte de dialogue de confirmation, saisissez le mot **disable**, puis choisissez **Désactiver**.
La liste des politiques disponibles du type spécifié disparaît.
------
#### [ AWS CLI & AWS SDKs ]
**Pour désactiver un type de politique**
Vous pouvez utiliser l'une des commandes suivantes pour désactiver un type de politique :
+ AWS CLI: [disable-policy-type](https://docs.aws.amazon.com/cli/latest/reference/organizations/disable-policy-type.html)
L'exemple suivant montre comment désactiver les politiques de sauvegarde pour votre organisation. Notez que vous devez spécifier l'ID de la racine de votre organisation.
```
$ aws organizations disable-policy-type \
--root-id r-a1b2 \
--policy-type BACKUP_POLICY
{
"Root": {
"Id": "r-a1b2",
"Arn": "arn:aws:organizations::123456789012:root/o-aa111bb222/r-a1b2",
"Name": "Root",
"PolicyTypes": []
}
}
```
La liste des `PolicyTypes` dans la sortie n'inclut plus le type de politique spécifié.
+ AWS SDKs: [DisablePolicyType](https://docs.aws.amazon.com/organizations/latest/APIReference/API_DisablePolicyType.html)
------
# Création de politiques d'organisation avec AWS Organizations
Après avoir [activé les politiques](enable-policy-type.md) pour votre organisation, vous pouvez créer une politique.
Cette rubrique décrit comment créer des politiques avec AWS Organizations. Une *politique* définit les contrôles que vous souhaitez appliquer à un groupe de Comptes AWS.
**Topics**
+ [Création d'une politique de contrôle des services (SCP)](#create-an-scp)
+ [Création d'une politique de contrôle des ressources (RCP)](#create-an-rcp)
+ [Création d'une politique déclarative](#create-declarative-policy-procedure)
+ [Création d'une politique de sauvegarde](#create-backup-policy-procedure)
+ [Création d'une politique en matière de balises](#create-tag-policy-procedure)
+ [Création d'une politique pour les applications de chat](#create-chatbot-policy-procedure)
+ [Créer une politique de désinscription des services d'IA](#create-ai-opt-out-policy-procedure)
+ [Création d'une politique de déploiement des mises à niveau](#create-upgrade-rollout-policy-procedure)
+ [Création d'une politique Security Hub](#create-security-hub-policy-procedure)
## Création d'une politique de contrôle des services (SCP)
**Autorisations minimales**
Pour créer SCPs, vous devez être autorisé à exécuter l'action suivante :
`organizations:CreatePolicy`
------
#### [ AWS Management Console ]
**Pour créer une politique de contrôle des services**
1. Connectez-vous à la [console AWS Organizations](https://console.aws.amazon.com/organizations/v2). Vous devez vous connecter en tant qu'utilisateur IAM, assumer un rôle IAM ou vous connecter en tant qu'utilisateur racine ([non recommandé](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials)) dans le compte de gestion de l'organisation.
1. Sur la page **[Politiques de contrôle des services](https://console.aws.amazon.com/organizations/v2/home/policies/service-control-policy)**, choisissez **Créer une politique**.
1. Dans la [page **Créer une politique de contrôle des services**](https://console.aws.amazon.com/organizations/home/policies/service-control/create), saisissez un **Nom de politique** et éventuellement une **Description de la politique**.
1. (Facultatif) Ajoutez une ou plusieurs balises en choisissant **Ajouter une balise**, puis en saisissant une clé et éventuellement une valeur. Laisser la valeur vide la définit à une chaîne vide ; elle ne prend pas la valeur `null`. Vous pouvez attacher jusqu'à 50 balises à une politique. Pour de plus amples informations, consultez [Ressources de balisage AWS OrganizationsConsidérations](orgs_tagging.md).
**Note**
Dans la plupart des étapes qui suivent, nous discutons de l'utilisation des contrôles sur le côté droit de l'éditeur JSON pour construire la politique, élément par élément. Alternativement, vous pouvez, à tout moment, simplement saisir du texte dans l'éditeur JSON sur le côté gauche de la fenêtre. Vous pouvez taper directement ou procéder par copier-coller.
1. Pour créer la politique, les étapes ultérieures varient selon que vous souhaitez ajouter une instruction qui [refuse](orgs_manage_policies_scps_evaluation.md#how_scps_deny) ou [autorise](orgs_manage_policies_scps_evaluation.md#how_scps_allow) l'accès. Pour de plus amples informations, veuillez consulter [Évaluation du SCP](orgs_manage_policies_scps_evaluation.md). Si vous utilisez `Deny` des instructions, vous disposez d'un contrôle supplémentaire car vous pouvez restreindre l'accès à des ressources spécifiques, définir SCPs les conditions d'entrée en vigueur et utiliser l'[NotAction](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_notaction.html)élément. Pour de plus amples informations sur la syntaxe, consultez [Syntaxe d’une stratégie de contrôle de service](orgs_manage_policies_scps_syntax.md).
Pour ajouter une instruction qui *refuse* l'accès :
1. Dans le volet droit **Modifier le relevé** de l'éditeur, sous **Ajouter des actions**, sélectionnez un AWS service.
À mesure que vous choisissez des options sur la droite, l'éditeur JSON est mis à jour pour afficher la politique JSON correspondante à gauche.
1. Lorsque vous sélectionnez un service, une liste s'ouvre qui contient les actions disponibles pour ce service. Vous pouvez choisir **Toutes les actions** ou choisir une ou plusieurs actions individuelles que vous souhaitez refuser.
L'éditeur JSON situé à gauche se met à jour pour inclure les actions que vous avez sélectionnées.
**Note**
Si vous sélectionnez une action individuelle, puis revenez en arrière et sélectionnez également **Toutes les actions**, l'entrée attendue pour `servicename:*` est ajoutée au JSON, mais les actions individuelles que vous avez précédemment sélectionnées sont laissées dans le JSON et ne sont pas supprimées.
1. Si vous souhaitez ajouter des actions à partir de services supplémentaires, vous pouvez choisir **Tous les services** en haut de la zone **Instruction**, puis répéter les deux étapes précédentes selon vos besoins.
1. Spécifiez les ressources à inclure dans l'instruction.
+ À côté de **Ajouter une ressource**, choisissez **Ajouter**.
+ Dans la boîte de dialogue **Ajouter une ressource**, choisissez dans la liste le service dont les ressources doivent être contrôlées. Vous ne pouvez choisir que parmi les services que vous avez sélectionnés à l'étape précédente.
+ Sous **Type de ressource**, choisissez le type de ressource que vous souhaitez contrôler.
+ Enfin, complétez l'Amazon Resource Name (ARN) dans **ARN de la ressource** pour identifier la ressource spécifique dont vous souhaitez contrôler l'accès. Vous devez remplacer tous les espaces réservés qui sont entourés d'accolades `{}`. Vous pouvez spécifier des caractères génériques (`*`) là où la syntaxe ARN de ce type de ressource le permet. Reportez-vous à la documentation d'un type de ressource spécifique pour plus d'informations sur l'emplacement où vous pouvez utiliser des caractères génériques.
+ Enregistrez votre ajout à la politique en choisissant **Ajouter la ressource**. L'élément `Resource` dans le JSON reflète vos ajouts ou modifications. L'élément **Ressource** est obligatoire.
**Astuce**
Pour spécifier toutes les ressources pour le service sélectionné, choisissez **Toutes les ressources** dans la liste ou modifiez directement l'instruction `Resource` dans le JSON pour lire `"Resource":"*"`.
1. (Facultatif) Pour spécifier des conditions qui limitent le moment où une instruction de politique est en vigueur, à côté de **Ajouter une condition**, choisissez **Ajouter**.
+ **Clé de condition** : dans la liste, vous pouvez choisir n'importe quelle clé de condition disponible pour tous les AWS services (par exemple,`aws:SourceIp`) ou une clé spécifique au service pour un seul des services que vous avez sélectionnés pour cette instruction.
+ **Qualificateur** — (Facultatif) Lorsque la demande comporte plusieurs valeurs pour une clé de contexte à valeurs multiples, vous pouvez spécifier un [qualificatif](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_multi-value-conditions.html) pour tester les demandes par rapport aux valeurs. Pour plus d'informations, reportez-vous à la section [Clés contextuelles à valeur unique ou à valeurs multiples](reference_policies_condition-single-vs-multi-valued-context-keys.html) dans le guide de l'utilisateur *IAM*. Pour vérifier si une demande peut avoir plusieurs valeurs, consultez les [actions, les ressources et les clés de condition Services AWS](https://docs.aws.amazon.com/service-authorization/latest/reference/reference_policies_actions-resources-contextkeys.html) dans la *référence d'autorisation de service*.
+ **Par défaut** – Teste une valeur unique de la demande par rapport à la valeur de la clé de condition de la politique. La condition renvoie la valeur Vrai si la valeur dans la demande correspond à la valeur de la politique. Si la politique spécifie plusieurs valeurs, elles sont traitées comme un test « ou » et la condition renvoie Vrai si les valeurs de la demande correspondent à l'une des valeurs de la politique.
+ **Pour n'importe quelle valeur dans une demande** – Lorsque la demande peut avoir plusieurs valeurs, cette option teste si *au moins une* des valeurs de demande correspond à au moins l'une des valeurs de clé de condition de la politique. La condition renvoie la valeur Vrai si l'une des valeurs de clé de la demande correspond à l'une des valeurs de condition de la politique. Si aucune clé ne correspond ou si l'ensemble de données est inexistant (null), la condition renvoie la valeur Faux.
+ **Pour toutes les valeurs d'une demande** – Lorsque la demande peut avoir plusieurs valeurs, cette option teste si *chaque* valeur de la demande correspond à une valeur de clé de condition dans la politique. La condition renvoie la valeur Vrai si chaque valeur de clé de la demande correspond à au moins une valeur de la politique. Elle renvoie également la valeur Vrai si la demande ne comprend pas de clés ou si les valeurs de clé aboutissent à un ensemble de données nul, tel qu'une chaîne vide.
+ **Opérateur** – L'[opérateur](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html)spécifie le type de comparaison à effectuer. Les options présentées dépendent du type de données de la clé de condition. Par exemple, la clé de condition globale `aws:CurrentTime` vous permet de choisir parmi l'un des opérateurs de comparaison de dates ou `Null`, que vous pouvez utiliser pour tester si la valeur est présente dans la demande.
Pour n'importe quel opérateur de condition, à l'exception du `Null` test, vous pouvez choisir l'[IfExists](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html#Conditions_IfExists)option.
+ **Valeur** – (Facultatif) Spécifiez une ou plusieurs valeurs pour lesquelles vous souhaitez tester la demande.
Choisissez **Ajouter une condition**.
Pour de plus amples informations sur les clés de condition, consultez [Éléments de politique JSON IAM : Condition](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) dans le *Guide de l'utilisateur IAM*.
1. Pour ajouter une instruction qui *autorise* l'accès :
1. Dans l'éditeur JSON à gauche, changez la ligne `"Effect": "Deny"` en `"Effect": "Allow"`.
À mesure que vous choisissez des options sur la droite, l'éditeur JSON est mis à jour pour afficher la politique JSON correspondante à gauche.
1. Lorsque vous sélectionnez un service, une liste s'ouvre qui contient les actions disponibles pour ce service. Vous pouvez choisir **Toutes les actions** ou choisir une ou plusieurs actions individuelles que vous souhaitez autoriser.
L'éditeur JSON situé à gauche se met à jour pour inclure les actions que vous avez sélectionnées.
**Note**
Si vous sélectionnez une action individuelle, puis revenez en arrière et sélectionnez également **Toutes les actions**, l'entrée attendue pour `servicename:*` est ajoutée au JSON, mais les actions individuelles que vous avez précédemment sélectionnées sont laissées dans le JSON et ne sont pas supprimées.
1. Si vous souhaitez ajouter des actions à partir de services supplémentaires, vous pouvez choisir **Tous les services** en haut de la zone **Instruction**, puis répéter les deux étapes précédentes selon vos besoins.
1. (Facultatif) Pour ajouter une instruction supplémentaire à la politique, choisissez **Ajouter une instruction)** et utilisez l'éditeur visuel pour créer la prochaine instruction.
1. Lorsque vous avez fini d'ajouter des instructions, choisissez **Créer la politique)** pour enregistrer la politique de contrôle des services (SCP) achevée.
Votre nouvelle politique SCP s'affiche dans la liste des politiques de l'organisation. Vous pouvez désormais [associer votre SCP à la racine ou aux comptes](orgs_policies_attach.md). OUs
------
#### [ AWS CLI & AWS SDKs ]
**Pour créer une politique de contrôle des services**
Vous pouvez utiliser l'une des commandes suivantes pour créer une politique SCP :
+ AWS CLI : [create-policy](https://docs.aws.amazon.com/cli/latest/reference/organizations/create-policy.html)
L'exemple suivant suppose que vous disposez d'un fichier nommé `Deny-IAM.json` contenant le texte de politique JSON. Il utilise ce fichier pour créer une nouvelle politique de contrôle des services.
```
$ aws organizations create-policy \
--content file://Deny-IAM.json \
--description "Deny all IAM actions" \
--name DenyIAMSCP \
--type SERVICE_CONTROL_POLICY
{
"Policy": {
"PolicySummary": {
"Id": "p-i9j8k7l6m5",
"Arn": "arn:aws:organizations::123456789012:policy/o-aa111bb222/service_control_policy/p-i9j8k7l6m5",
"Name": "DenyIAMSCP",
"Description": "Deny all IAM actions",
"Type": "SERVICE_CONTROL_POLICY",
"AwsManaged": false
},
"Content": "{\"Version\":\"2012-10-17\", \"Statement\":[{\"Sid\":\"Statement1\",\"Effect\":\"Deny\",\"Action\":[\"iam:*\"],\"Resource\":[\"*\"]}]}"
}
}
```
+ AWS SDKs: [CreatePolicy](https://docs.aws.amazon.com/organizations/latest/APIReference/API_CreatePolicy.html)
------
**Note**
SCPs n'ont aucun effet sur le compte de gestion et dans quelques autres situations. Pour de plus amples informations, veuillez consulter [Tâches et entités non limitées par SCPs](orgs_manage_policies_scps.md#not-restricted-by-scp).
## Création d'une politique de contrôle des ressources (RCP)
**Autorisations minimales**
Pour créer RCPs, vous devez être autorisé à exécuter l'action suivante :
`organizations:CreatePolicy`
------
#### [ AWS Management Console ]
**Pour créer une politique de contrôle des ressources**
1. Connectez-vous à la [console AWS Organizations](https://console.aws.amazon.com/organizations/v2). Vous devez vous connecter en tant qu'utilisateur IAM, assumer un rôle IAM ou vous connecter en tant qu'utilisateur racine ([non recommandé](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials)) dans le compte de gestion de l'organisation.
1. Sur la page **Stratégie de contrôle des ressources**, choisissez **Créer une politique**.
1. Sur la [page **Créer une nouvelle stratégie de contrôle des ressources**](https://console.aws.amazon.com/organizations/home/policies/service-control/create), entrez le **nom de la stratégie** et une **description de la stratégie** facultative.
1. (Facultatif) Ajoutez une ou plusieurs balises en choisissant **Ajouter une balise**, puis en saisissant une clé et éventuellement une valeur. Laisser la valeur vide la définit à une chaîne vide ; elle ne prend pas la valeur `null`. Vous pouvez attacher jusqu'à 50 balises à une politique. Pour de plus amples informations, consultez [Ressources de balisage AWS OrganizationsConsidérations](orgs_tagging.md).
**Note**
Dans la plupart des étapes qui suivent, nous discutons de l'utilisation des contrôles sur le côté droit de l'éditeur JSON pour construire la politique, élément par élément. Alternativement, vous pouvez, à tout moment, simplement saisir du texte dans l'éditeur JSON sur le côté gauche de la fenêtre. Vous pouvez taper directement ou procéder par copier-coller.
1. Pour ajouter une déclaration, procédez comme suit :
1. Dans le volet droit **Modifier le relevé** de l'éditeur, sous **Ajouter des actions**, sélectionnez un AWS service.
À mesure que vous choisissez des options sur la droite, l'éditeur JSON est mis à jour pour afficher la politique JSON correspondante à gauche.
1. Lorsque vous sélectionnez un service, une liste s'ouvre qui contient les actions disponibles pour ce service. Vous pouvez choisir **Toutes les actions** ou choisir une ou plusieurs actions individuelles que vous souhaitez refuser.
L'éditeur JSON situé à gauche se met à jour pour inclure les actions que vous avez sélectionnées.
**Note**
Si vous sélectionnez une action individuelle, puis revenez en arrière et sélectionnez également **Toutes les actions**, l'entrée attendue pour `servicename:*` est ajoutée au JSON, mais les actions individuelles que vous avez précédemment sélectionnées sont laissées dans le JSON et ne sont pas supprimées.
1. Si vous souhaitez ajouter des actions à partir de services supplémentaires, vous pouvez choisir **Tous les services** en haut de la zone **Instruction**, puis répéter les deux étapes précédentes selon vos besoins.
1. Spécifiez les ressources à inclure dans l'instruction.
+ À côté de **Ajouter une ressource**, choisissez **Ajouter**.
+ Dans la boîte de dialogue **Ajouter une ressource**, choisissez dans la liste le service dont les ressources doivent être contrôlées. Vous ne pouvez choisir que parmi les services que vous avez sélectionnés à l'étape précédente.
+ Sous **Type de ressource**, choisissez le type de ressource que vous souhaitez contrôler.
+ Renseignez le nom de la ressource Amazon (**ARN) dans Resource ARN** pour identifier la ressource spécifique à laquelle vous souhaitez contrôler l'accès. Vous devez remplacer tous les espaces réservés qui sont entourés d'accolades `{}`. Vous pouvez spécifier des caractères génériques (`*`) là où la syntaxe ARN de ce type de ressource le permet. Consultez la [documentation](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_resource.html#reference_policies_elements_resource_wildcards) d'un type de ressource spécifique pour savoir où vous pouvez utiliser des caractères génériques.
+ Enregistrez votre ajout à la politique en choisissant **Ajouter la ressource**. L'élément `Resource` dans le JSON reflète vos ajouts ou modifications. L'élément **Ressource** est obligatoire.
**Astuce**
Pour spécifier toutes les ressources pour le service sélectionné, choisissez **Toutes les ressources** dans la liste ou modifiez directement l'instruction `Resource` dans le JSON pour lire `"Resource":"*"`.
1. (Facultatif) Pour spécifier des conditions qui limitent le moment où une instruction de politique est en vigueur, à côté de **Ajouter une condition**, choisissez **Ajouter**.
+ **Clé de condition** : dans la liste, vous pouvez choisir n'importe quelle clé de condition disponible pour tous les AWS services (par exemple,`aws:SourceIp`) ou une clé spécifique au service pour un seul des services que vous avez sélectionnés pour cette instruction.
+ **Qualificateur** — (Facultatif) Lorsque la demande comporte plusieurs valeurs pour une clé de contexte à valeurs multiples, vous pouvez spécifier un [qualificatif](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_multi-value-conditions.html) pour tester les demandes par rapport aux valeurs. Pour plus d'informations, reportez-vous à la section [Clés contextuelles à valeur unique ou à valeurs multiples](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-single-vs-multi-valued-context-keys.html) dans le guide de l'utilisateur *IAM*. Pour vérifier si une demande peut avoir plusieurs valeurs, consultez les [actions, les ressources et les clés de condition Services AWS](https://docs.aws.amazon.com/service-authorization/latest/reference/reference_policies_actions-resources-contextkeys.html) dans la *référence d'autorisation de service*.
+ **Par défaut** – Teste une valeur unique de la demande par rapport à la valeur de la clé de condition de la politique. La condition renvoie la valeur Vrai si la valeur dans la demande correspond à la valeur de la politique. Si la politique spécifie plusieurs valeurs, elles sont traitées comme un test « ou » et la condition renvoie Vrai si les valeurs de la demande correspondent à l'une des valeurs de la politique.
+ **Pour n'importe quelle valeur dans une demande** – Lorsque la demande peut avoir plusieurs valeurs, cette option teste si *au moins une* des valeurs de demande correspond à au moins l'une des valeurs de clé de condition de la politique. La condition renvoie la valeur Vrai si l'une des valeurs de clé de la demande correspond à l'une des valeurs de condition de la politique. Si aucune clé ne correspond ou si l'ensemble de données est inexistant (null), la condition renvoie la valeur Faux.
+ **Pour toutes les valeurs d'une demande** – Lorsque la demande peut avoir plusieurs valeurs, cette option teste si *chaque* valeur de la demande correspond à une valeur de clé de condition dans la politique. La condition renvoie la valeur Vrai si chaque valeur de clé de la demande correspond à au moins une valeur de la politique. Elle renvoie également la valeur Vrai si la demande ne comprend pas de clés ou si les valeurs de clé aboutissent à un ensemble de données nul, tel qu'une chaîne vide.
+ **Opérateur** – L'[opérateur](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html)spécifie le type de comparaison à effectuer. Les options présentées dépendent du type de données de la clé de condition. Par exemple, la clé de condition globale `aws:CurrentTime` vous permet de choisir parmi l'un des opérateurs de comparaison de dates ou `Null`, que vous pouvez utiliser pour tester si la valeur est présente dans la demande.
Pour n'importe quel opérateur de condition, à l'exception du `Null` test, vous pouvez choisir l'[IfExists](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html#Conditions_IfExists)option.
+ **Valeur** – (Facultatif) Spécifiez une ou plusieurs valeurs pour lesquelles vous souhaitez tester la demande.
Choisissez **Ajouter une condition**.
Pour de plus amples informations sur les clés de condition, consultez [Éléments de politique JSON IAM : Condition](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) dans le *Guide de l'utilisateur IAM*.
1. (Facultatif) Pour utiliser l'élément `NotAction` afin de refuser l'accès à toutes les actions ***à l'exception*** de celles que vous avez spécifiées, remplacez `Action` dans le panneau de gauche par `NotAction`, juste après l'élément `"Effect": "Deny",`. Pour plus d'informations, consultez la section [Éléments de politique JSON IAM : NotAction](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_notaction.html) dans le guide de l'*utilisateur IAM*.
1. (Facultatif) Pour ajouter une instruction supplémentaire à la politique, choisissez **Ajouter une instruction)** et utilisez l'éditeur visuel pour créer la prochaine instruction.
1. Lorsque vous avez terminé d'ajouter des instructions, choisissez **Create policy** pour enregistrer le RCP terminé.
Votre nouveau RCP apparaît dans la liste des politiques de l'organisation. Vous pouvez désormais [associer votre RCP à la racine ou aux comptes](orgs_policies_attach.md). OUs
------
#### [ AWS CLI & AWS SDKs ]
**Pour créer une politique de contrôle des ressources**
Vous pouvez utiliser l'une des commandes suivantes pour créer un RCP :
+ AWS CLI : [create-policy](https://docs.aws.amazon.com/cli/latest/reference/organizations/create-policy.html)
L'exemple suivant suppose que vous disposez d'un fichier nommé `Deny-IAM.json` contenant le texte de politique JSON. Il utilise ce fichier pour créer une nouvelle politique de contrôle des ressources.
```
$ aws organizations create-policy \
--content file://Deny-IAM.json \
--description "Deny all IAM actions" \
--name DenyIAMRCP \
--type RESOURCE_CONTROL_POLICY
{
"Policy": {
"PolicySummary": {
"Id": "p-i9j8k7l6m5",
"Arn": "arn:aws:organizations::123456789012:policy/o-aa111bb222/resource_control_policy/p-i9j8k7l6m5",
"Name": "DenyIAMRCP",
"Description": "Deny all IAM actions",
"Type": "RESOURCE_CONTROL_POLICY",
"AwsManaged": false
},
"Content": "{\"Version\":\"2012-10-17\", \"Statement\":[{\"Sid\":\"Statement1\",\"Effect\":\"Deny\",\"Action\":[\"iam:*\"],\"Resource\":[\"*\"]}]}"
}
}
```
+ AWS SDKs: [CreatePolicy](https://docs.aws.amazon.com/organizations/latest/APIReference/API_CreatePolicy.html)
------
**Note**
RCPs n'ont aucun effet sur le compte de gestion et dans quelques autres situations. Pour de plus amples informations, veuillez consulter [Ressources et entités non limitées par RCPs](orgs_manage_policies_rcps.md#actions-not-restricted-by-rcps).
## Création d'une politique déclarative
**Autorisations minimales**
Pour créer une politique déclarative, vous devez être autorisé à exécuter l'action suivante :
`organizations:CreatePolicy`
------
#### [ AWS Management Console ]
**Pour créer une politique déclarative**
1. Connectez-vous à la [console AWS Organizations](https://console.aws.amazon.com/organizations/v2). Vous devez vous connecter en tant qu'utilisateur IAM, assumer un rôle IAM ou vous connecter en tant qu'utilisateur racine ([non recommandé](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials)) dans le compte de gestion de l'organisation.
1. Sur la page **[Politiques déclaratives](https://console.aws.amazon.com/organizations/v2/home/policies/declarative-policy-ec2)**, choisissez **Créer une politique**.
1. Sur la [page **Créer une nouvelle politique déclarative pour EC2**](https://console.aws.amazon.com/organizations/v2/home/policies/declarative-policy-ec2/create), entrez le **nom de la politique** et une description de la **politique** facultative.
1. (Facultatif) Vous pouvez ajouter une ou plusieurs balises à la politique en choisissant **Ajouter une balise**, puis en saisissant une clé et éventuellement une valeur. Laisser la valeur vide la définit à une chaîne vide ; elle ne prend pas la valeur `null`. Vous pouvez attacher jusqu'à 50 balises à une politique. Pour de plus amples informations, veuillez consulter [Ressources de balisage AWS OrganizationsConsidérations](orgs_tagging.md).
1. Vous pouvez créer la politique à l'aide de l'**Éditeur visuel**, de la manière décrite dans cette procédure. Vous pouvez également taper ou coller du texte de politique dans l'onglet **JSON**. Pour plus d'informations sur la syntaxe des politiques déclaratives, consultez[Syntaxe de politique déclarative et exemples](orgs_manage_policies_declarative_syntax.md).
Si vous choisissez d'utiliser l'**éditeur visuel**, sélectionnez l'attribut de service que vous souhaitez inclure dans votre politique déclarative. Pour de plus amples informations, veuillez consulter [Supporté Services AWS et attributs](orgs_manage_policies_declarative.md#orgs_manage_policies_declarative-supported-controls).
1. Choisissez **Ajouter un attribut de service**, puis configurez l'attribut selon vos spécifications. Pour des informations plus détaillées sur chaque effet, voir[Syntaxe de politique déclarative et exemples](orgs_manage_policies_declarative_syntax.md).
1. Lorsque vous avez terminé la modification de votre politique, choisissez **Créer la politique** dans l'angle inférieur droit de la page.
------
#### [ AWS CLI & AWS SDKs ]
**Pour créer une politique déclarative**
Vous pouvez utiliser l'une des méthodes suivantes pour créer une politique déclarative :
+ AWS CLI : [create-policy](https://docs.aws.amazon.com/cli/latest/reference/organizations/create-policy.html)
1. Créez une politique déclarative comme la suivante et stockez-la dans un fichier texte.
```
{
"ec2_attributes": {
"image_block_public_access": {
"state": {
"@@assign": "block_new_sharing"
}
}
}
}
```
Cette politique déclarative précise que tous les comptes concernés par la politique doivent être configurés de telle sorte que les nouvelles Amazon Machine Images (AMIs) ne soient pas partageables publiquement. Pour plus d'informations sur la syntaxe des politiques déclaratives, consultez[Syntaxe de politique déclarative et exemples](orgs_manage_policies_declarative_syntax.md).
1. Importez le fichier de politique JSON pour créer une nouvelle politique dans l'organisation. Dans cet exemple, le fichier JSON précédent était nommé `policy.json`.
```
$ aws organizations create-policy \
--type DECLARATIVE_POLICY_EC2 \
--name "MyTestPolicy" \
--description "My test policy" \
--content file://policy.json
{
"Policy": {
"Content": "{"ec2_attributes":{"image_block_public_access":{"state":{"@@assign":"block_new_sharing"}}}}".
"PolicySummary": {
"Id": "p-i9j8k7l6m5"
"Arn": "arn:aws:organizations::o-aa111bb222:policy/declarative_policy_ec2/p-i9j8k7l6m5",
"Description": "My test policy",
"Name": "MyTestPolicy",
"Type": "DECLARATIVE_POLICY_EC2"
}
}
}
```
+ AWS SDKs: [CreatePolicy](https://docs.aws.amazon.com/organizations/latest/APIReference/API_CreatePolicy.html)
------
**Suite des opérations**
Après avoir créé une politique déclarative, évaluez l'état de préparation à l'aide du [rapport sur l'état du compte](orgs_manage_policies_declarative.md#orgs_manage_policies_declarative-account-status-report). Vous pouvez ensuite appliquer vos configurations de base. Pour ce faire, vous pouvez [associer la politique](orgs_policies_attach.md) à la racine de l'organisation, aux unités organisationnelles (OUs), Comptes AWS au sein de votre organisation, ou à une combinaison de ces éléments.
## Création d'une politique de sauvegarde
**Autorisations minimales**
Pour créer une politique de sauvegarde, vous devez posséder l'autorisation d'exécuter l'action suivante :
`organizations:CreatePolicy`
------
#### [ AWS Management Console ]
Vous pouvez créer une politique de sauvegarde AWS Management Console dans le de l'une des deux manières suivantes :
+ Un éditeur visuel qui vous permet de choisir des options et de générer le texte de politique JSON pour vous.
+ Un éditeur de texte qui vous permet de créer directement le texte de politique JSON.
L'éditeur visuel facilite le processus, mais limite votre flexibilité. C'est un excellent moyen de créer vos premières politiques et de les utiliser facilement. Une fois que vous avez compris leur fonctionnement et que vous avez commencé à éprouver les limites de l'éditeur visuel, vous pouvez ajouter des fonctionnalités avancées à vos politiques en modifiant vous-même le texte de la politique JSON. L'éditeur visuel utilise uniquement l'[opérateur de réglage de valeur @@assign](policy-operators.md#value-setting-operators) et ne fournit aucun accès aux [opérateurs de contrôle enfants](policy-operators.md#child-control-operators). Vous pouvez ajouter les opérateurs de contrôle enfants uniquement si vous modifiez manuellement le texte de la politique JSON.
**Pour créer une politique de sauvegarde**
1. Connectez-vous à la [console AWS Organizations](https://console.aws.amazon.com/organizations/v2). Vous devez vous connecter en tant qu'utilisateur IAM, assumer un rôle IAM ou vous connecter en tant qu'utilisateur racine ([non recommandé](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials)) dans le compte de gestion de l'organisation.
1. Sur la page **[Politiques de sauvegarde](https://console.aws.amazon.com/organizations/v2/home/policies/backup-policy)**, choisissez **Créer une politique**.
1. Dans la page **Créer une politique**, saisissez un ****Nom de politique**** et une **description** facultative pour la politique.
1. (Facultatif) Vous pouvez ajouter une ou plusieurs balises à la politique en choisissant **Ajouter une balise**, puis en saisissant une clé et éventuellement une valeur. Laisser la valeur vide la définit à une chaîne vide ; elle ne prend pas la valeur `null`. Vous pouvez attacher jusqu'à 50 balises à une politique. Pour plus d’informations sur le balisage, consultez [Ressources de balisage AWS OrganizationsConsidérations](orgs_tagging.md).
1. Vous pouvez créer la politique à l'aide de l'**Éditeur visuel**, de la manière décrite dans cette procédure. Vous pouvez également taper ou coller du texte de politique dans l'onglet **JSON**. Pour de plus amples informations sur la syntaxe des politiques de sauvegarde, consultez [Syntaxe et exemples d'une politique de sauvegarde](orgs_manage_policies_backup_syntax.md).
Si vous choisissez d'utiliser l’**Éditeur visuel**, sélectionnez les options de sauvegarde appropriées à votre scénario. Un plan de sauvegarde se compose de trois parties. Pour de plus amples informations sur ces éléments d'un plan de sauvegarde, consultez [Création d'un plan de sauvegarde](https://docs.aws.amazon.com/aws-backup/latest/devguide/creating-a-backup-plan.html) et [Affectation de ressources](https://docs.aws.amazon.com/aws-backup/latest/devguide/assigning-resources.html) dans le *Guide du développeur AWS Backup *.
1. Détails généraux d'un plan de sauvegarde
+ Le **Nom du plan de sauvegarde** peut uniquement contenir des caractères alphanumériques, des traits d'union et de soulignement.
+ Vous devez sélectionner au moins une **Région du plan de sauvegarde** dans la liste. Le plan peut sauvegarder des ressources uniquement dans les Régions AWS sélectionnées.
1. Une ou plusieurs règles de sauvegarde qui spécifient comment et quand AWS Backup doit fonctionner. Chaque règle de sauvegarde définit les éléments suivants :
+ Une planification qui inclut la fréquence de la sauvegarde et la fenêtre horaire pendant laquelle la sauvegarde peut se produire.
+ Le nom du coffre-fort de sauvegarde à utiliser. Le **Nom du coffre-fort de sauvegarde** peut uniquement contenir des caractères alphanumériques, des traits d'union et de soulignement. Le coffre-fort de sauvegarde doit exister avant que le plan puisse s'exécuter correctement. Créez le coffre à l'aide de la AWS Backup console ou AWS CLI des commandes.
+ (Facultatif) Une ou plusieurs règles **Copier vers une région** pour copier également la sauvegarde dans des coffres-forts d'autres régions Régions AWS.
+ Une ou plusieurs paires de clés et de valeurs de balises à attacher aux points de restauration de sauvegarde créés à chaque exécution de ce plan de sauvegarde.
+ Des options de cycle de vie qui spécifient le moment des transitions de la sauvegarde vers le stockage à froid et sa date d'expiration.
Choisissez **Ajouter une règle** pour ajouter au plan chaque règle dont vous avez besoin.
Pour plus d'informations sur les règles de sauvegarde, consultez [Règles de sauvegarde](https://docs.aws.amazon.com/aws-backup/latest/devguide/creating-a-backup-plan.html#backup-rules) dans le *Guide du développeur AWS Backup *.
1. Une affectation de ressources qui spécifie celles que AWS Backup doit sauvegarder avec ce plan. L'attribution est effectuée en spécifiant les paires de balises qui permettent AWS Backup de rechercher et de faire correspondre les ressources.
+ Le **Nom de l’affectation de ressources** peut uniquement contenir des caractères alphanumériques, des traits d'union et de soulignement.
+ Spécifiez le **rôle IAM** que AWS Backup doit utiliser pour effectuer la sauvegarde par son nom.
Dans la console, vous ne spécifiez pas l'ARN (Amazon Resource Name) entier. Vous devez inclure à la fois le nom du rôle et son préfixe qui spécifie le type de rôle. Les préfixes sont généralement `role` ou `service-role`, et ils sont séparés du nom du rôle par une barre oblique ('/'). Par exemple, vous pouvez saisir `role/MyRoleName` ou `service-role/MyManagedRoleName`. Il est converti en un ARN complet pour vous lorsqu'il est stocké dans le JSON sous-jacent.
**Important**
Le rôle IAM spécifié doit déjà exister dans le compte auquel la politique est appliquée. Si ce n'est pas le cas, le plan de sauvegarde peut démarrer avec succès les tâches de sauvegarde, mais celles-ci échoueront.
+ Spécifiez une ou plusieurs paires constituées d'une **Clé de balise de ressource** et de **Valeurs de balises** pour identifier les ressources que vous voulez sauvegarder. S'il y a plus d'une valeur de balise, ces valeurs doivent être séparées par des virgules.
Choisissez **Ajouter une affectation** pour ajouter chaque affectation de ressources configurée au plan de sauvegarde.
Pour de plus amples informations, consultez [Affecter des ressources à un plan de sauvegarde](https://docs.aws.amazon.com/aws-backup/latest/devguide/create-a-scheduled-backup.html#assign-resources-to-plan) dans le *Guide du développeur AWS Backup *.
1. Lorsque vous avez terminé la création de votre politique, choisissez **Créer la politique**. La politique apparaît dans votre liste des politiques de sauvegarde disponibles.
------
#### [ AWS CLI & AWS SDKs ]
**Pour créer une politique de sauvegarde**
Vous pouvez utiliser l'une des méthodes suivantes pour créer une politique de sauvegarde :
+ AWS CLI : [create-policy](https://docs.aws.amazon.com/cli/latest/reference/organizations/create-policy.html)
Créez un plan de sauvegarde sous la forme d'un texte JSON similaire à ce qui suit et stockez-le dans un fichier texte. Pour obtenir des règles complètes pour la syntaxe, consultez [Syntaxe et exemples d'une politique de sauvegarde](orgs_manage_policies_backup_syntax.md).
```
{
"plans": {
"PII_Backup_Plan": {
"regions": { "@@assign": [ "ap-northeast-2", "us-east-1", "eu-north-1" ] },
"rules": {
"Hourly": {
"schedule_expression": { "@@assign": "cron(0 5/1 ? * * *)" },
"start_backup_window_minutes": { "@@assign": "480" },
"complete_backup_window_minutes": { "@@assign": "10080" },
"lifecycle": {
"move_to_cold_storage_after_days": { "@@assign": "180" },
"delete_after_days": { "@@assign": "270" }
},
"target_backup_vault_name": { "@@assign": "FortKnox" },
"copy_actions": {
"arn:aws:backup:us-east-1:$account:backup-vault:secondary-vault": {
"lifecycle": {
"move_to_cold_storage_after_days": { "@@assign": "10" },
"delete_after_days": { "@@assign": "100" }
}
}
}
}
},
"selections": {
"tags": {
"datatype": {
"iam_role_arn": { "@@assign": "arn:aws:iam::$account:role/MyIamRole" },
"tag_key": { "@@assign": "dataType" },
"tag_value": { "@@assign": [ "PII" ] }
}
}
}
}
}
}
```
Ce plan de sauvegarde indique que AWS Backup doit sauvegarder toutes les ressources concernées Comptes AWS qui se trouvent dans le champ spécifié Régions AWS et dont la balise `dataType` a une valeur de`PII`.
Ensuite importez le fichier de politique JSON contenant le plan de sauvegarde pour créer une nouvelle politique dans l'organisation. Notez l'ID de politique à la fin de l'ARN de politique dans la sortie.
```
$ aws organizations create-policy \
--name "MyBackupPolicy" \
--type BACKUP_POLICY \
--description "My backup policy" \
--content file://policy.json{
"Policy": {
"PolicySummary": {
"Arn": "arn:aws:organizations::o-aa111bb222:policy/backup_policy/p-i9j8k7l6m5",
"Description": "My backup policy",
"Name": "MyBackupPolicy",
"Type": "BACKUP_POLICY"
}
"Content": "...a condensed version of the JSON policy document you provided in the file...",
}
}
```
+ AWS SDKs: [CreatePolicy](https://docs.aws.amazon.com/organizations/latest/APIReference/API_CreatePolicy.html)
------
## Création d'une politique en matière de balises
**Autorisations minimales**
Pour créer des politiques de balises, vous avez besoin d'une autorisation pour effectuer l'action suivante :
`organizations:CreatePolicy`
Vous pouvez créer une politique en matière de AWS Management Console balises de deux manières :
+ Un éditeur visuel qui vous permet de choisir des options et de générer le texte de politique JSON pour vous.
+ Un éditeur de texte qui vous permet de créer directement le texte de politique JSON.
L'éditeur visuel facilite le processus, mais limite votre flexibilité. C'est un excellent moyen de créer vos premières politiques et de les utiliser facilement. Une fois que vous avez compris leur fonctionnement et que vous avez commencé à éprouver les limites de l'éditeur visuel, vous pouvez ajouter des fonctionnalités avancées à vos politiques en modifiant vous-même le texte de la politique JSON. L'éditeur visuel utilise uniquement l'[opérateur de réglage de valeur @@assign](policy-operators.md#value-setting-operators) et ne fournit aucun accès aux [opérateurs de contrôle enfants](policy-operators.md#child-control-operators). Vous pouvez ajouter les opérateurs de contrôle enfants uniquement si vous modifiez manuellement le texte de la politique JSON.
------
#### [ AWS Management Console ]
Vous pouvez créer une politique en matière de AWS Management Console balises de deux manières :
+ Un éditeur visuel qui vous permet de choisir des options et de générer le texte de politique JSON pour vous.
+ Un éditeur de texte qui vous permet de créer directement le texte de politique JSON.
L'éditeur visuel facilite le processus, mais limite votre flexibilité. C'est un excellent moyen de créer vos premières politiques et de les utiliser facilement. Une fois que vous avez compris leur fonctionnement et que vous avez commencé à éprouver les limites de l'éditeur visuel, vous pouvez ajouter des fonctionnalités avancées à vos politiques en modifiant vous-même le texte de la politique JSON. L'éditeur visuel utilise uniquement l'[opérateur de réglage de valeur @@assign](policy-operators.md#value-setting-operators) et ne fournit aucun accès aux [opérateurs de contrôle enfants](policy-operators.md#child-control-operators). Vous pouvez ajouter les opérateurs de contrôle enfants uniquement si vous modifiez manuellement le texte de la politique JSON.
**Pour créer une politique de balises**
1. Connectez-vous à la [console AWS Organizations](https://console.aws.amazon.com/organizations/v2). Vous devez vous connecter en tant qu'utilisateur IAM, assumer un rôle IAM ou vous connecter en tant qu'utilisateur racine ([non recommandé](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials)) dans le compte de gestion de l'organisation.
1. Dans la page **[Politiques de balises](https://console.aws.amazon.com/organizations/v2/home/policies/tag-policy)**, choisissez **Créer une politique**.
1. Dans la page **Créer une politique**, saisissez un ****Nom de politique**** et une **description** facultative pour la politique.
1. (Facultatif) Vous pouvez ajouter une ou plusieurs balises à l'objet de politique lui-même. Ces balises ne font pas partie de la politique. Pour cela, choisissez **Ajouter une balise**, puis saisissez une clé et éventuellement une valeur. Laisser la valeur vide la définit à une chaîne vide ; elle ne prend pas la valeur `null`. Vous pouvez attacher jusqu'à 50 balises à une politique. Pour de plus amples informations, consultez [Ressources de balisage AWS OrganizationsConsidérations](orgs_tagging.md).
1. Vous pouvez créer la politique de balises à l'aide de l'**éditeur visuel**, comme décrit dans cette procédure. Vous pouvez également saisir ou coller une politique de balises dans l'onglet **JSON**. Pour de plus amples informations sur la syntaxe des politiques de balises, consultez [Syntaxe des politiques de balises](orgs_manage_policies_example-tag-policies.md#tag-policy-syntax-reference).
Si vous choisissez d'utiliser l'**éditeur visuel**, spécifiez les éléments suivants :
1. Pour **Nouvelle clé de balise 1**, spécifiez le nom d'une clé de balise à ajouter.
1. Pour les **options de conformité**, vous pouvez sélectionner les options suivantes :
1. **Utilisez la capitalisation que vous avez spécifiée ci-dessus pour la clé de balise**. Laissez cette option désactivée (valeur par défaut) pour spécifier que la politique de balise parent héritée, le cas échéant, doit définir le traitement au cas par cas pour la clé de balise.
Cochez cette option si vous souhaitez exiger une capitalisation spécifique pour la clé de balise à l'aide de cette politique. Si vous cochez cette case, la capitalisation que vous avez spécifiée pour la **clé de balise** remplace le traitement de la casse spécifié dans une politique parente héritée.
Si aucune politique parente n'existe et que vous ne sélectionnez pas cette option, seules les clés de balise ne comportant que des caractères minuscules sont considérées comme conformes. Pour de plus amples informations sur l'héritage des politiques parentes, consultez [Fonctionnement de l'héritage des politiques de gestion](orgs_manage_policies_inheritance_mgmt.md).
**Astuce**
Envisagez d'utiliser l'exemple de politique de balises fourni sous la rubrique [Exemple 1 : Définition d'une casse de clé de balise à l'échelle de l'organisation](orgs_manage_policies_example-tag-policies.md#tag-policy-example-key-case) pour vous aider à créer une politique de balises qui définit des clés de balise et leur traitement de la casse. Attachez-la à la racine de l'organisation. Plus tard, vous pourrez créer et associer des politiques de balisage supplémentaires à des comptes OUs ou à des comptes afin de créer des règles de balisage supplémentaires.
1. **Spécifiez les valeurs autorisées pour cette clé de balise** : activez cette option si vous souhaitez ajouter des valeurs autorisées pour cette clé de balise à toutes les valeurs héritées d'une politique parent.
Par défaut, cette case est désactivée, ce qui signifie que seules les valeurs héritées d'une politique parente sont considérées comme conformes. Si aucune politique parente n'existe ou ne spécifie de valeurs de balise, toutes les valeurs (y compris aucune valeur) sont considérées comme conformes.
Pour mettre à jour la liste des valeurs de balise admises, sélectionnez **Spécifier des valeurs admises pour cette clé de balise**, puis **Spécifier des valeurs**. Lorsque vous y êtes invité, entrez les nouvelles valeurs (une par case) et choisissez **Enregistrer les modifications**.
1. Pour les **types de ressources à appliquer**, vous pouvez sélectionner **Empêcher les opérations non conformes pour cette balise**.
Nous vous recommandons de laisser cette option désactivée (par défaut), sauf si vous êtes habitué à utiliser les politiques relatives aux balises. Veillez à consulter les recommandations de la rubrique [Renforcez la cohérence du balisage](orgs_manage_policies_tag-policies-enforcement.md) et procédez à des tests minutieux. Sinon, vous risquez d'empêcher des utilisateurs de comptes de votre organisation de baliser les ressources dont ils ont besoin.
Si vous souhaitez appliquer la conformité à cette clé de balise, cochez la case, puis sélectionnez **Spécifier les valeurs admises**. Lorsque vous y êtes invité, sélectionnez les types de ressources à inclure dans la politique. Ensuite, choisissez **Enregistrer les modifications**.
**Important**
Lorsque vous sélectionnez cette option, toutes les opérations qui manipulent des balises pour des ressources dont le type est spécifié ne réussissent que si l'opération aboutit à des balises conformes à la politique.
1. (Facultatif) Pour ajouter une autre clé de balise à cette politique de balises, choisissez **Ajouter une clé de balise**. Ensuite, effectuez les étapes 6 à 9 pour définir la clé de balise.
1. Lorsque vous avez terminé de créer votre politique de balises, choisissez **Enregistrer les modifications**.
------
#### [ AWS CLI & AWS SDKs ]
**Pour créer une politique de balises**
Vous pouvez utiliser l'une des méthodes suivantes pour créer une politique de balises :
+ AWS CLI : [create-policy](https://docs.aws.amazon.com/cli/latest/reference/organizations/create-policy.html)
Vous pouvez utiliser un éditeur de texte quelconque pour créer une politique de balises. Utilisez la syntaxe JSON et enregistrez la politique de balises dans un fichier portant un nom et une extension quelconque à l'emplacement de votre choix. Les politiques de balises peuvent comporter un maximum de 2 500 caractères, espaces inclus. Pour de plus amples informations sur la syntaxe des politiques de balises, consultez [Syntaxe des politiques de balises](orgs_manage_policies_example-tag-policies.md#tag-policy-syntax-reference).
**Pour créer une politique de balises**
1. Créez dans un fichier texte une politique de balises semblable à la suivante :
Contenu de `testpolicy.json` :
```
{
"tags": {
"CostCenter": {
"tag_key": {
"@@assign": "CostCenter"
}
}
}
}
```
Cette politique de balises définit la clé de balise `CostCenter`. La balise peut accepter n'importe quelle valeur ou aucune valeur. Une telle politique signifie qu'une ressource à laquelle le CostCenter tag est attaché avec ou sans valeur est conforme.
1. Créez une politique avec le contenu de politique figurant dans le fichier. Un espace blanc supplémentaire dans la sortie a été tronqué pour plus de lisibilité.
```
$ aws organizations create-policy \
--name "MyTestTagPolicy" \
--description "My Test policy" \
--content file://testpolicy.json \
--type TAG_POLICY
{
"Policy": {
"PolicySummary": {
"Id": "p-a1b2c3d4e5",
"Arn": "arn:aws:organizations::123456789012:policy/o-aa111bb222/tag_policy/p-a1b2c3d4e5",
"Name": "MyTestTagPolicy",
"Description": "My Test policy",
"Type": "TAG_POLICY",
"AwsManaged": false
},
"Content": "{\n\"tags\":{\n\"CostCenter\":{\n\"tag_key\":{\n\"@@assign\":\"CostCenter\"\n}\n}\n}\n}\n\n"
}
}
```
+ AWS SDKs: [CreatePolicy](https://docs.aws.amazon.com/organizations/latest/APIReference/API_CreatePolicy.html)
------
## Création d'une politique pour les applications de chat
**Autorisations minimales**
Pour créer une politique d'applications de chat, vous devez être autorisé à exécuter l'action suivante :
`organizations:CreatePolicy`
------
#### [ AWS Management Console ]
Vous pouvez créer une politique pour les applications AWS Management Console de chat de deux manières :
+ Un éditeur visuel qui vous permet de choisir des options et de générer le texte de politique JSON pour vous.
+ Un éditeur de texte qui vous permet de créer directement le texte de politique JSON.
L'éditeur visuel facilite le processus, mais limite votre flexibilité. C'est un excellent moyen de créer vos premières politiques et de les utiliser facilement. Une fois que vous avez compris leur fonctionnement et que vous avez commencé à éprouver les limites de l'éditeur visuel, vous pouvez ajouter des fonctionnalités avancées à vos politiques en modifiant vous-même le texte de la politique JSON. L'éditeur visuel utilise uniquement l'[opérateur de réglage de valeur @@assign](policy-operators.md#value-setting-operators) et ne fournit aucun accès aux [opérateurs de contrôle enfants](policy-operators.md#child-control-operators). Vous pouvez ajouter les opérateurs de contrôle enfants uniquement si vous modifiez manuellement le texte de la politique JSON.
**Pour créer une politique en matière d'applications de chat**
1. Connectez-vous à la [console AWS Organizations](https://console.aws.amazon.com/organizations/v2). Vous devez vous connecter en tant qu'utilisateur IAM, assumer un rôle IAM ou vous connecter en tant qu'utilisateur racine ([non recommandé](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials)) dans le compte de gestion de l'organisation.
1. Sur la page des **[politiques du Chatbot](https://console.aws.amazon.com/organizations/v2/home/policies/chatbot-policy)**, choisissez **Créer une** politique.
1. Sur la [page de stratégie de **création de nouvelles applications de chat**](https://console.aws.amazon.com/organizations/v2/home/policies/chatbot-policy/create), entrez le **nom de la politique** et une **description de la politique** facultative.
1. (Facultatif) Vous pouvez ajouter une ou plusieurs balises à la politique en choisissant **Ajouter une balise**, puis en saisissant une clé et éventuellement une valeur. Laisser la valeur vide la définit à une chaîne vide ; elle ne prend pas la valeur `null`. Vous pouvez attacher jusqu'à 50 balises à une politique. Pour de plus amples informations, veuillez consulter [Ressources de balisage AWS OrganizationsConsidérations](orgs_tagging.md).
1. Vous pouvez créer la politique à l'aide de l'**Éditeur visuel**, de la manière décrite dans cette procédure. Vous pouvez également taper ou coller du texte de politique dans l'onglet **JSON**. Pour plus d'informations sur la syntaxe des politiques des applications de chat, consultez[Syntaxe de politique des applications de chat et exemples](orgs_manage_policies_chatbot_syntax.md).
Si vous choisissez d'utiliser l'**éditeur visuel**, configurez la politique de vos applications de chat en spécifiant les contrôles d'accès pour les clients de chat.
1. Choisissez l'une des options suivantes pour **configurer l'accès au client de chat Amazon Chime**
+ Refusez l'accès au carillon.
+ Autoriser l'accès à Chime.
1. Choisissez l'une des options suivantes pour **définir l'accès au client de chat Microsoft Teams**
+ Refuser l'accès à toutes les équipes
+ Autoriser l'accès à toutes les équipes
+ Restreindre l'accès aux équipes nommées
1. Choisissez l'une des options suivantes pour **configurer l'accès au client de chat Slack**
+ Refuser l'accès à tous les espaces de travail Slack
+ Autoriser l'accès à tous les espaces de travail Slack
+ Restreindre l'accès aux espaces de travail Slack nommés
**Note**
En outre, vous pouvez sélectionner **Limiter l'utilisation d'Amazon Q Developer dans les applications de chat aux seules chaînes privées de Slack**.
1. Sélectionnez les options suivantes pour **définir les types d'autorisations IAM**
+ **Activer le rôle IAM au niveau de la chaîne** : tous les membres de la chaîne partagent les autorisations du rôle IAM pour exécuter des tâches dans une chaîne. Un rôle de chaîne est approprié si les membres de la chaîne ont besoin des mêmes autorisations.
+ **Activer le rôle IAM au niveau de l'utilisateur** : les membres de la chaîne doivent choisir un rôle d'utilisateur IAM pour effectuer des actions (nécessite un accès à la console pour choisir les rôles). Les rôles d'utilisateur sont appropriés si les membres de la chaîne ont besoin d'autorisations différentes et peuvent choisir leurs rôles d'utilisateur.
1. Lorsque vous avez terminé la création de votre politique, choisissez **Créer la politique**. La politique apparaît dans votre liste de politiques de sauvegarde du chatbot.
------
#### [ AWS CLI & AWS SDKs ]
**Pour créer une politique en matière d'applications de chat**
Vous pouvez utiliser l'une des méthodes suivantes pour créer une politique d'applications de chat :
+ AWS CLI : [create-policy](https://docs.aws.amazon.com/cli/latest/reference/organizations/create-policy.html)
Vous pouvez utiliser n'importe quel éditeur de texte pour créer une politique d'applications de chat. Utilisez la syntaxe JSON et enregistrez la politique des applications de chat sous forme de fichier avec le nom et l'extension de votre choix à l'emplacement de votre choix. Les politiques relatives aux applications de chat peuvent comporter un maximum de ? caractères, y compris les espaces. Pour de plus amples informations sur la syntaxe des politiques de balises, consultez [Syntaxe de politique des applications de chat et exemples](orgs_manage_policies_chatbot_syntax.md).
**Pour créer une politique en matière d'applications de chat**
1. Créez une politique d'applications de chat dans un fichier texte similaire à ce qui suit :
Contenu de `testpolicy.json` :
```
{
"chatbot": {
"platforms": {
"slack": {
"client": {
"@@assign": "enabled"
},
"workspaces": {
"@@assign": [
"Slack-Workspace-Id"
]
},
"default": {
"supported_channel_types": {
"@@assign": [
"private"
]
}
}
},
"microsoft_teams": {
"client": {
"@@assign": "disabled"
}
}
}
}
}
```
Cette politique relative aux applications de chat autorise uniquement les chaînes privées Slack dans un espace de travail spécifique, désactive Microsoft Teams et prend en charge tous les paramètres de [rôle](https://docs.aws.amazon.com/chatbot/latest/adminguide/understanding-permissions.html#role-settings).
1. Créez une politique avec le contenu de politique figurant dans le fichier. Un espace blanc supplémentaire dans la sortie a été tronqué pour plus de lisibilité.
```
$ aws organizations create-policy \
--name "MyTestChatbotPolicy" \
--description "My Test policy" \
--content file://testpolicy.json \
--type CHATBOT_POLICY
{
"Policy": {
"PolicySummary": {
"Id": "p-a1b2c3d4e5",
"Arn": "arn:aws:organizations::123456789012:policy/o-aa111bb222/chatbot_policy/p-a1b2c3d4e5",
"Name": "MyTestChatApplicationsPolicy",
"Description": "My Test policy",
"Type": "CHATBOT_POLICY",
"AwsManaged": false
},
"Content": "{"chatbot":{"platforms":{"slack":{"client":{"@@assign":"enabled"},"workspaces":{"@@assign":["Slack-Workspace-Id"]},"supported_channel_types":{"@@assign":["private"]}},"microsoft_teams":{"client":{"@@assign":"disabled"}}}}}"
}
}
```
+ AWS SDKs: [CreatePolicy](https://docs.aws.amazon.com/organizations/latest/APIReference/API_CreatePolicy.html)
------
## Créer une politique de désinscription des services d'IA
**Autorisations minimales**
Pour créer une politique de désactivation des services IA, vous devez disposer de l'autorisation d'exécuter l'action suivante :
`organizations:CreatePolicy`
------
#### [ AWS Management Console ]
**Pour créer une politique de désactivation des services IA**
1. Connectez-vous à la [console AWS Organizations](https://console.aws.amazon.com/organizations/v2). Vous devez vous connecter en tant qu'utilisateur IAM, assumer un rôle IAM ou vous connecter en tant qu'utilisateur racine ([non recommandé](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials)) dans le compte de gestion de l'organisation.
1. Sur la page **[Politiques de désactivation des services IA](https://console.aws.amazon.com/organizations/v2/home/policies/aiservices-opt-out-policy)** choisissez **Créer une politique**.
1. Dans la page [https://console.aws.amazon.com/organizations/v2/home/policies/aiservices-opt-out-policy/create](https://console.aws.amazon.com/organizations/v2/home/policies/aiservices-opt-out-policy/create), saisissez un **Nom de politique** et éventuellement une **description de la politique**.
1. (Facultatif) Vous pouvez ajouter une ou plusieurs balises à la politique en choisissant **Ajouter une balise**, puis en saisissant une clé et éventuellement une valeur. Laisser la valeur vide la définit à une chaîne vide ; elle ne prend pas la valeur `null`. Vous pouvez attacher jusqu'à 50 balises à une politique. Pour de plus amples informations, consultez [Ressources de balisage AWS OrganizationsConsidérations](orgs_tagging.md).
1. Saisissez ou collez le texte de la politique dans l'onglet **JSON**. Pour plus d'informations sur la syntaxe des politiques de désactivation des services IA, consultez [Syntaxe des politiques de désactivation des services IA et exemples](orgs_manage_policies_ai-opt-out_syntax.md). Pour obtenir des exemples de politiques que vous pouvez utiliser comme point de départ, consultez [Exemples de politique de désactivation des services IA](orgs_manage_policies_ai-opt-out_syntax.md#ai-opt-out-policy-examples).
1. Lorsque vous avez terminé la modification de votre politique, choisissez **Créer la politique** dans l'angle inférieur droit de la page.
------
#### [ AWS CLI & AWS SDKs ]
**Pour créer une politique de désactivation des services IA**
Vous pouvez utiliser l'une des commandes suivantes pour créer une politique de balises :
+ AWS CLI : [create-policy](https://docs.aws.amazon.com/cli/latest/reference/organizations/create-policy.html)
1. Créez une politique de désactivation des services IA comme ci-dessous et stockez-la dans un fichier texte. Notez que « `optOut` » et « `optIn` » sont sensibles à la casse.
```
{
"services": {
"default": {
"opt_out_policy": {
"@@assign": "optOut"
}
},
"rekognition": {
"opt_out_policy": {
"@@assign": "optIn"
}
}
}
}
```
Cette politique de désactivation des services IA spécifie que tous les comptes concernés par la politique sont exclus de tous les services IA, à l'exception d'Amazon Rekognition.
1. Importez le fichier de politique JSON pour créer une nouvelle politique dans l'organisation. Dans cet exemple, le fichier JSON précédent était nommé `policy.json`.
```
$ aws organizations create-policy \
--type AISERVICES_OPT_OUT_POLICY \
--name "MyTestPolicy" \
--description "My test policy" \
--content file://policy.json
{
"Policy": {
"Content": "{\"services\":{\"default\":{\"opt_out_policy\":{\"@@assign\":\"optOut\"}},\"rekognition\":{\"opt_out_policy\":{\"@@assign\":\"optIn\"}}}}",
"PolicySummary": {
"Id": "p-i9j8k7l6m5"
"Arn": "arn:aws:organizations::o-aa111bb222:policy/aiservices_opt_out_policy/p-i9j8k7l6m5",
"Description": "My test policy",
"Name": "MyTestPolicy",
"Type": "AISERVICES_OPT_OUT_POLICY"
}
}
}
```
+ AWS SDKs: [CreatePolicy](https://docs.aws.amazon.com/organizations/latest/APIReference/API_CreatePolicy.html)
------
## Création d'une politique de déploiement des mises à niveau
**Autorisations minimales**
Pour créer une politique de déploiement des mises à niveau, vous devez être autorisé à exécuter l'action suivante :
`organizations:CreatePolicy`
------
#### [ AWS Management Console ]
**Pour créer une politique de déploiement des mises à niveau**
1. Connectez-vous à la [console AWS Organizations](https://console.aws.amazon.com/organizations/v2). Vous devez vous connecter en tant qu'utilisateur IAM, assumer un rôle IAM ou vous connecter en tant qu'utilisateur racine ([non recommandé](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials)) dans le compte de gestion de l'organisation.
1. Sur la page **[Politiques de déploiement de la mise](https://console.aws.amazon.com/organizations/v2/home/policies/upgrade-rollout-policy)** à niveau, choisissez **Créer une politique**.
1. Sur la [page **Créer une nouvelle politique de déploiement de mise à niveau**](https://console.aws.amazon.com/organizations/v2/home/policies/declarative-policy-ec2/create), entrez le **nom de la politique** et une **description de la politique** facultative.
1. (Facultatif) Vous pouvez ajouter une ou plusieurs balises à la politique en choisissant **Ajouter une balise**, puis en saisissant une clé et éventuellement une valeur. Laisser la valeur vide la définit à une chaîne vide ; elle ne prend pas la valeur `null`. Vous pouvez attacher jusqu'à 50 balises à une politique. Pour de plus amples informations, veuillez consulter [Ressources de balisage AWS OrganizationsConsidérations](orgs_tagging.md).
1. Vous pouvez créer la politique à l'aide de l'**Éditeur visuel**, de la manière décrite dans cette procédure. Vous pouvez également taper ou coller du texte de politique dans l'onglet **JSON**. Pour de plus amples informations, veuillez consulter [Syntaxe et exemples de politique de déploiement des mises à niveau](orgs_manage_policies_upgrade_syntax.md).
Si vous choisissez d'utiliser l'**éditeur visuel**, sélectionnez l'ordre de mise à niveau que vous souhaitez utiliser pour votre politique de déploiement des mises à niveau. Pour plus d'informations sur les commandes de surclassement, consultez[Quelles sont les politiques de déploiement des mises à niveau ?](orgs_manage_policies_upgrade_rollout.md#orgs_manage_policies_upgrade_rollout_what_are).
1. Sous **Ordre des politiques et ressources**, sélectionnez **Premier**, **Deuxième** ou **Dernier** dans le menu.
1. (Facultatif) Pour cibler des ressources individuelles avec cette politique, sélectionnez **Remplacer des ressources spécifiques**, puis procédez comme suit :
1. Dans **Clé**, entrez le nom de la ressource que vous souhaitez remplacer.
1. Dans **Valeur**, entrez l'ARN de la ressource.
1. Dans **Ordre de mise à niveau**, choisissez l'ordre préféré qui doit être appliqué à cette ressource.
1. Si des ressources supplémentaires doivent être spécifiées, choisissez **Ajouter une balise**, puis répétez les étapes précédentes pour définir la clé de balise.
1. Lorsque vous avez terminé la modification de votre politique, choisissez **Créer la politique** dans l'angle inférieur droit de la page.
Votre nouvelle politique apparaît dans la liste des politiques de déploiement des mises à niveau. Vous pouvez désormais [associer votre politique à la racine ou aux comptes](orgs_policies_attach.md). OUs
------
#### [ AWS CLI & AWS SDKs ]
**Pour créer une politique de déploiement des mises à niveau**
Vous pouvez utiliser l'une des méthodes suivantes pour créer une politique de déploiement des mises à niveau :
+ AWS CLI : [create-policy](https://docs.aws.amazon.com/cli/latest/reference/organizations/create-policy.html)
1. Créez une politique de déploiement de mise à niveau comme celle ci-dessous, et stockez-la dans un fichier texte.
```
{
"upgrade_rollout": {
"default": {
"patch_order": {
"@@assign": "last"
}
},
"tags": {
"my_patch_order_tag": {
"tag_values": {
"tag1": {
"patch_order": {
"@@assign": "first"
}
},
"tag2": {
"patch_order": {
"@@assign": "second"
}
},
"tag3": {
"patch_order": {
"@@assign": "last"
}
}
}
}
}
}
}
```
Cette politique de déploiement des mises à niveau définit l'ordre dans lequel les AWS services appliquent les mises à niveau automatiques à l'ensemble de vos ressources. Pour plus d'informations sur la syntaxe de la politique de déploiement des mises à niveau, consultez[Syntaxe et exemples de politique de déploiement des mises à niveau](orgs_manage_policies_upgrade_syntax.md).
1. Importez le fichier de politique JSON pour créer une nouvelle politique dans l'organisation. Dans cet exemple, le fichier JSON précédent était nommé `policy.json`.
```
$ aws organizations create-policy \
--type UPGRADE_ROLLOUT_POLICY \
--name "MyTestPolicy" \
--description "My test policy" \
--content file://policy.json
{
"Policy": {
"PolicySummary": {
"Id": "p-i9j8k7l6m5",
"Arn": "arn:aws:organizations::123456789012:policy/o-aa111bb222/upgrade_rollout_policy/p-i9j8k7l6m5",
"Name": "MyTestPolicy",
"Description": "My test policy",
"Type": "UPGRADE_ROLLOUT_POLICY",
"AwsManaged": false
},
"Content": "{\n \"upgrade_rollout\": {\n \"default\": {\n \"patch_order\": {\n \"@@assign\": \"last\"\n }\n },\n \"tags\": {\n \"my_patch_order_tag\": {\n \"tag_values\": {\n \"tag1\": {\n \"patch_order\": {\n \"@@assign\": \"first\"\n }\n },\n \"tag2\": {\n \"patch_order\": {\n \"@@assign\": \"second\"\n }\n },\n \"tag3\": {\n \"patch_order\": {\n \"@@assign\": \"last\"\n }\n }\n }\n }\n }\n }\n}\n"
}
}
```
+ AWS SDKs: [CreatePolicy](https://docs.aws.amazon.com/organizations/latest/APIReference/API_CreatePolicy.html)
------
## Création d'une politique Security Hub
**Autorisations minimales**
Pour créer une politique Security Hub, vous devez être autorisé à exécuter l'action suivante :
`organizations:CreatePolicy`
------
#### [ AWS Management Console ]
**Pour créer une politique Security Hub**
1. Connectez-vous à la [console AWS Organizations](https://console.aws.amazon.com/organizations/v2). Vous devez vous connecter en tant qu'utilisateur IAM, assumer un rôle IAM ou vous connecter en tant qu'utilisateur racine ([non recommandé](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials)) dans le compte de gestion de l'organisation.
1. Sur la page des **[politiques du Security Hub](https://console.aws.amazon.com/organizations/v2/home/policies/securityhub-policy)**, choisissez **Create policy**.
1. Sur la [page **Create new Security Hub policy**](https://console.aws.amazon.com/organizations/v2/home/policies/securityhub-policy/create), entrez le **nom de la politique** et une **description de la politique** facultative.
1. (Facultatif) Vous pouvez ajouter une ou plusieurs balises à la politique en choisissant **Ajouter une balise**, puis en saisissant une clé et éventuellement une valeur. Laisser la valeur vide la définit à une chaîne vide ; elle ne prend pas la valeur `null`. Vous pouvez attacher jusqu'à 50 balises à une politique. Pour de plus amples informations, veuillez consulter [Ressources de balisage AWS OrganizationsConsidérations](orgs_tagging.md).
1. Entrez ou collez le texte de la politique dans la zone de code JSON. Pour plus d'informations sur la syntaxe de la politique Security Hub, consultez[Syntaxe et exemples de politiques du Security Hub](orgs_manage_policies_security_hub_syntax.md). Pour obtenir des exemples de politiques que vous pouvez utiliser comme point de départ, consultez [Exemples de politiques relatives au Security Hub](orgs_manage_policies_security_hub_syntax.md#security-hub-policy-examples).
1. Lorsque vous avez terminé la modification de votre politique, choisissez **Créer la politique** dans l'angle inférieur droit de la page.
------
#### [ AWS CLI & AWS SDKs ]
**Pour créer une politique Security Hub**
Vous pouvez utiliser l'une des méthodes suivantes pour créer une politique Security Hub :
+ AWS CLI : [create-policy](https://docs.aws.amazon.com/cli/latest/reference/organizations/create-policy.html)
**Exemple : créer une politique qui active Security Hub dans toutes les régions prises en charge**
L'exemple suivant suppose que vous disposez d'un fichier nommé `testPolicy_enableAllSupportedRegions.json` contenant le texte de politique JSON. Il utilise ce fichier pour créer une nouvelle politique Security Hub.
```
$ aws organizations create-policy \
--content file://./testPolicy_enableAllSupportedRegions.json \
--name "testPolicy_enableAllSupportedRegions" \
--description "Test policy to enable securityhub in ALL_SUPPORTED Regions" \
--type SECURITYHUB_POLICY
{
"Policy": {
"PolicySummary": {
"Id": "p-66ev7hgcvj",
"Arn": "arn:aws:organizations::123456789012:policy/o-aa111bb222/securityhub_policy/p-66ev7hgcvj",
"Name": "testPolicy_enableAllSupportedRegions",
"Description": "Test policy to enable securityhub in ALL_SUPPORTED Regions",
"Type": "SECURITYHUB_POLICY",
"AwsManaged": false
},
"Content": "{\n \"securityhub\": {\n \"enable_in_regions\": {\n \"@@assign\":[\n \"ALL_SUPPORTED\"\n ]\n },\n \"disable_in_regions\": {\n \"@@assign\":[]\n }\n }\n}\n"
}
}
```
**Exemple : créer une politique qui active Security Hub dans toutes les régions prises en charge, mais qui le désactive dans la région us-east-1**
L'exemple suivant suppose que vous disposez d'un fichier nommé `testPolicy_enableAllSupportedRegions_Disable_us-east-1.json` contenant le texte de politique JSON. Il utilise ce fichier pour créer une nouvelle politique Security Hub.
```
$ aws organizations create-policy \
--content file://./testPolicy_enableAllSupportedRegions_Disable_us-east-1.json \
--name "testPolicy_enableAllSupportedRegions_Disable_us-east-1" \
--description "Test policy to enable securityhub in ALL_SUPPORTED Regions but disable in us-east-1 Region" \
--type SECURITYHUB_POLICY
{
"Policy": {
"PolicySummary": {
"Id": "p-66217dwpos",
"Arn": "arn:aws:organizations::123456789012:policy/o-aa111bb222/securityhub_policy/p-66217dwpos",
"Name": "testPolicy_enableAllSupportedRegions_Disable_us-east-1",
"Description": "Test policy to enable securityhub in ALL_SUPPORTED Regions but disable in us-east-1 Region",
"Type": "SECURITYHUB_POLICY",
"AwsManaged": false
},
"Content": "{\n \"securityhub\": {\n \"enable_in_regions\": {\n \"@@assign\":[\n \"ALL_SUPPORTED\"\n ]\n },\n \"disable_in_regions\": {\n \"@@assign\":[\n \"us-east-1\"\n ]\n }\n }\n}\n"
}
}
```
+ AWS SDKs: [CreatePolicy](https://docs.aws.amazon.com/organizations/latest/APIReference/API_CreatePolicy.html)
------
# Mettre à jour les politiques de l'organisation avec AWS Organizations
Lorsque les exigences de votre politique changent, vous pouvez mettre à jour une politique existante.
Cette rubrique décrit comment mettre à jour les politiques avec AWS Organizations. Une *politique* définit les contrôles que vous souhaitez appliquer à un groupe de Comptes AWS.
**Topics**
+ [Mettre à jour une politique de contrôle des services (SCP)](#update_policy)
+ [Mettre à jour une politique de contrôle des ressources (RCP)](#update_policy-rcp)
+ [Mettre à jour une politique déclarative](#update-declarative-policy-procedure)
+ [Mettre à jour une politique de sauvegarde](#update-backup-policy-procedure)
+ [Mettre à jour une politique en matière de balises](#update-tag-policy-procedure)
+ [Mettre à jour une politique relative aux applications de chat](#update-chatbot-policy-procedure)
+ [Mettre à jour une politique de désinscription des services d'IA](#update-ai-opt-out-policy-procedure)
+ [Mettre à jour une politique de Security Hub](#update-security-hub-policy-procedure)
## Mettre à jour une politique de contrôle des services (SCP)
Une fois connecté au compte de gestion de votre organisation, vous pouvez renommer ou modifier le contenu d'une politique. La modification du contenu d'une politique SCP affecte immédiatement tous les utilisateurs, groupes et rôles de tous les comptes attachés.
**Autorisations minimales**
Pour mettre à jour une SCP, vous devez être autorisé à effectuer les actions suivantes :
`organizations:UpdatePolicy` avec un élément `Resource` dans la même instruction de politique que celle qui inclut le nom ARN de la politique spécifiée (ou « \$1 »).
`organizations:DescribePolicy` avec un élément `Resource` dans la même instruction de politique que celle qui inclut le nom ARN de la politique spécifiée (ou « \$1 »).
------
#### [ AWS Management Console ]
**Pour mettre à jour une politique**
1. Connectez-vous à la [console AWS Organizations](https://console.aws.amazon.com/organizations/v2). Vous devez vous connecter en tant qu'utilisateur IAM, assumer un rôle IAM ou vous connecter en tant qu'utilisateur racine ([non recommandé](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials)) dans le compte de gestion de l'organisation.
1. Dans la page **[Politiques de contrôle des services](https://console.aws.amazon.com/organizations/v2/home/policies/service-control-policy)**, choisissez le nom de la politique que vous souhaitez mettre à jour.
1. Sur la page des détails de la politique, choisissez **Modifier la politique**.
1. Effectuez une ou plusieurs des modifications suivantes :
+ Vous pouvez renommer la politique en saisissant un nouveau nom dans **Nom de la politique**.
+ Vous pouvez en changer la description en saisissant un nouveau texte dans **Description de la politique**.
+ Vous pouvez modifier le texte de la politique en modifiant la politique au format JSON dans le panneau de gauche. Par ailleurs, vous pouvez choisir une instruction dans l'éditeur situé à droite et en modifier les éléments à l'aide des commandes. Pour de plus amples informations sur chaque contrôle, consultez [Création d'une procédure SCP](orgs_policies_create.md#create-an-scp) plus haut dans cette rubrique.
1. Lorsque vous avez terminé, choisissez **Enregistrer les modifications**.
------
#### [ AWS CLI & AWS SDKs ]
**Pour mettre à jour une politique**
Vous pouvez utiliser l'une des commandes suivantes pour mettre à jour une politique :
+ AWS CLI : [update-policy](https://docs.aws.amazon.com/cli/latest/reference/organizations/update-policy.html)
L'exemple suivant renomme une politique.
```
$ aws organizations update-policy \
--policy-id p-i9j8k7l6m5 \
--name "MyRenamedPolicy"
{
"Policy": {
"PolicySummary": {
"Id": "p-i9j8k7l6m5",
"Arn": "arn:aws:organizations::123456789012:policy/o-aa111bb222/service_control_policy/p-i9j8k7l6m5",
"Name": "MyRenamedPolicy",
"Description": "Blocks all IAM actions",
"Type": "SERVICE_CONTROL_POLICY",
"AwsManaged": false
},
"Content": "{\"Version\":\"2012-10-17\", \"Statement\":[{\"Sid\":\"Statement1\",\"Effect\":\"Deny\",\"Action\":[\"iam:*\"],\"Resource\":[\"*\"]}]}"
}
}
```
L'exemple suivant ajoute ou modifie la description d'une politique de contrôle des services.
```
$ aws organizations update-policy \
--policy-id p-i9j8k7l6m5 \
--description "My new policy description"
{
"Policy": {
"PolicySummary": {
"Id": "p-i9j8k7l6m5",
"Arn": "arn:aws:organizations::123456789012:policy/o-aa111bb222/service_control_policy/p-i9j8k7l6m5",
"Name": "MyRenamedPolicy",
"Description": "My new policy description",
"Type": "SERVICE_CONTROL_POLICY",
"AwsManaged": false
},
"Content": "{\"Version\":\"2012-10-17\", \"Statement\":[{\"Sid\":\"Statement1\",\"Effect\":\"Deny\",\"Action\":[\"iam:*\"],\"Resource\":[\"*\"]}]}"
}
}
```
L'exemple suivant modifie le document de politique de la SCP en spécifiant un fichier contenant le nouveau texte de politique JSON.
```
$ aws organizations update-policy \
--policy-id p-zlfw1r64
--content file://MyNewPolicyText.json
{
"Policy": {
"PolicySummary": {
"Id": "p-i9j8k7l6m5",
"Arn": "arn:aws:organizations::123456789012:policy/o-aa111bb222/service_control_policy/p-i9j8k7l6m5",
"Name": "MyRenamedPolicy",
"Description": "My new policy description",
"Type": "SERVICE_CONTROL_POLICY",
"AwsManaged": false
},
"Content": "{\"Version\":\"2012-10-17\", \"Statement\":[{\"Sid\":\"AModifiedPolicy\",\"Effect\":\"Deny\",\"Action\":[\"iam:*\"],\"Resource\":[\"*\"]}]}"
}
}
```
+ AWS SDKs: [UpdatePolicy](https://docs.aws.amazon.com/organizations/latest/APIReference/API_UpdatePolicy.html)
------
## Mettre à jour une politique de contrôle des ressources (RCP)
Une fois connecté au compte de gestion de votre organisation, vous pouvez renommer ou modifier le contenu d'une politique. La modification du contenu d'un RCP affecte immédiatement toutes les ressources de tous les comptes attachés.
**Autorisations minimales**
Pour mettre à jour un RCP, vous devez être autorisé à exécuter les actions suivantes :
`organizations:UpdatePolicy` avec un élément `Resource` dans la même instruction de politique que celle qui inclut le nom ARN de la politique spécifiée (ou « \$1 »).
`organizations:DescribePolicy` avec un élément `Resource` dans la même instruction de politique que celle qui inclut le nom ARN de la politique spécifiée (ou « \$1 »).
------
#### [ AWS Management Console ]
**Pour mettre à jour une politique**
1. Connectez-vous à la [console AWS Organizations](https://console.aws.amazon.com/organizations/v2). Vous devez vous connecter en tant qu'utilisateur IAM, assumer un rôle IAM ou vous connecter en tant qu'utilisateur racine ([non recommandé](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials)) dans le compte de gestion de l'organisation.
1. Sur la page **Stratégie de contrôle des ressources**, choisissez le nom de la stratégie que vous souhaitez mettre à jour.
1. Sur la page des détails de la politique, choisissez **Modifier la politique**.
1. Effectuez une ou plusieurs des modifications suivantes :
+ Vous pouvez renommer la politique en saisissant un nouveau nom dans **Nom de la politique**.
+ Vous pouvez en changer la description en saisissant un nouveau texte dans **Description de la politique**.
+ Vous pouvez modifier le texte de la politique en modifiant la politique au format JSON dans le panneau de gauche. Par ailleurs, vous pouvez choisir une instruction dans l'éditeur situé à droite et en modifier les éléments à l'aide des commandes. Pour plus de détails sur chaque contrôle, consultez la section [Création d'une procédure RCP](orgs_policies_create.md#create-an-rcp) plus haut dans cette rubrique.
1. Lorsque vous avez terminé, choisissez **Enregistrer les modifications**.
------
#### [ AWS CLI & AWS SDKs ]
**Pour mettre à jour une politique**
Vous pouvez utiliser l'une des commandes suivantes pour mettre à jour une politique :
+ AWS CLI : [update-policy](https://docs.aws.amazon.com/cli/latest/reference/organizations/update-policy.html)
L'exemple suivant renomme une politique.
```
$ aws organizations update-policy \
--policy-id p-i9j8k7l6m5 \
--name "MyRenamedPolicy"
{
"Policy": {
"PolicySummary": {
"Id": "p-i9j8k7l6m5",
"Arn": "arn:aws:organizations::123456789012:policy/o-aa111bb222/service_control_policy/p-i9j8k7l6m5",
"Name": "MyRenamedPolicy",
"Description": "Blocks all IAM actions",
"Type": "SERVICE_CONTROL_POLICY",
"AwsManaged": false
},
"Content": "{\"Version\":\"2012-10-17\", \"Statement\":[{\"Sid\":\"Statement1\",\"Effect\":\"Deny\",\"Action\":[\"iam:*\"],\"Resource\":[\"*\"]}]}"
}
}
```
L'exemple suivant ajoute ou modifie la description d'une politique de contrôle des ressources.
```
$ aws organizations update-policy \
--policy-id p-i9j8k7l6m5 \
--description "My new policy description"
{
"Policy": {
"PolicySummary": {
"Id": "p-i9j8k7l6m5",
"Arn": "arn:aws:organizations::123456789012:policy/o-aa111bb222/service_control_policy/p-i9j8k7l6m5",
"Name": "MyRenamedPolicy",
"Description": "My new policy description",
"Type": "SERVICE_CONTROL_POLICY",
"AwsManaged": false
},
"Content": "{\"Version\":\"2012-10-17\", \"Statement\":[{\"Sid\":\"Statement1\",\"Effect\":\"Deny\",\"Action\":[\"iam:*\"],\"Resource\":[\"*\"]}]}"
}
}
```
L'exemple suivant modifie le document de politique du RCP en spécifiant un fichier contenant le nouveau texte de politique JSON.
```
$ aws organizations update-policy \
--policy-id p-zlfw1r64
--content file://MyNewPolicyText.json
{
"Policy": {
"PolicySummary": {
"Id": "p-i9j8k7l6m5",
"Arn": "arn:aws:organizations::123456789012:policy/o-aa111bb222/service_control_policy/p-i9j8k7l6m5",
"Name": "MyRenamedPolicy",
"Description": "My new policy description",
"Type": "SERVICE_CONTROL_POLICY",
"AwsManaged": false
},
"Content": "{\"Version\":\"2012-10-17\", \"Statement\":[{\"Sid\":\"AModifiedPolicy\",\"Effect\":\"Deny\",\"Action\":[\"iam:*\"],\"Resource\":[\"*\"]}]}"
}
}
```
+ AWS SDKs: [UpdatePolicy](https://docs.aws.amazon.com/organizations/latest/APIReference/API_UpdatePolicy.html)
------
## Mettre à jour une politique déclarative
**Autorisations minimales**
Pour mettre à jour une politique déclarative, vous devez être autorisé à exécuter les actions suivantes :
`organizations:UpdatePolicy` avec un élément `Resource` dans la même instruction de politique que celle qui inclut le nom ARN de la politique spécifiée (ou « \$1 »).
`organizations:DescribePolicy` avec un élément `Resource` dans la même instruction de politique que celle qui inclut l''Amazon Resource Name (ARN) de la politique spécifiée (ou « \$1 »).
------
#### [ AWS Management Console ]
**Pour mettre à jour une politique déclarative**
1. Connectez-vous à la [console AWS Organizations](https://console.aws.amazon.com/organizations/v2). Vous devez vous connecter en tant qu'utilisateur IAM, assumer un rôle IAM ou vous connecter en tant qu'utilisateur racine ([non recommandé](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials)) dans le compte de gestion de l'organisation.
1. Sur la page **[Politiques déclaratives](https://console.aws.amazon.com/organizations/v2/home/policies/declarative-policy-ec2)**, choisissez le nom de la politique que vous souhaitez mettre à jour.
1. Sur la page de détails de la politique, choisissez **Modifier la politique**.
1. Vous pouvez saisir un nouveau **Nom de la politique**, une **Description de la politique** ou modifier le texte de politique **JSON**. Pour plus d'informations sur la syntaxe des politiques déclaratives, consultez[Syntaxe de politique déclarative et exemples](orgs_manage_policies_declarative_syntax.md).
1. Lorsque vous avez terminé de mettre à jour la politique, choisissez **Enregistrer les modifications**.
------
#### [ AWS CLI & AWS SDKs ]
**Pour mettre à jour une politique**
Vous pouvez utiliser l'une des méthodes suivantes pour mettre à jour une politique :
+ AWS CLI : [update-policy](https://docs.aws.amazon.com/cli/latest/reference/organizations/update-policy.html)
L'exemple suivant renomme une politique déclarative.
```
$ aws organizations update-policy \
--policy-id p-i9j8k7l6m5 \
--name "Renamed policy"
{
"Policy": {
"PolicySummary": {
"Id": "p-i9j8k7l6m5",
"Arn": "arn:aws:organizations::123456789012:policy/o-aa111bb222/declarative_policy_ec2/p-i9j8k7l6m5",
"Name": "Renamed policy",
"Type": "DECLARATIVE_POLICY_EC2",
"AwsManaged": false
},
"Content": "{"ec2-configuration":{"ec2_attributes":{"image_block_public_access":{"state":{"@@assign":"block_new_sharing"}}}}".
}
}
```
L'exemple suivant ajoute ou modifie la description d'une politique déclarative.
```
$ aws organizations update-policy \
--policy-id p-i9j8k7l6m5 \
--description "My new description"
{
"Policy": {
"PolicySummary": {
"Id": "p-i9j8k7l6m5",
"Arn": "arn:aws:organizations::123456789012:policy/o-aa111bb222/declarative_policy_ec2/p-i9j8k7l6m5",
"Name": "Renamed policy",
"Description": "My new description",
"Type": "DECLARATIVE_POLICY_EC2",
"AwsManaged": false
},
"Content": "{"ec2_attributes":{"image_block_public_access":{"state":{"@@assign":"block_new_sharing"}}}}".
}
}
```
+ AWS SDKs: [UpdatePolicy](https://docs.aws.amazon.com/organizations/latest/APIReference/API_UpdatePolicy.html)
------
## Mettre à jour une politique de sauvegarde
Lorsque que vous êtes connecté au compte de gestion de votre organisation, vous pouvez modifier une politique qui demande des modifications dans votre organisation.
**Autorisations minimales**
Pour mettre à jour une politique de sauvegarde, vous devez avoir l'autorisation d'effectuer les actions suivantes :
`organizations:UpdatePolicy` avec un élément `Resource` dans la même instruction de politique que celle qui inclut le nom ARN de la politique à mettre à jour (ou « \$1 »).
`organizations:DescribePolicy` avec un élément `Resource` dans la même instruction de politique que celle qui inclut le nom ARN de la politique à mettre à jour (ou « \$1 »).
------
#### [ AWS Management Console ]
**Pour mettre à jour une politique de sauvegarde**
1. Connectez-vous à la [console AWS Organizations](https://console.aws.amazon.com/organizations/v2). Vous devez vous connecter en tant qu'utilisateur IAM, assumer un rôle IAM ou vous connecter en tant qu'utilisateur racine ([non recommandé](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials)) dans le compte de gestion de l'organisation.
1. Sur la page **[Politiques de sauvegarde](https://console.aws.amazon.com/organizations/v2/home/policies/backup-policy)**, choisissez le nom de la politique que vous souhaitez mettre à jour.
1. Choisissez **Modifier la politique**.
1. Vous pouvez saisir un nouveau **Nom de la politique** et une **Description de la politique**. Vous pouvez modifier le contenu de la politique à l'aide de l'**Éditeur visuel** ou en modifiant directement le **JSON**.
1. Lorsque vous avez terminé de mettre à jour la politique, choisissez **Enregistrer les modifications**.
------
#### [ AWS CLI & AWS SDKs ]
**Pour mettre à jour une politique de sauvegarde**
Vous pouvez utiliser l'une des méthodes suivantes pour mettre à jour une politique de sauvegarde :
+ AWS CLI : [update-policy](https://docs.aws.amazon.com/cli/latest/reference/organizations/update-policy.html)
L'exemple suivant renomme une politique de sauvegarde.
```
$ aws organizations update-policy \
--policy-id p-i9j8k7l6m5 \
--name "Renamed policy"
{
"Policy": {
"PolicySummary": {
"Id": "p-i9j8k7l6m5",
"Arn": "arn:aws:organizations::123456789012:policy/o-aa111bb222/backup_policy/p-i9j8k7l6m5",
"Name": "Renamed policy",
"Type": "BACKUP_POLICY",
"AwsManaged": false
},
"Content": "{\"plans\":{\"TestBackupPlan\":{\"regions\":{\"@@assign\": ....TRUNCATED FOR BREVITY.... "@@assign\":[\"Yes\"]}}}}}}}"
}
}
```
L'exemple suivant ajoute ou remplace la description d'une politique de sauvegarde.
```
$ aws organizations update-policy \
--policy-id p-i9j8k7l6m5 \
--description "My new description"
{
"Policy": {
"PolicySummary": {
"Id": "p-i9j8k7l6m5",
"Arn": "arn:aws:organizations::123456789012:policy/o-aa111bb222/backup_policy/p-i9j8k7l6m5",
"Name": "Renamed policy",
"Description": "My new description",
"Type": "BACKUP_POLICY",
"AwsManaged": false
},
"Content": "{\"plans\":{\"TestBackupPlan\":{\"regions\":{\"@@assign\": ....TRUNCATED FOR BREVITY.... "@@assign\":[\"Yes\"]}}}}}}}"
}
}
```
L'exemple suivant modifie le document de politique JSON attaché à une politique de sauvegarde. Dans cet exemple, le contenu est extrait d'un fichier appelé `policy.json` et contenant le texte suivant :
```
{
"plans": {
"PII_Backup_Plan": {
"regions": { "@@assign": [ "ap-northeast-2", "us-east-1", "eu-north-1" ] },
"rules": {
"Hourly": {
"schedule_expression": { "@@assign": "cron(0 5/1 ? * * *)" },
"start_backup_window_minutes": { "@@assign": "480" },
"complete_backup_window_minutes": { "@@assign": "10080" },
"lifecycle": {
"move_to_cold_storage_after_days": { "@@assign": "180" },
"delete_after_days": { "@@assign": "270" },
"opt_in_to_archive_for_supported_resources": {"@@assign": false}
},
"target_backup_vault_name": { "@@assign": "FortKnox" },
"copy_actions": {
"arn:aws:backup:us-east-1:$account:backup-vault:secondary-vault": {
"lifecycle": {
"move_to_cold_storage_after_days": { "@@assign": "10" },
"delete_after_days": { "@@assign": "100" },
"opt_in_to_archive_for_supported_resources": {"@@assign": false}
}
}
}
}
},
"selections": {
"tags": {
"datatype": {
"iam_role_arn": { "@@assign": "arn:aws:iam::$account:role/MyIamRole" },
"tag_key": { "@@assign": "dataType" },
"tag_value": { "@@assign": [ "PII" ] }
}
}
}
}
}
}
```
```
$ aws organizations update-policy \
--policy-id p-i9j8k7l6m5 \
--content file://policy.json
{
"Policy": {
"PolicySummary": {
"Id": "p-i9j8k7l6m5",
"Arn": "arn:aws:organizations::123456789012:policy/o-aa111bb222/backup_policy/p-i9j8k7l6m5",
"Name": "Renamed policy",
"Description": "My new description",
"Type": "BACKUP_POLICY",
"AwsManaged": false
},
"Content": "{\"plans\":{\"TestBackupPlan\":{\"regions\":{\"@@assign\": ....TRUNCATED FOR BREVITY.... "@@assign\":[\"Yes\"]}}}}}}}"
}
```
+ AWS SDKs: [UpdatePolicy](https://docs.aws.amazon.com/organizations/latest/APIReference/API_UpdatePolicy.html)
------
## Mettre à jour une politique en matière de balises
**Autorisations minimales**
Pour mettre à jour une politique de balises, vous devez avoir l'autorisation d'effectuer les actions suivantes :
`organizations:UpdatePolicy` avec un élément `Resource` dans la même instruction de politique que celle qui inclut le nom ARN de la politique spécifiée (ou « \$1 »).
`organizations:DescribePolicy` avec un élément `Resource` dans la même instruction de politique que celle qui inclut le nom ARN de la politique spécifiée (ou « \$1 »).
------
#### [ AWS Management Console ]
**Pour mette à jour une politique de balises**
1. Connectez-vous à la [console AWS Organizations](https://console.aws.amazon.com/organizations/v2). Vous devez vous connecter en tant qu'utilisateur IAM, assumer un rôle IAM ou vous connecter en tant qu'utilisateur racine ([non recommandé](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials)) dans le compte de gestion de l'organisation.
1. Sur la page ****[Politiques de balises](https://console.aws.amazon.com/organizations/v2/home/policies/tag-policy)****, choisissez le nom de la politique que vous souhaitez mettre à jour.
1. Choisissez **Modifier la politique**.
1. Vous pouvez saisir un nouveau **Nom de la politique** et une **Description de la politique**. Vous pouvez modifier le contenu de la politique à l'aide de l'**Éditeur visuel** ou en modifiant le **JSON**.
1. Lorsque vous avez terminé de mettre à jour la politique de balises, choisissez **Enregistrer les modifications**.
------
#### [ AWS CLI & AWS SDKs ]
**Pour mettre à jour une politique**
Vous pouvez utiliser l'une des méthodes suivantes pour mettre à jour une politique :
+ AWS CLI : [update-policy](https://docs.aws.amazon.com/cli/latest/reference/organizations/update-policy.html)
L'exemple suivant renomme une politique de balises.
```
$ aws organizations update-policy \
--policy-id p-i9j8k7l6m5 \
--name "Renamed tag policy"
{
"Policy": {
"PolicySummary": {
"Id": "p-i9j8k7l6m5",
"Arn": "arn:aws:organizations::123456789012:policy/o-aa111bb222/tag_policy/p-i9j8k7l6m5",
"Name": "Renamed tag policy",
"Type": "TAG_POLICY",
"AwsManaged": false
},
"Content": "{\n\"tags\":{\n\"CostCenter\":{\n\"tag_key\":{\n\"@@assign\":\"CostCenter\"\n}\n}\n}\n}\n\n"
}
}
```
L'exemple suivant ajoute ou remplace la description d'une politique de balises.
```
$ aws organizations update-policy \
--policy-id p-i9j8k7l6m5 \
--description "My new tag policy description"
{
"Policy": {
"PolicySummary": {
"Id": "p-i9j8k7l6m5",
"Arn": "arn:aws:organizations::123456789012:policy/o-aa111bb222/tag_policy/p-i9j8k7l6m5",
"Name": "Renamed tag policy",
"Description": "My new tag policy description",
"Type": "TAG_POLICY",
"AwsManaged": false
},
"Content": "{\n\"tags\":{\n\"CostCenter\":{\n\"tag_key\":{\n\"@@assign\":\"CostCenter\"\n}\n}\n}\n}\n\n"
}
}
```
L'exemple suivant modifie le document de politique JSON attaché à une politique de désactivation des services IA. Dans cet exemple, le contenu est extrait d'un fichier appelé `policy.json` et contenant le texte suivant :
```
{
"tags": {
"Stage": {
"tag_key": {
"@@assign": "Stage"
},
"tag_value": {
"@@assign": [
"Production",
"Test"
]
}
}
}
}
```
```
$ aws organizations update-policy \
--policy-id p-i9j8k7l6m5 \
--content file://policy.json
{
"Policy": {
"PolicySummary": {
"Id": "p-i9j8k7l6m5",
"Arn": "arn:aws:organizations::123456789012:policy/o-aa111bb222/tag_policy/p-i9j8k7l6m5",
"Name": "Renamed tag policy",
"Description": "My new tag policy description",
"Type": "TAG_POLICY",
"AwsManaged": false
},
"Content": "{\"tags\":{\"Stage\":{\"tag_key\":{\"@@assign\":\"Stage\"},\"tag_value\":{\"@@assign\":[\"Production\",\"Test\"]},\"enforced_for\":{\"@@assign\":[\"ec2:instance\"]}}}}"
}
```
+ AWS SDKs: [UpdatePolicy](https://docs.aws.amazon.com/organizations/latest/APIReference/API_UpdatePolicy.html)
------
## Mettre à jour une politique relative aux applications de chat
**Autorisations minimales**
Pour mettre à jour la politique d'une application de chat, vous devez être autorisé à exécuter les actions suivantes :
`organizations:UpdatePolicy` avec un élément `Resource` dans la même instruction de politique que celle qui inclut le nom ARN de la politique spécifiée (ou « \$1 »).
`organizations:DescribePolicy` avec un élément `Resource` dans la même instruction de politique que celle qui inclut le nom ARN de la politique spécifiée (ou « \$1 »).
------
#### [ AWS Management Console ]
**Pour mettre à jour une politique relative aux applications de chat**
1. Connectez-vous à la [console AWS Organizations](https://console.aws.amazon.com/organizations/v2). Vous devez vous connecter en tant qu'utilisateur IAM, assumer un rôle IAM ou vous connecter en tant qu'utilisateur racine ([non recommandé](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials)) dans le compte de gestion de l'organisation.
1. Sur la **page des **[politiques du chatbot](https://console.aws.amazon.com/organizations/v2/home/policies/chatbot-policy)****, choisissez la politique des applications de chat que vous souhaitez mettre à jour.
1. Choisissez **Modifier la politique**.
1. Vous pouvez saisir un nouveau **Nom de la politique** et une **Description de la politique**. Vous pouvez modifier le contenu de la politique à l'aide de l'**Éditeur visuel** ou en modifiant le **JSON**.
1. Lorsque vous avez terminé de mettre à jour la politique de balises, choisissez **Enregistrer les modifications**.
------
#### [ AWS CLI & AWS SDKs ]
**Pour mettre à jour une politique**
Vous pouvez utiliser l'une des méthodes suivantes pour mettre à jour une politique :
+ AWS CLI : [update-policy](https://docs.aws.amazon.com/cli/latest/reference/organizations/update-policy.html)
L'exemple suivant renomme une politique d'applications de chat.
```
$ aws organizations update-policy \
--policy-id p-i9j8k7l6m5 \
--name "Renamed chat applications policy"
{
"Policy": {
"PolicySummary": {
"Id": "p-i9j8k7l6m5",
"Arn": "arn:aws:organizations::123456789012:policy/o-aa111bb222/chatbot_policy/p-i9j8k7l6m5",
"Name": "Renamed chat applications policy",
"Type": "CHATBOT_POLICY",
"AwsManaged": false
},
"Content": "{"chatbot":{"platforms":{"slack":{"client":{"@@assign":"enabled"},"workspaces":{"@@assign":["Slack-Workspace-Id"]},"default":{"supported_channel_types":{"@@assign":["private"]}}},"microsoft_teams":{"client":{"@@assign":"disabled"}}}}}"
}
}
```
+ AWS SDKs: [UpdatePolicy](https://docs.aws.amazon.com/organizations/latest/APIReference/API_UpdatePolicy.html)
------
## Mettre à jour une politique de désinscription des services d'IA
**Autorisations minimales**
Pour mettre à jour une politique de désactivation des services IA, vous devez avoir l'autorisation d'effectuer les actions suivantes :
`organizations:UpdatePolicy` avec un élément `Resource` dans la même instruction de politique que celle qui inclut le nom ARN de la politique spécifiée (ou « \$1 »).
`organizations:DescribePolicy` avec un élément `Resource` dans la même instruction de politique que celle qui inclut l''Amazon Resource Name (ARN) de la politique spécifiée (ou « \$1 »).
------
#### [ AWS Management Console ]
**Pour mettre à jour une politique de désactivation des services IA**
1. Connectez-vous à la [console AWS Organizations](https://console.aws.amazon.com/organizations/v2). Vous devez vous connecter en tant qu'utilisateur IAM, assumer un rôle IAM ou vous connecter en tant qu'utilisateur racine ([non recommandé](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials)) dans le compte de gestion de l'organisation.
1. Sur la page **[Politiques de désactivation des services IA](https://console.aws.amazon.com/organizations/v2/home/policies/aiservices-opt-out-policy)**, choisissez le nom de la politique que vous souhaitez mettre à jour.
1. Sur la page de détails de la politique, choisissez **Modifier la politique**.
1. Vous pouvez saisir un nouveau **Nom de la politique**, une **Description de la politique** ou modifier le texte de politique **JSON**. Pour plus d'informations sur la syntaxe des politiques de désactivation des services IA, consultez [Syntaxe des politiques de désactivation des services IA et exemples](orgs_manage_policies_ai-opt-out_syntax.md). Pour obtenir des exemples de politiques que vous pouvez utiliser comme point de départ, consultez [Exemples de politique de désactivation des services IA](orgs_manage_policies_ai-opt-out_syntax.md#ai-opt-out-policy-examples).
1. Lorsque vous avez terminé de mettre à jour la politique, choisissez **Enregistrer les modifications**.
------
#### [ AWS CLI & AWS SDKs ]
**Pour mettre à jour une politique**
Vous pouvez utiliser l'une des méthodes suivantes pour mettre à jour une politique :
+ AWS CLI : [update-policy](https://docs.aws.amazon.com/cli/latest/reference/organizations/update-policy.html)
L'exemple suivant renomme une politique de désactivation des services IA.
```
$ aws organizations update-policy \
--policy-id p-i9j8k7l6m5 \
--name "Renamed policy"
{
"Policy": {
"PolicySummary": {
"Id": "p-i9j8k7l6m5",
"Arn": "arn:aws:organizations::123456789012:policy/o-aa111bb222/aiservices_opt_out_policy/p-i9j8k7l6m5",
"Name": "Renamed policy",
"Type": "AISERVICES_OPT_OUT_POLICY",
"AwsManaged": false
},
"Content": "{\"services\":{\"default\":{\"opt_out_policy\": ....TRUNCATED FOR BREVITY... :{\"@@assign\":\"optIn\"}}}}"
}
}
```
L'exemple suivant montre comment ajouter ou modifier la description d'une politique de désactivation des services IA.
```
$ aws organizations update-policy \
--policy-id p-i9j8k7l6m5 \
--description "My new description"
{
"Policy": {
"PolicySummary": {
"Id": "p-i9j8k7l6m5",
"Arn": "arn:aws:organizations::123456789012:policy/o-aa111bb222/aiservices_opt_out_policy/p-i9j8k7l6m5",
"Name": "Renamed policy",
"Description": "My new description",
"Type": "AISERVICES_OPT_OUT_POLICY",
"AwsManaged": false
},
"Content": "{\"services\":{\"default\":{\"opt_out_policy\": ....TRUNCATED FOR BREVITY... :{\"@@assign\":\"optIn\"}}}}"
}
}
```
L'exemple suivant modifie le document de politique JSON attaché à une politique de désactivation des services IA. Dans cet exemple, le contenu est extrait d'un fichier appelé `policy.json` et contenant le texte suivant :
```
{
"services": {
"default": {
"opt_out_policy": {
"@@assign": "optOut"
}
},
"comprehend": {
"opt_out_policy": {
"@@operators_allowed_for_child_policies": ["@@none"],
"@@assign": "optOut"
}
},
"rekognition": {
"opt_out_policy": {
"@@assign": "optIn"
}
}
}
}
```
```
$ aws organizations update-policy \
--policy-id p-i9j8k7l6m5 \
--content file://policy.json
{
"Policy": {
"PolicySummary": {
"Id": "p-i9j8k7l6m5",
"Arn": "arn:aws:organizations::123456789012:policy/o-aa111bb222/aiservices_opt_out_policy/p-i9j8k7l6m5",
"Name": "Renamed policy",
"Description": "My new description",
"Type": "AISERVICES_OPT_OUT_POLICY",
"AwsManaged": false
},
"Content": "{\n\"services\": {\n\"default\": {\n\" ....TRUNCATED FOR BREVITY.... ": \"optIn\"\n}\n}\n}\n}\n"}
}
```
+ AWS SDKs: [UpdatePolicy](https://docs.aws.amazon.com/organizations/latest/APIReference/API_UpdatePolicy.html)
------
## Mettre à jour une politique de Security Hub
**Autorisations minimales**
Pour mettre à jour une politique Security Hub, vous devez être autorisé à exécuter les actions suivantes :
`organizations:UpdatePolicy` avec un élément `Resource` dans la même instruction de politique que celle qui inclut le nom ARN de la politique spécifiée (ou « \$1 »).
`organizations:DescribePolicy` avec un élément `Resource` dans la même instruction de politique que celle qui inclut l''Amazon Resource Name (ARN) de la politique spécifiée (ou « \$1 »).
------
#### [ AWS Management Console ]
**Pour mettre à jour une politique Security Hub**
1. Connectez-vous à la [console AWS Organizations](https://console.aws.amazon.com/organizations/v2). Vous devez vous connecter en tant qu'utilisateur IAM, assumer un rôle IAM ou vous connecter en tant qu'utilisateur racine ([non recommandé](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials)) dans le compte de gestion de l'organisation.
1. Sur la page des **[politiques du Security Hub](https://console.aws.amazon.com/organizations/v2/home/policies/securityhub-policy)**, choisissez le nom de la politique que vous souhaitez mettre à jour.
1. Sur la page de détails de la politique, choisissez **Modifier la politique**.
1. Vous pouvez saisir un nouveau **Nom de la politique**, une **Description de la politique** ou modifier le texte de politique **JSON**. Pour plus d'informations sur la syntaxe des politiques du Security Hub, consultez[Syntaxe et exemples de politiques du Security Hub](orgs_manage_policies_security_hub_syntax.md). Pour obtenir des exemples de politiques que vous pouvez utiliser comme point de départ, consultez [Exemples de politiques relatives au Security Hub](orgs_manage_policies_security_hub_syntax.md#security-hub-policy-examples).
1. Lorsque vous avez terminé de mettre à jour la politique, choisissez **Enregistrer les modifications**.
------
#### [ AWS CLI & AWS SDKs ]
**Pour mettre à jour une politique**
Vous pouvez utiliser l'une des méthodes suivantes pour mettre à jour une politique :
+ AWS CLI : [update-policy](https://docs.aws.amazon.com/cli/latest/reference/organizations/update-policy.html)
L'exemple suivant renomme une politique Security Hub.
```
$ aws organizations update-policy \
--policy-id p-66ev7hgcvj \
--name "Renamed policy"
{
"Policy": {
"PolicySummary": {
"Id": "p-66ev7hgcvj",
"Arn": "arn:aws:organizations::123456789012:policy/o-aa111bb222/securityhub_policy/p-66ev7hgcvj",
"Name": "Renamed policy",
"Type": "SECURITYHUB_POLICY",
"AwsManaged": false
},
"Content": "{\n \"securityhub\": {\n \"enable_in_regions\": {\n \"@@assign\":[\n \"ALL_SUPPORTED\"\n ]\n },\n \"disable_in_regions\": {\n \"@@assign\":[]\n }\n }\n}\n"
}
}
```
L'exemple suivant ajoute ou modifie la description d'une politique Security Hub.
```
$ aws organizations update-policy \
--policy-id p-66ev7hgcvj \
--name "My new description"
{
"Policy": {
"PolicySummary": {
"Id": "p-66ev7hgcvj",
"Arn": "arn:aws:organizations::123456789012:policy/o-aa111bb222/securityhub_policy/p-66ev7hgcvj",
"Name": "My new description",
"Type": "SECURITYHUB_POLICY",
"AwsManaged": false
},
"Content": "{\n \"securityhub\": {\n \"enable_in_regions\": {\n \"@@assign\":[\n \"ALL_SUPPORTED\"\n ]\n },\n \"disable_in_regions\": {\n \"@@assign\":[]\n }\n }\n}\n"
}
}
```
+ AWS SDKs: [UpdatePolicy](https://docs.aws.amazon.com/organizations/latest/APIReference/API_UpdatePolicy.html)
------
# Modification des balises associées aux politiques de l'organisation avec AWS Organizations
Cette rubrique explique comment modifier les balises associées aux politiques AWS Organizations. Une *politique* définit les contrôles que vous souhaitez appliquer à un groupe de Comptes AWS.
**Topics**
+ [Modifier les balises associées à une politique de contrôle des services (SCP)](#tag_policy_scp)
+ [Modifier les balises associées à une politique de contrôle des ressources (RCP)](#tag_policy_rcp)
+ [Modifier les balises associées à une politique déclarative](#tag-declarative-policy-procedure)
+ [Modifier les balises associées à une politique de sauvegarde](#tag-backup-policy-procedure)
+ [Modifier les balises associées à une politique en matière de balises](#tag_tag-policies)
+ [Modifier les balises associées à une politique d'applications de chat](#tag_chatbot-policies)
+ [Modifier les balises associées à une politique de désinscription des services d'IA](#tag-ai-opt-out-policy-procedure)
+ [Modifier les balises associées à une politique Security Hub](#tag-security-hub-policy-procedure)
## Modifier les balises associées à une politique de contrôle des services (SCP)
Lorsque vous vous connectez au compte de gestion de votre organisation, vous pouvez ajouter ou supprimer les balises attachées à une politique SCP. Pour plus d’informations sur le balisage, consultez [Ressources de balisage AWS OrganizationsConsidérations](orgs_tagging.md).
**Autorisations minimales**
Pour modifier les balises attachées à une politique SCP dans votre organisation , vous devez disposer des autorisations suivantes :
`organizations:DescribeOrganization` — requis uniquement si vous utilisez la console Organizations
`organizations:DescribePolicy` — requis uniquement si vous utilisez la console Organizations
`organizations:TagResource`
`organizations:UntagResource`
------
#### [ AWS Management Console ]
**Pour modifier les balises attachées à une politique de contrôle des services (SCP)**
1. Connectez-vous à la [console AWS Organizations](https://console.aws.amazon.com/organizations/v2). Vous devez vous connecter en tant qu'utilisateur IAM, assumer un rôle IAM ou vous connecter en tant qu'utilisateur racine ([non recommandé](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials)) dans le compte de gestion de l'organisation.
1. Dans la page **[Politiques de contrôle des services](https://console.aws.amazon.com/organizations/v2/home/policies/service-control-policy)**, choisissez le nom de la politique à laquelle sont attachées les balises que vous souhaitez modifier.
1. Sur la page des détails de politique, cochez la case**Balises**, puis choisissez**Gérer les balises**.
1. Effectuez une ou plusieurs des modifications suivantes :
+ Modifiez la valeur d'une balise en entrant une nouvelle valeur en remplacement de l'ancienne. Vous ne pouvez pas modifier directement la clé de la balise. Pour modifier une clé, vous devez supprimer la balise avec l'ancienne clé, puis ajouter une balise avec la nouvelle clé.
+ Vous pouvez supprimer une balise existante en choisissant **Supprimer)**.
+ Ajoutez une nouvelle paire clé/valeur de balise. Choisissez **Ajouter une balise**, puis entrez le nouveau nom de la clé et éventuellement une valeur dans les champs prévus. Si vous laissez vide le champ **Valeur**, la valeur est une chaîne vide ; elle ne prend pas la valeur `null`.
1. Lorsque vous avez terminé, sélectionnez **Enregistrer les modifications**.
------
#### [ AWS CLI & AWS SDKs ]
**Pour modifier les balises attachées à une politique de contrôle des services (SCP)**
Vous pouvez utiliser l'une des commandes suivantes pour modifier les balises attachées à une SCP :
+ AWS CLI : [tag-resource](https://docs.aws.amazon.com/cli/latest/reference/organizations/tag-resource.html) et [untag-resource](https://docs.aws.amazon.com/cli/latest/reference/organizations/untag-resource.html)
+ AWS SDKs : [TagResource](https://docs.aws.amazon.com/organizations/latest/APIReference/API_TagResource.html) et [UntagResource](https://docs.aws.amazon.com/organizations/latest/APIReference/API_UntagResource.html)
------
## Modifier les balises associées à une politique de contrôle des ressources (RCP)
Lorsque vous vous connectez au compte de gestion de votre organisation, vous pouvez ajouter ou supprimer les balises associées à un RCP. Pour plus d’informations sur le balisage, consultez [Ressources de balisage AWS OrganizationsConsidérations](orgs_tagging.md).
**Autorisations minimales**
Pour modifier les balises associées à un RCP dans votre AWS organisation, vous devez disposer des autorisations suivantes :
`organizations:DescribeOrganization` — requis uniquement si vous utilisez la console Organizations
`organizations:DescribePolicy` — requis uniquement si vous utilisez la console Organizations
`organizations:TagResource`
`organizations:UntagResource`
------
#### [ AWS Management Console ]
**Pour modifier les balises associées à un RCP**
1. Connectez-vous à la [console AWS Organizations](https://console.aws.amazon.com/organizations/v2). Vous devez vous connecter en tant qu'utilisateur IAM, assumer un rôle IAM ou vous connecter en tant qu'utilisateur racine ([non recommandé](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials)) dans le compte de gestion de l'organisation.
1. Sur la page **Stratégie de contrôle des ressources**, choisissez le nom de la politique avec les balises que vous souhaitez modifier.
1. Sur la page des détails de la politique, choisissez l'onglet **Balises**, puis sélectionnez **Gérer les balises**.
1. Effectuez une ou plusieurs des modifications suivantes :
+ Modifiez la valeur d'une balise en entrant une nouvelle valeur en remplacement de l'ancienne. Vous ne pouvez pas modifier directement la clé de la balise. Pour modifier une clé, vous devez supprimer la balise avec l'ancienne clé, puis ajouter une balise avec la nouvelle clé.
+ Vous pouvez supprimer une balise existante en choisissant **Supprimer)**.
+ Ajoutez une nouvelle paire clé/valeur de balise. Choisissez **Ajouter une balise**, puis entrez le nouveau nom de la clé et éventuellement une valeur dans les champs prévus. Si vous laissez vide le champ **Valeur**, la valeur est une chaîne vide ; elle ne prend pas la valeur `null`.
1. Lorsque vous avez terminé, sélectionnez **Enregistrer les modifications**.
------
#### [ AWS CLI & AWS SDKs ]
**Pour modifier les balises associées à un RCP**
Vous pouvez utiliser l'une des commandes suivantes pour modifier les balises associées à un RCP :
+ AWS CLI : [tag-resource](https://docs.aws.amazon.com/cli/latest/reference/organizations/tag-resource.html) et [untag-resource](https://docs.aws.amazon.com/cli/latest/reference/organizations/untag-resource.html)
+ AWS SDKs : [TagResource](https://docs.aws.amazon.com/organizations/latest/APIReference/API_TagResource.html) et [UntagResource](https://docs.aws.amazon.com/organizations/latest/APIReference/API_UntagResource.html)
------
## Modifier les balises associées à une politique déclarative
Lorsque vous vous connectez au compte de gestion de votre organisation, vous pouvez ajouter ou supprimer les balises associées à une politique déclarative. Pour plus d’informations sur le balisage, consultez [Ressources de balisage AWS OrganizationsConsidérations](orgs_tagging.md).
**Autorisations minimales**
Pour modifier les balises associées à une politique déclarative dans votre AWS organisation, vous devez disposer des autorisations suivantes :
`organizations:DescribeOrganization` — requis uniquement si vous utilisez la console Organizations
`organizations:DescribePolicy` — requis uniquement si vous utilisez la console Organizations
`organizations:TagResource`
`organizations:UntagResource`
------
#### [ AWS Management Console ]
**Pour modifier les balises associées à une politique déclarative**
1. Connectez-vous à la [console AWS Organizations](https://console.aws.amazon.com/organizations/v2). Vous devez vous connecter en tant qu'utilisateur IAM, assumer un rôle IAM ou vous connecter en tant qu'utilisateur racine ([non recommandé](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials)) dans le compte de gestion de l'organisation.
1. Sur la page **[Politiques déclaratives](https://console.aws.amazon.com/organizations/v2/home/policies/declarative-policy-ec2)**, choisissez le nom de la politique avec les balises que vous souhaitez modifier.
1. Sur la page de détails de la politique choisie, choisissez l'onglet **Balises**, puis **Gérer les balises**.
1. Vous pouvez effectuer l'une des actions suivantes sur cette page :
+ Modifiez la valeur d'une balise en entrant une nouvelle valeur en remplacement de l'ancienne. Vous ne pouvez pas modifier la clé. Pour changer une clé, vous devez supprimer la balise avec l'ancienne clé et ajouter une balise avec la nouvelle clé.
+ Vous pouvez supprimer une balise existante en choisissant **Supprimer**.
+ Ajoutez une nouvelle paire clé/valeur de balise. Choisissez **Ajouter une balise**, puis entrez le nouveau nom de la clé et éventuellement une valeur dans les champs prévus. Si vous laissez vide le champ **Valeur**, la valeur est une chaîne vide ; elle ne prend pas la valeur `null`.
1. Choisissez **Enregistrer les modifications** une fois que vous avez effectué tous les ajouts, suppressions et modifications que vous souhaitez.
------
#### [ AWS CLI & AWS SDKs ]
**Pour modifier les balises associées à une politique déclarative**
Vous pouvez utiliser l'une des commandes suivantes pour modifier les balises associées à une politique déclarative :
+ AWS CLI : [tag-resource](https://docs.aws.amazon.com/cli/latest/reference/organizations/tag-resource.html) et [untag-resource](https://docs.aws.amazon.com/cli/latest/reference/organizations/untag-resource.html)
+ AWS SDKs : [TagResource](https://docs.aws.amazon.com/organizations/latest/APIReference/API_TagResource.html) et [UntagResource](https://docs.aws.amazon.com/organizations/latest/APIReference/API_UntagResource.html)
------
## Modifier les balises associées à une politique de sauvegarde
Lorsque vous vous connectez au compte de gestion de votre organisation, vous pouvez ajouter ou supprimer les balises attachées à une politique de sauvegarde. Pour plus d’informations sur le balisage, consultez [Ressources de balisage AWS OrganizationsConsidérations](orgs_tagging.md).
**Autorisations minimales**
Pour modifier les balises attachées à une politique de sauvegarde dans votre organisation , vous devez disposer des autorisations suivantes :
`organizations:DescribeOrganization` (console uniquement — pour accéder à la politique)
`organizations:DescribePolicy` (console uniquement — pour accéder à la politique)
`organizations:TagResource`
`organizations:UntagResource`
------
#### [ AWS Management Console ]
**Pour modifier les balises attachées à une politique de sauvegarde**
1. Connectez-vous à la [console AWS Organizations](https://console.aws.amazon.com/organizations/v2). Vous devez vous connecter en tant qu'utilisateur IAM, assumer un rôle IAM ou vous connecter en tant qu'utilisateur racine ([non recommandé](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials)) dans le compte de gestion de l'organisation.
1. Page **[Politiques de sauvegarde](https://console.aws.amazon.com/organizations/v2/home/policies/backup-policy)**
1. Choisissez le nom de la politique possédant les balises que vous souhaitez modifier.
La page détaillée de la politique s'affiche.
1. Dans l'onglet **Balises**, choisissez **Gérer les balises**.
1. Vous pouvez effectuer l'une des actions suivantes sur cette page :
+ Modifiez la valeur d'une balise en entrant une nouvelle valeur en remplacement de l'ancienne. Vous ne pouvez pas modifier la clé. Pour changer une clé, vous devez supprimer la balise avec l'ancienne clé et ajouter une balise avec la nouvelle clé.
+ Vous pouvez supprimer une balise existante en choisissant **Supprimer**.
+ Ajoutez une nouvelle paire clé/valeur de balise. Choisissez **Ajouter une balise**, puis entrez le nouveau nom de la clé et éventuellement une valeur dans les champs prévus. Si vous laissez vide le champ **Valeur**, la valeur est une chaîne vide ; elle ne prend pas la valeur `null`.
1. Choisissez **Enregistrer les modifications** une fois que vous avez effectué tous les ajouts, suppressions et modifications que vous souhaitez.
------
#### [ AWS CLI & AWS SDKs ]
**Pour modifier les balises attachées à une politique de sauvegarde**
Vous pouvez utiliser l'une des commandes suivantes pour modifier les balises attachées à une politique de sauvegarde :
+ AWS CLI : [tag-resource](https://docs.aws.amazon.com/cli/latest/reference/organizations/tag-resource.html) et [untag-resource](https://docs.aws.amazon.com/cli/latest/reference/organizations/untag-resource.html)
+ AWS SDKs : [TagResource](https://docs.aws.amazon.com/organizations/latest/APIReference/API_TagResource.html) et [UntagResource](https://docs.aws.amazon.com/organizations/latest/APIReference/API_UntagResource.html)
------
## Modifier les balises associées à une politique en matière de balises
Lorsque vous connectez au compte de gestion de votre organisation, vous pouvez ajouter ou supprimer des balises attachées à une politique de balises. Pour ce faire, exécutez les étapes suivantes.
**Autorisations minimales**
Pour modifier les balises attachées à une politique de balises dans votre organisation , vous devez disposer des autorisations suivantes :
`organizations:DescribeOrganization` (console uniquement — pour accéder à la politique)
`organizations:DescribePolicy` (console uniquement — pour accéder à la politique)
`organizations:TagResource`
`organizations:UntagResource`
------
#### [ AWS Management Console ]
**Pour modifier les balises attachées à une politique de balises**
1. Connectez-vous à la [console AWS Organizations](https://console.aws.amazon.com/organizations/v2). Vous devez vous connecter en tant qu'utilisateur IAM, assumer un rôle IAM ou vous connecter en tant qu'utilisateur racine ([non recommandé](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials)) dans le compte de gestion de l'organisation.
1. Dans la page ****[Politiques de balises](https://console.aws.amazon.com/organizations/v2/home/policies/tag-policy)****, choisissez le nom de la politique à laquelle sont attachées les balises que vous souhaitez modifier.
1. Sur la page de détails de la politique choisie, choisissez l'onglet **Balises**, puis **Gérer les balises**.
1. Vous pouvez effectuer l'une des actions suivantes sur cette page :
+ Modifiez la valeur d'une balise en entrant une nouvelle valeur en remplacement de l'ancienne. Vous ne pouvez pas modifier la clé. Pour changer une clé, vous devez supprimer la balise avec l'ancienne clé et ajouter une balise avec la nouvelle clé.
+ Vous pouvez supprimer une balise existante en choisissant **Supprimer**.
+ Ajoutez une nouvelle paire clé/valeur de balise. Choisissez **Ajouter une balise**, puis entrez le nouveau nom de la clé et éventuellement une valeur dans les champs prévus. Si vous laissez vide le champ **Valeur**, la valeur est une chaîne vide ; elle ne prend pas la valeur `null`.
1. Choisissez **Enregistrer les modifications** une fois que vous avez effectué tous les ajouts, suppressions et modifications que vous souhaitez.
------
#### [ AWS CLI & AWS SDKs ]
**Pour modifier les balises attachées à une politique de balises**
Vous pouvez utiliser l'une des commandes suivantes pour modifier les balises attachées à une politique de balises :
+ AWS CLI : [tag-resource](https://docs.aws.amazon.com/cli/latest/reference/organizations/tag-resource.html) et [untag-resource](https://docs.aws.amazon.com/cli/latest/reference/organizations/untag-resource.html)
+ AWS SDKs : [TagResource](https://docs.aws.amazon.com/organizations/latest/APIReference/API_TagResource.html) et [UntagResource](https://docs.aws.amazon.com/organizations/latest/APIReference/API_UntagResource.html)
------
## Modifier les balises associées à une politique d'applications de chat
Lorsque vous vous connectez au compte de gestion de votre organisation, vous pouvez ajouter ou supprimer les balises associées à une politique d'applications de chat. Pour ce faire, exécutez les étapes suivantes.
**Autorisations minimales**
Pour modifier les balises associées à une politique d'applications de chat dans votre organisation, vous devez disposer des autorisations suivantes :
`organizations:DescribeOrganization` (console uniquement — pour accéder à la politique)
`organizations:DescribePolicy` (console uniquement — pour accéder à la politique)
`organizations:TagResource`
`organizations:UntagResource`
------
#### [ AWS Management Console ]
**Pour modifier les balises associées à la politique d'une application de chat**
1. Connectez-vous à la [console AWS Organizations](https://console.aws.amazon.com/organizations/v2). Vous devez vous connecter en tant qu'utilisateur IAM, assumer un rôle IAM ou vous connecter en tant qu'utilisateur racine ([non recommandé](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials)) dans le compte de gestion de l'organisation.
1. Sur la **page des **[politiques du Chatbot](https://console.aws.amazon.com/organizations/v2/home/policies/chatbot-policy)****, choisissez le nom de la politique avec les balises que vous souhaitez modifier.
1. Sur la page de détails de la politique choisie, choisissez l'onglet **Balises**, puis **Gérer les balises**.
1. Vous pouvez effectuer l'une des actions suivantes sur cette page :
+ Modifiez la valeur d'une balise en entrant une nouvelle valeur en remplacement de l'ancienne. Vous ne pouvez pas modifier la clé. Pour changer une clé, vous devez supprimer la balise avec l'ancienne clé et ajouter une balise avec la nouvelle clé.
+ Vous pouvez supprimer une balise existante en choisissant **Supprimer**.
+ Ajoutez une nouvelle paire clé/valeur de balise. Choisissez **Ajouter une balise**, puis entrez le nouveau nom de la clé et éventuellement une valeur dans les champs prévus. Si vous laissez vide le champ **Valeur**, la valeur est une chaîne vide ; elle ne prend pas la valeur `null`.
1. Choisissez **Enregistrer les modifications** une fois que vous avez effectué tous les ajouts, suppressions et modifications que vous souhaitez.
------
#### [ AWS CLI & AWS SDKs ]
**Pour modifier les balises associées à la politique d'une application de chat**
Vous pouvez utiliser l'une des commandes suivantes pour modifier les balises associées à une politique d'applications de chat :
+ AWS CLI : [tag-resource](https://docs.aws.amazon.com/cli/latest/reference/organizations/tag-resource.html) et [untag-resource](https://docs.aws.amazon.com/cli/latest/reference/organizations/untag-resource.html)
+ AWS SDKs : [TagResource](https://docs.aws.amazon.com/organizations/latest/APIReference/API_TagResource.html) et [UntagResource](https://docs.aws.amazon.com/organizations/latest/APIReference/API_UntagResource.html)
------
## Modifier les balises associées à une politique de désinscription des services d'IA
Lorsque vous vous connectez au compte de gestion de votre organisation, vous pouvez ajouter ou supprimer les balises attachées à une politique de désinscription des services IA. Pour plus d’informations sur le balisage, consultez [Ressources de balisage AWS OrganizationsConsidérations](orgs_tagging.md).
**Autorisations minimales**
Pour modifier les balises attachées à une politique de désactivation des services IA dans votre organisation , vous devez disposer des autorisations suivantes :
`organizations:DescribeOrganization` — requis uniquement si vous utilisez la console Organizations
`organizations:DescribePolicy` — requis uniquement si vous utilisez la console Organizations
`organizations:TagResource`
`organizations:UntagResource`
------
#### [ AWS Management Console ]
**Pour modifier les balises attachées à une politique de désactivation des services IA**
1. Connectez-vous à la [console AWS Organizations](https://console.aws.amazon.com/organizations/v2). Vous devez vous connecter en tant qu'utilisateur IAM, assumer un rôle IAM ou vous connecter en tant qu'utilisateur racine ([non recommandé](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials)) dans le compte de gestion de l'organisation.
1. Dans la page **[Politiques de désactivation des services IA](https://console.aws.amazon.com/organizations/v2/home/policies/aiservices-opt-out-policy)**, choisissez le nom de la politique à laquelle sont attachées les balises que vous souhaitez modifier.
1. Sur la page de détails de la politique choisie, choisissez l'onglet **Balises**, puis **Gérer les balises**.
1. Vous pouvez effectuer l'une des actions suivantes sur cette page :
+ Modifiez la valeur d'une balise en entrant une nouvelle valeur en remplacement de l'ancienne. Vous ne pouvez pas modifier la clé. Pour changer une clé, vous devez supprimer la balise avec l'ancienne clé et ajouter une balise avec la nouvelle clé.
+ Vous pouvez supprimer une balise existante en choisissant **Supprimer**.
+ Ajoutez une nouvelle paire clé/valeur de balise. Choisissez **Ajouter une balise**, puis entrez le nouveau nom de la clé et éventuellement une valeur dans les champs prévus. Si vous laissez vide le champ **Valeur**, la valeur est une chaîne vide ; elle ne prend pas la valeur `null`.
1. Choisissez **Enregistrer les modifications** une fois que vous avez effectué tous les ajouts, suppressions et modifications que vous souhaitez.
------
#### [ AWS CLI & AWS SDKs ]
**Pour modifier les balises attachées à une politique de désactivation des services IA**
Vous pouvez utiliser l'une des commandes suivantes pour modifier les balises attachées à une politique de désactivation des services IA :
+ AWS CLI : [tag-resource](https://docs.aws.amazon.com/cli/latest/reference/organizations/tag-resource.html) et [untag-resource](https://docs.aws.amazon.com/cli/latest/reference/organizations/untag-resource.html)
+ AWS SDKs : [TagResource](https://docs.aws.amazon.com/organizations/latest/APIReference/API_TagResource.html) et [UntagResource](https://docs.aws.amazon.com/organizations/latest/APIReference/API_UntagResource.html)
------
## Modifier les balises associées à une politique Security Hub
Lorsque vous vous connectez au compte de gestion de votre entreprise, vous pouvez ajouter ou supprimer les balises associées à une politique du Security Hub. Pour plus d’informations sur le balisage, consultez [Ressources de balisage AWS OrganizationsConsidérations](orgs_tagging.md).
**Autorisations minimales**
Pour modifier les balises associées à une politique Security Hub dans votre organisation, vous devez disposer des autorisations suivantes :
`organizations:DescribeOrganization` — requis uniquement si vous utilisez la console Organizations
`organizations:DescribePolicy` — requis uniquement si vous utilisez la console Organizations
`organizations:TagResource`
`organizations:UntagResource`
------
#### [ AWS Management Console ]
**Pour modifier les balises associées à une politique du Security Hub**
1. Connectez-vous à la [console AWS Organizations](https://console.aws.amazon.com/organizations/v2). Vous devez vous connecter en tant qu'utilisateur IAM, assumer un rôle IAM ou vous connecter en tant qu'utilisateur racine ([non recommandé](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials)) dans le compte de gestion de l'organisation.
1. Sur la page des **[politiques du Security Hub](https://console.aws.amazon.com/organizations/v2/home/policies/securityhub-policy)**, choisissez le nom de la politique avec les balises que vous souhaitez modifier.
1. Sur la page de détails de la politique choisie, choisissez l'onglet **Balises**, puis **Gérer les balises**.
1. Vous pouvez effectuer l'une des actions suivantes sur cette page :
+ Modifiez la valeur d'une balise en entrant une nouvelle valeur en remplacement de l'ancienne. Vous ne pouvez pas modifier la clé. Pour changer une clé, vous devez supprimer la balise avec l'ancienne clé et ajouter une balise avec la nouvelle clé.
+ Vous pouvez supprimer une balise existante en choisissant **Supprimer**.
+ Ajoutez une nouvelle paire clé/valeur de balise. Choisissez **Ajouter une balise**, puis entrez le nouveau nom de la clé et éventuellement une valeur dans les champs prévus. Si vous laissez vide le champ **Valeur**, la valeur est une chaîne vide ; elle ne prend pas la valeur `null`.
1. Choisissez **Enregistrer les modifications** une fois que vous avez effectué tous les ajouts, suppressions et modifications que vous souhaitez.
------
#### [ AWS CLI & AWS SDKs ]
**Pour modifier les balises associées à une politique du Security Hub**
Vous pouvez utiliser l'une des commandes suivantes pour modifier les balises associées à une politique Security Hub :
+ AWS CLI : [tag-resource](https://docs.aws.amazon.com/cli/latest/reference/organizations/tag-resource.html) et [untag-resource](https://docs.aws.amazon.com/cli/latest/reference/organizations/untag-resource.html)
+ AWS SDKs : [TagResource](https://docs.aws.amazon.com/organizations/latest/APIReference/API_TagResource.html) et [UntagResource](https://docs.aws.amazon.com/organizations/latest/APIReference/API_UntagResource.html)
------
# Joindre les politiques de l'organisation à AWS Organizations
Cette rubrique décrit comment associer des politiques à AWS Organizations. Une *politique* définit les contrôles que vous souhaitez appliquer à un groupe de Comptes AWS.
**Topics**
+ [Joindre des politiques](#attach_policy)
## Joignez des politiques à AWS Organizations
**Autorisations minimales**
Pour associer des politiques, vous devez être autorisé à exécuter l'action suivante :
`organizations:AttachPolicy`
**Autorisations minimales**
Pour associer une politique d'autorisation (SCP ou RCP) à une racine, à une unité d'organisation ou à un compte, vous devez être autorisé à exécuter l'action suivante :
`organizations:AttachPolicy` avec un élément `Resource` dans la même instruction de politique qui inclut « \$1 » ou l'Amazon Resource Name (ARN) de la politique spécifiée et l'ARN de la racine, de l'unité d'organisation ou du compte auquel vous voulez attacher la politique
### AWS Management Console
------
#### [ Service control policies (SCPs) ]
Vous pouvez attacher une politique SCP en accédant à la politique, à la racine, à l'unité d'organisation ou au compte auquel vous souhaitez attacher la politique.
**Pour attacher une SCP en accédant à la racine, à l'unité d'organisation ou au compte**
1. Connectez-vous à la [console AWS Organizations](https://console.aws.amazon.com/organizations/v2). Vous devez vous connecter en tant qu'utilisateur IAM, assumer un rôle IAM ou vous connecter en tant qu'utilisateur racine ([non recommandé](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials)) dans le compte de gestion de l'organisation.
1. Dans la page **[Comptes AWS](https://console.aws.amazon.com/organizations/v2/home/accounts)**, accédez à la case à cocher en regard de la racine, de l'unité d'organisation ou du compte auquel vous souhaitez attacher une SCP, puis activez-la. Vous devrez peut-être développer OUs (choisir le![\[Gray cloud icon representing cloud computing or storage services.\]](http://docs.aws.amazon.com/fr_fr/organizations/latest/userguide/images/console-expand.png)) pour trouver l'unité d'organisation ou le compte de votre choix.
1. Dans l'onglet **Politiques**, dans **Politiques de contrôle des services**, choisissez **Attacher**.
1. Recherchez la politique que vous souhaitez et choisissez **Attacher la politique**.
La liste des pièces jointes dans l' SCPs onglet **Politiques** est mise à jour pour inclure le nouvel ajout. La modification de la politique prend effet immédiatement, affectant les autorisations des utilisateurs et rôles IAM du compte attaché ou de tous les comptes sous la racine ou l'unité d'organisation attachée.
**Pour attacher une SCP en accédant à la politique**
1. Connectez-vous à la [console AWS Organizations](https://console.aws.amazon.com/organizations/v2). Vous devez vous connecter en tant qu'utilisateur IAM, assumer un rôle IAM ou vous connecter en tant qu'utilisateur racine ([non recommandé](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials)) dans le compte de gestion de l'organisation.
1. Dans la page **[Politiques de contrôle des services](https://console.aws.amazon.com/organizations/v2/home/policies/service-control-policy)**, choisissez le nom de la politique que vous souhaitez attacher.
1. Dans l'onglet **Cibles**, choisissez **Attacher**.
1. Choisissez la case d'option en regard de la racine, de l'unité d'organisation ou du compte auquel vous souhaitez attacher la politique. Vous devrez peut-être développer OUs (choisir le![\[Gray cloud icon representing cloud computing or storage services.\]](http://docs.aws.amazon.com/fr_fr/organizations/latest/userguide/images/console-expand.png)) pour trouver l'unité d'organisation ou le compte de votre choix.
1. Choisissez **Attach policy** (Attacher la politique).
La liste des pièces jointes dans l' SCPs onglet **Cibles** est mise à jour pour inclure le nouvel ajout. La modification de la politique prend effet immédiatement, affectant les autorisations des utilisateurs et rôles IAM du compte attaché ou de tous les comptes sous la racine ou l'unité d'organisation attachée.
------
#### [ Resource control policies (RCPs) ]
Vous pouvez associer un RCP soit en accédant à la stratégie, soit en accédant à la racine, à l'unité d'organisation ou au compte auquel vous souhaitez associer la politique.
**Pour associer un RCP en accédant à la racine, à l'unité d'organisation ou au compte**
1. Connectez-vous à la [console AWS Organizations](https://console.aws.amazon.com/organizations/v2). Vous devez vous connecter en tant qu'utilisateur IAM, assumer un rôle IAM ou vous connecter en tant qu'utilisateur racine ([non recommandé](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials)) dans le compte de gestion de l'organisation.
1. Sur la **[Comptes AWS](https://console.aws.amazon.com/organizations/v2/home/accounts)**page, naviguez jusqu'à la racine, l'unité d'organisation ou le compte auquel vous souhaitez associer un RCP, puis cochez la case correspondante. Vous devrez peut-être développer OUs (choisir le![\[Gray cloud icon representing cloud computing or storage services.\]](http://docs.aws.amazon.com/fr_fr/organizations/latest/userguide/images/console-expand.png)) pour trouver l'unité d'organisation ou le compte de votre choix.
1. Dans l'onglet **Politiques**, dans l'entrée relative aux **politiques de contrôle des ressources**, choisissez **Attacher**.
1. Recherchez la politique souhaitée et choisissez **Attacher la politique**.
La liste des pièces jointes dans l' RCPs onglet **Politiques** est mise à jour pour inclure le nouvel ajout. Le changement de politique prend effet immédiatement, affectant les autorisations des ressources du compte rattaché ou de tous les comptes sous la racine ou l'unité d'organisation attachée.
**Pour attacher un RCP en accédant à la politique**
1. Connectez-vous à la [console AWS Organizations](https://console.aws.amazon.com/organizations/v2). Vous devez vous connecter en tant qu'utilisateur IAM, assumer un rôle IAM ou vous connecter en tant qu'utilisateur racine ([non recommandé](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials)) dans le compte de gestion de l'organisation.
1. Sur la page **Stratégie de contrôle des ressources**, choisissez le nom de la stratégie que vous souhaitez associer.
1. Dans l'onglet **Cibles**, choisissez **Attacher**.
1. Choisissez la case d'option en regard de la racine, de l'unité d'organisation ou du compte auquel vous souhaitez attacher la politique. Vous devrez peut-être développer OUs (choisir le![\[Gray cloud icon representing cloud computing or storage services.\]](http://docs.aws.amazon.com/fr_fr/organizations/latest/userguide/images/console-expand.png)) pour trouver l'unité d'organisation ou le compte de votre choix.
1. Choisissez **Attach policy** (Attacher la politique).
La liste des pièces jointes dans l' RCPs onglet **Cibles** est mise à jour pour inclure le nouvel ajout. Le changement de politique prend effet immédiatement, affectant les autorisations des ressources du compte rattaché ou de tous les comptes sous la racine ou l'unité d'organisation attachée.
------
#### [ Declarative policies ]
Vous pouvez associer une politique déclarative soit en accédant à la stratégie, soit en accédant à la racine, à l'unité d'organisation ou au compte auquel vous souhaitez associer la politique.
**Pour associer une politique déclarative en accédant à la racine, à l'unité d'organisation ou au compte**
1. Connectez-vous à la [console AWS Organizations](https://console.aws.amazon.com/organizations/v2). Vous devez vous connecter en tant qu'utilisateur IAM, assumer un rôle IAM ou vous connecter en tant qu'utilisateur racine ([non recommandé](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials)) dans le compte de gestion de l'organisation.
1. Dans la page **[Comptes AWS](https://console.aws.amazon.com/organizations/v2/home/accounts)**, accédez au nom de la racine, de l'unité d'organisation ou du compte auquel vous souhaitez attacher une politique et choisissez ce nom. Vous devrez peut-être développer OUs (choisir le![\[Gray cloud icon representing cloud computing or storage services.\]](http://docs.aws.amazon.com/fr_fr/organizations/latest/userguide/images/console-expand.png)) pour trouver l'unité d'organisation ou le compte de votre choix.
1. Dans l'onglet **Politiques**, dans l'entrée relative aux **politiques déclaratives**, choisissez **Joindre**.
1. Recherchez la politique souhaitée et choisissez **Attacher la politique**.
La liste des politiques déclaratives jointes dans l'onglet **Politiques** est mise à jour pour inclure le nouvel ajout. La modification de la politique prend effet immédiatement.
**Pour joindre une politique déclarative en accédant à la politique**
1. Connectez-vous à la [console AWS Organizations](https://console.aws.amazon.com/organizations/v2). Vous devez vous connecter en tant qu'utilisateur IAM, assumer un rôle IAM ou vous connecter en tant qu'utilisateur racine ([non recommandé](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials)) dans le compte de gestion de l'organisation.
1. Sur la page **[Politiques déclaratives](https://console.aws.amazon.com/organizations/v2/home/policies/declarative-policy-ec2)**, choisissez le nom de la politique que vous souhaitez associer.
1. Dans l'onglet **Cibles**, choisissez **Attacher**.
1. Choisissez la case d'option en regard de la racine, de l'unité d'organisation ou du compte auquel vous souhaitez attacher la politique. Vous devrez peut-être développer OUs (choisir le![\[Gray cloud icon representing cloud computing or storage services.\]](http://docs.aws.amazon.com/fr_fr/organizations/latest/userguide/images/console-expand.png)) pour trouver l'unité d'organisation ou le compte de votre choix.
1. Choisissez **Attach policy** (Attacher la politique).
La liste des politiques déclaratives jointes dans l'onglet **Cibles** est mise à jour pour inclure le nouvel ajout. La modification de la politique prend effet immédiatement.
------
#### [ Backup policies ]
Vous pouvez attacher une politique de sauvegarde en accédant à la politique ou à la racine, à l'unité d'organisation ou au compte auquel vous souhaitez attacher la politique.
**Pour attacher une politique de sauvegarde en accédant à la racine, à l'unité d'organisation ou au compte**
1. Connectez-vous à la [console AWS Organizations](https://console.aws.amazon.com/organizations/v2). Vous devez vous connecter en tant qu'utilisateur IAM, assumer un rôle IAM ou vous connecter en tant qu'utilisateur racine ([non recommandé](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials)) dans le compte de gestion de l'organisation.
1. Dans la page **[Comptes AWS](https://console.aws.amazon.com/organizations/v2/home/accounts)**, accédez au nom de la racine, de l'unité d'organisation ou du compte auquel vous souhaitez attacher une politique et choisissez ce nom. Vous devrez peut-être développer OUs (choisir le![\[Gray cloud icon representing cloud computing or storage services.\]](http://docs.aws.amazon.com/fr_fr/organizations/latest/userguide/images/console-expand.png)) pour trouver l'unité d'organisation ou le compte de votre choix.
1. Dans l'onglet **Politiques**, dans **Politiques de sauvegarde**, choisissez **Attacher**.
1. Recherchez la politique souhaitée et choisissez **Attacher la politique**.
La liste des politiques de sauvegarde attachées sur l'onglet **Politiques** est mise à jour pour inclure le nouvel ajout. La modification de la politique prend effet immédiatement.
**Pour attacher une politique de sauvegarde en accédant à la politique**
1. Connectez-vous à la [console AWS Organizations](https://console.aws.amazon.com/organizations/v2). Vous devez vous connecter en tant qu'utilisateur IAM, assumer un rôle IAM ou vous connecter en tant qu'utilisateur racine ([non recommandé](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials)) dans le compte de gestion de l'organisation.
1. Sur la page **[Politiques de sauvegarde](https://console.aws.amazon.com/organizations/v2/home/policies/backup-policy)**, choisissez le nom de la politique que vous souhaitez attacher.
1. Dans l'onglet **Cibles**, choisissez **Attacher**.
1. Choisissez la case d'option en regard de la racine, de l'unité d'organisation ou du compte auquel vous souhaitez attacher la politique. Vous devrez peut-être développer OUs (choisir le![\[Gray cloud icon representing cloud computing or storage services.\]](http://docs.aws.amazon.com/fr_fr/organizations/latest/userguide/images/console-expand.png)) pour trouver l'unité d'organisation ou le compte de votre choix.
1. Choisissez **Attacher la politique**.
La liste des politiques de sauvegarde attachées sur l'onglet **Cibles** est mise à jour pour inclure le nouvel ajout. La modification de la politique prend effet immédiatement.
------
#### [ Tag policies ]
Vous pouvez attacher une politique de balises en accédant à la politique ou à la racine, à l'unité d'organisation ou au compte auquel vous souhaitez attacher la politique.
**Pour attacher une politique de balises en accédant à la racine, à une unité d'organisation ou à un compte**
1. Connectez-vous à la [console AWS Organizations](https://console.aws.amazon.com/organizations/v2). Vous devez vous connecter en tant qu'utilisateur IAM, assumer un rôle IAM ou vous connecter en tant qu'utilisateur racine ([non recommandé](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials)) dans le compte de gestion de l'organisation.
1. Dans la page **[Comptes AWS](https://console.aws.amazon.com/organizations/v2/home/accounts)**, accédez au nom de la racine, de l'unité d'organisation ou du compte auquel vous souhaitez attacher une politique et choisissez ce nom. Vous devrez peut-être développer OUs (choisir le![\[Gray cloud icon representing cloud computing or storage services.\]](http://docs.aws.amazon.com/fr_fr/organizations/latest/userguide/images/console-expand.png)) pour trouver l'unité d'organisation ou le compte de votre choix.
1. Dans l'onglet **Politiques**, dans **Politiques de balises**, choisissez **Attacher**.
1. Recherchez la politique souhaitée et choisissez **Attacher la politique**.
La liste des politiques de balises attachées sur l'onglet **Politiques** est mise à jour pour inclure le nouvel ajout. La modification de la politique prend effet immédiatement.
**Pour attacher une politique de balises en accédant à la politique**
1. Connectez-vous à la [console AWS Organizations](https://console.aws.amazon.com/organizations/v2). Vous devez vous connecter en tant qu'utilisateur IAM, assumer un rôle IAM ou vous connecter en tant qu'utilisateur racine ([non recommandé](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials)) dans le compte de gestion de l'organisation.
1. Sur la page **[Politiques de balises](https://console.aws.amazon.com/organizations/v2/home/policies/tag-policy)**, choisissez le nom de la politique que vous souhaitez attacher.
1. Dans l'onglet **Cibles**, choisissez **Attacher**.
1. Choisissez la case d'option en regard de la racine, de l'unité d'organisation ou du compte auquel vous souhaitez attacher la politique. Vous devrez peut-être développer OUs (choisir le![\[Gray cloud icon representing cloud computing or storage services.\]](http://docs.aws.amazon.com/fr_fr/organizations/latest/userguide/images/console-expand.png)) pour trouver l'unité d'organisation ou le compte de votre choix.
1. Choisissez **Attacher la politique**.
La liste des politiques de balises attachées sur l'onglet **Cibles** est mise à jour pour inclure le nouvel ajout. La modification de la politique prend effet immédiatement.
------
#### [ Chat applications policies ]
Vous pouvez joindre une politique d'applications de chat soit en accédant à la politique, soit en accédant à la racine, à l'unité d'organisation ou au compte auquel vous souhaitez associer la politique.
**Pour associer une politique d'applications de chat en accédant à la racine, à l'unité d'organisation ou au compte**
1. Connectez-vous à la [console AWS Organizations](https://console.aws.amazon.com/organizations/v2). Vous devez vous connecter en tant qu'utilisateur IAM, assumer un rôle IAM ou vous connecter en tant qu'utilisateur racine ([non recommandé](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials)) dans le compte de gestion de l'organisation.
1. Dans la page **[Comptes AWS](https://console.aws.amazon.com/organizations/v2/home/accounts)**, accédez au nom de la racine, de l'unité d'organisation ou du compte auquel vous souhaitez attacher une politique et choisissez ce nom. Vous devrez peut-être développer OUs (choisir le![\[Gray cloud icon representing cloud computing or storage services.\]](http://docs.aws.amazon.com/fr_fr/organizations/latest/userguide/images/console-expand.png)) pour trouver l'unité d'organisation ou le compte de votre choix.
1. Dans l'onglet **Politiques**, dans l'entrée relative aux **politiques des applications de chat**, choisissez **Joindre**.
1. Recherchez la politique souhaitée et choisissez **Attacher la politique**.
La liste des politiques des applications de chat jointes dans l'onglet **Politiques** est mise à jour pour inclure le nouvel ajout. La modification de la politique prend effet immédiatement.
**Pour joindre une politique d'applications de chat en accédant à la politique**
1. Connectez-vous à la [console AWS Organizations](https://console.aws.amazon.com/organizations/v2). Vous devez vous connecter en tant qu'utilisateur IAM, assumer un rôle IAM ou vous connecter en tant qu'utilisateur racine ([non recommandé](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials)) dans le compte de gestion de l'organisation.
1. Sur la page des **[politiques du Chatbot](https://console.aws.amazon.com/organizations/v2/home/policies/chatbot-policy)**, choisissez le nom de la politique que vous souhaitez associer.
1. Dans l'onglet **Cibles**, choisissez **Attacher**.
1. Choisissez la case d'option en regard de la racine, de l'unité d'organisation ou du compte auquel vous souhaitez attacher la politique. Vous devrez peut-être développer OUs (choisir le![\[Gray cloud icon representing cloud computing or storage services.\]](http://docs.aws.amazon.com/fr_fr/organizations/latest/userguide/images/console-expand.png)) pour trouver l'unité d'organisation ou le compte de votre choix.
1. Choisissez **Attach policy** (Attacher la politique).
La liste des politiques relatives aux applications de chat jointes dans l'onglet **Cibles** est mise à jour pour inclure le nouvel ajout. La modification de la politique prend effet immédiatement.
------
#### [ AI services opt-out policies ]
Vous pouvez attacher une politique de désactivation des services IA en accédant à la politique ou à la racine, à l'unité d'organisation ou au compte auquel vous souhaitez attacher la politique.
**Pour attacher une politique de désactivation des services IA en accédant à la racine, à une unité d'organisation ou à un compte**
1. Connectez-vous à la [console AWS Organizations](https://console.aws.amazon.com/organizations/v2). Vous devez vous connecter en tant qu'utilisateur IAM, assumer un rôle IAM ou vous connecter en tant qu'utilisateur racine ([non recommandé](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials)) dans le compte de gestion de l'organisation.
1. Dans la page **[Comptes AWS](https://console.aws.amazon.com/organizations/v2/home/accounts)**, accédez au nom de la racine, de l'unité d'organisation ou du compte auquel vous souhaitez attacher une politique et choisissez ce nom. Vous devrez peut-être développer OUs (choisir le![\[Gray cloud icon representing cloud computing or storage services.\]](http://docs.aws.amazon.com/fr_fr/organizations/latest/userguide/images/console-expand.png)) pour trouver l'unité d'organisation ou le compte de votre choix.
1. Dans l'onglet **Politiques**, dans **Politiques de désactivation des services IA**, choisissez **Attacher**.
1. Recherchez la politique souhaitée et choisissez **Attacher la politique**.
La liste des politiques de désactivation des services IA attachées sur l'onglet **Politiques** est mise à jour pour inclure le nouvel ajout. La modification de la politique prend effet immédiatement.
**Pour attacher une politique de désactivation des services IA en accédant à la politique**
1. Connectez-vous à la [console AWS Organizations](https://console.aws.amazon.com/organizations/v2). Vous devez vous connecter en tant qu'utilisateur IAM, assumer un rôle IAM ou vous connecter en tant qu'utilisateur racine ([non recommandé](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials)) dans le compte de gestion de l'organisation.
1. Sur la page **[Politiques de désactivation des services IA](https://console.aws.amazon.com/organizations/v2/home/policies/aiservices-opt-out-policy)**, choisissez le nom de la politique que vous souhaitez attacher.
1. Dans l'onglet **Cibles**, choisissez **Attacher**.
1. Choisissez la case d'option en regard de la racine, de l'unité d'organisation ou du compte auquel vous souhaitez attacher la politique. Vous devrez peut-être développer OUs (choisir le![\[Gray cloud icon representing cloud computing or storage services.\]](http://docs.aws.amazon.com/fr_fr/organizations/latest/userguide/images/console-expand.png)) pour trouver l'unité d'organisation ou le compte de votre choix.
1. Choisissez **Attacher la politique**.
La liste des politiques de désactivation des services IA attachées sur l'onglet **Cibles** est mise à jour pour inclure le nouvel ajout. La modification de la politique prend effet immédiatement.
------
#### [ Security Hub policies ]
Vous pouvez associer une politique Security Hub soit en accédant à la politique, soit en accédant à la racine, à l'unité d'organisation ou au compte auquel vous souhaitez associer la politique.
**Pour associer une politique Security Hub en accédant à la racine, à l'unité d'organisation ou au compte**
1. Connectez-vous à la [console AWS Organizations](https://console.aws.amazon.com/organizations/v2). Vous devez vous connecter en tant qu'utilisateur IAM, assumer un rôle IAM ou vous connecter en tant qu'utilisateur racine ([non recommandé](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials)) dans le compte de gestion de l'organisation.
1. Dans la page **[Comptes AWS](https://console.aws.amazon.com/organizations/v2/home/accounts)**, accédez au nom de la racine, de l'unité d'organisation ou du compte auquel vous souhaitez attacher une politique et choisissez ce nom. Vous devrez peut-être développer OUs (choisir le![\[Gray cloud icon representing cloud computing or storage services.\]](http://docs.aws.amazon.com/fr_fr/organizations/latest/userguide/images/console-expand.png)) pour trouver l'unité d'organisation ou le compte de votre choix.
1. Dans l'onglet **Policies**, dans l'entrée relative aux **politiques du Security Hub**, choisissez **Attach**.
1. Recherchez la politique souhaitée et choisissez **Attacher la politique**.
La liste des politiques Security Hub jointes dans l'onglet **Policies** est mise à jour pour inclure le nouvel ajout. La modification de la politique prend effet immédiatement.
**Pour associer une politique Security Hub en accédant à la politique**
1. Connectez-vous à la [console AWS Organizations](https://console.aws.amazon.com/organizations/v2). Vous devez vous connecter en tant qu'utilisateur IAM, assumer un rôle IAM ou vous connecter en tant qu'utilisateur racine ([non recommandé](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials)) dans le compte de gestion de l'organisation.
1. Sur la page des **[politiques du Security Hub](https://console.aws.amazon.com/organizations/v2/home/policies/securityhub-policy)**, choisissez le nom de la politique que vous souhaitez associer.
1. Dans l'onglet **Cibles**, choisissez **Attacher**.
1. Choisissez la case d'option en regard de la racine, de l'unité d'organisation ou du compte auquel vous souhaitez attacher la politique. Vous devrez peut-être développer OUs (choisir le![\[Gray cloud icon representing cloud computing or storage services.\]](http://docs.aws.amazon.com/fr_fr/organizations/latest/userguide/images/console-expand.png)) pour trouver l'unité d'organisation ou le compte de votre choix.
1. Choisissez **Attach policy** (Attacher la politique).
La liste des politiques Security Hub jointes dans l'onglet **Targets** est mise à jour pour inclure le nouvel ajout. La modification de la politique prend effet immédiatement.
------
### AWS CLI & AWS SDKs
**Pour joindre une politique**
Les exemples de code suivants illustrent comment utiliser `AttachPolicy`.
------
#### [ .NET ]
**SDK pour .NET**
Il y en a plus à ce sujet GitHub. Trouvez l’exemple complet et découvrez comment le configurer et l’exécuter dans le [référentiel d’exemples de code AWS](https://github.com/awsdocs/aws-doc-sdk-examples/tree/main/dotnetv3/Organizations#code-examples).
```
using System;
using System.Threading.Tasks;
using Amazon.Organizations;
using Amazon.Organizations.Model;
///
/// Shows how to attach an AWS Organizations policy to an organization,
/// an organizational unit, or an account.
///
public class AttachPolicy
{
///
/// Initializes the Organizations client object and then calls the
/// AttachPolicyAsync method to attach the policy to the root
/// organization.
///
public static async Task Main()
{
IAmazonOrganizations client = new AmazonOrganizationsClient();
var policyId = "p-00000000";
var targetId = "r-0000";
var request = new AttachPolicyRequest
{
PolicyId = policyId,
TargetId = targetId,
};
var response = await client.AttachPolicyAsync(request);
if (response.HttpStatusCode == System.Net.HttpStatusCode.OK)
{
Console.WriteLine($"Successfully attached Policy ID {policyId} to Target ID: {targetId}.");
}
else
{
Console.WriteLine("Was not successful in attaching the policy.");
}
}
}
```
+ Pour plus de détails sur l'API, reportez-vous [AttachPolicy](https://docs.aws.amazon.com/goto/DotNetSDKV3/organizations-2016-11-28/AttachPolicy)à la section *Référence des AWS SDK pour .NET API*.
------
#### [ CLI ]
**AWS CLI**
**Pour attacher une stratégie à une racine, une unité d’organisation ou un compte**
**Exemple 1**
L’exemple suivant montre comment attacher une politique de contrôle des services (SCP) à une unité d’organisation :
```
aws organizations attach-policy
--policy-id p-examplepolicyid111
--target-id ou-examplerootid111-exampleouid111
```
**Exemple 2**
L’exemple suivant montre comment attacher une politique de contrôle des services directement à un compte :
```
aws organizations attach-policy
--policy-id p-examplepolicyid111
--target-id 333333333333
```
+ Pour plus de détails sur l'API, reportez-vous [AttachPolicy](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/organizations/attach-policy.html)à la section *Référence des AWS CLI commandes*.
------
#### [ Python ]
**Kit SDK for Python (Boto3)**
Il y en a plus à ce sujet GitHub. Trouvez l’exemple complet et découvrez comment le configurer et l’exécuter dans le [référentiel d’exemples de code AWS](https://github.com/awsdocs/aws-doc-sdk-examples/tree/main/python/example_code/organizations#code-examples).
```
def attach_policy(policy_id, target_id, orgs_client):
"""
Attaches a policy to a target. The target is an organization root, account, or
organizational unit.
:param policy_id: The ID of the policy to attach.
:param target_id: The ID of the resources to attach the policy to.
:param orgs_client: The Boto3 Organizations client.
"""
try:
orgs_client.attach_policy(PolicyId=policy_id, TargetId=target_id)
logger.info("Attached policy %s to target %s.", policy_id, target_id)
except ClientError:
logger.exception(
"Couldn't attach policy %s to target %s.", policy_id, target_id
)
raise
```
+ Pour plus de détails sur l'API, consultez [AttachPolicy](https://docs.aws.amazon.com/goto/boto3/organizations-2016-11-28/AttachPolicy)le *AWS manuel de référence de l'API SDK for Python (Boto3*).
------
#### [ SAP ABAP ]
**Kit SDK pour SAP ABAP**
Il y en a plus à ce sujet GitHub. Trouvez l’exemple complet et découvrez comment le configurer et l’exécuter dans le [référentiel d’exemples de code AWS](https://github.com/awsdocs/aws-doc-sdk-examples/tree/main/sap-abap/services/org#code-examples).
```
TRY.
lo_org->attachpolicy(
iv_policyid = iv_policy_id
iv_targetid = iv_target_id ).
MESSAGE 'Policy attached to target.' TYPE 'I'.
CATCH /aws1/cx_orgaccessdeniedex.
MESSAGE 'You do not have permission to attach the policy.' TYPE 'E'.
CATCH /aws1/cx_orgpolicynotfoundex.
MESSAGE 'The specified policy does not exist.' TYPE 'E'.
CATCH /aws1/cx_orgtargetnotfoundex.
MESSAGE 'The specified target does not exist.' TYPE 'E'.
CATCH /aws1/cx_orgduplicateplyatta00.
MESSAGE 'The policy is already attached to the target.' TYPE 'E'.
ENDTRY.
```
+ Pour plus de détails sur l'API, reportez-vous [AttachPolicy](https://docs.aws.amazon.com/sdk-for-sap-abap/v1/api/latest/index.html)à la section de référence du *AWS SDK pour l'API SAP ABAP*.
------
La modification de la politique prend effet immédiatement, affectant les autorisations des utilisateurs et rôles IAM du compte attaché ou de tous les comptes sous la racine ou l'unité d'organisation attachée.
# Dissocier les politiques de l'organisation avec AWS Organizations
Cette rubrique décrit comment détacher les politiques avec AWS Organizations. Une *politique* définit les contrôles que vous souhaitez appliquer à un groupe de Comptes AWS.
**Topics**
+ [Politiques de détachement](#detach_policy)
## Détachez les politiques avec AWS Organizations
**Autorisations minimales**
Pour dissocier une politique de la racine, de l'unité d'organisation ou du compte de l'organisation, vous devez être autorisé à exécuter l'action suivante :
`organizations:DetachPolicy`
**Note**
Vous ne pouvez pas dissocier la dernière politique d'autorisation (SCP ou RCP) d'une racine, d'une unité d'organisation ou d'un compte. Au moins un SCP et un RCP doivent être connectés à chaque racine, unité d'organisation et compte à tout moment.
### AWS Management Console
------
#### [ Service control policies (SCPs) ]
Vous pouvez détacher une politique SCP en accédant à la politique ou à la racine, à l'unité d'organisation ou au compte dont vous souhaitez détacher la politique.
**Pour détacher une SCP en accédant à la racine, à l'unité d'organisation ou au compte auquel elle est attachée**
1. Connectez-vous à la [console AWS Organizations](https://console.aws.amazon.com/organizations/v2). Vous devez vous connecter en tant qu'utilisateur IAM, assumer un rôle IAM ou vous connecter en tant qu'utilisateur racine ([non recommandé](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials)) dans le compte de gestion de l'organisation.
1. Dans la page **[Comptes AWS](https://console.aws.amazon.com/organizations/v2/home/accounts)**, accédez à la racine, à l'unité d'organisation ou au compte dont vous souhaitez détacher une politique. Vous devrez peut-être développer OUs (choisir le![\[Gray cloud icon representing cloud computing or storage services.\]](http://docs.aws.amazon.com/fr_fr/organizations/latest/userguide/images/console-expand.png)) pour trouver l'unité d'organisation ou le compte de votre choix. Choisissez le nom de la racine, de l'unité d'organisation ou du compte.
1. Dans l'onglet **Politiques**, choisissez la case d'option en regard de la SCP à détacher, puis choisissez **Détacher**.
1. Dans la boîte de dialogue de confirmation, choisissez **Détacher la politique**.
La liste des pièces jointes SCPs est mise à jour. Le changement de politique provoqué par le détachement de la SCP prend effet immédiatement. Par exemple, détacher une SCP affecte immédiatement les autorisations des utilisateurs et rôles IAM dans le ou les comptes anciennement attachés sous la racine d'organisation ou l'unité d'organisation anciennement attachée.
**Pour détacher une SCP en accédant à la politique**
1. Connectez-vous à la [console AWS Organizations](https://console.aws.amazon.com/organizations/v2). Vous devez vous connecter en tant qu'utilisateur IAM, assumer un rôle IAM ou vous connecter en tant qu'utilisateur racine ([non recommandé](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials)) dans le compte de gestion de l'organisation.
1. Dans la page **[Politiques de contrôle des services](https://console.aws.amazon.com/organizations/v2/home/policies/service-control-policy)**, choisissez le nom de la politique que vous souhaitez détacher d'une racine, d'une unité d'organisation ou d'un compte.
1. Dans la page **Cibles**, choisissez la case d'option en regard de la racine, de l'unité d'organisation ou du compte dont vous souhaitez détacher la politique. Vous devrez peut-être développer OUs (choisir le![\[Gray cloud icon representing cloud computing or storage services.\]](http://docs.aws.amazon.com/fr_fr/organizations/latest/userguide/images/console-expand.png)) pour trouver l'unité d'organisation ou le compte de votre choix.
1. Choisissez **Détacher**.
1. Dans la boîte de dialogue de confirmation, choisissez **Détacher**.
La liste des pièces jointes SCPs est mise à jour. Le changement de politique provoqué par le détachement de la SCP prend effet immédiatement. Par exemple, détacher une SCP affecte immédiatement les autorisations des utilisateurs et rôles IAM dans le ou les comptes anciennement attachés sous la racine d'organisation ou l'unité d'organisation anciennement attachée.
------
#### [ Resource control policies (RCPs) ]
Vous pouvez détacher un RCP soit en accédant à la politique, soit à la racine, à l'unité d'organisation ou au compte duquel vous souhaitez détacher la politique. Une fois que vous avez détaché un RCP d'une entité, ce RCP ne s'applique plus aux ressources affectées par l'entité désormais détachée.
**Note**
**Vous ne pouvez pas détacher la politique `RCPFullAWSAccess`**
La `RCPFullAWSAccess` politique est automatiquement attachée à la racine, à chaque unité d'organisation et à chaque compte de votre organisation. Vous ne pouvez pas dissocier cette politique.
**Pour détacher un RCP en accédant à la racine, à l'unité d'organisation ou au compte auquel il est attaché**
1. Connectez-vous à la [console AWS Organizations](https://console.aws.amazon.com/organizations/v2). Vous devez vous connecter en tant qu'utilisateur IAM, assumer un rôle IAM ou vous connecter en tant qu'utilisateur racine ([non recommandé](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials)) dans le compte de gestion de l'organisation.
1. Dans la page **[Comptes AWS](https://console.aws.amazon.com/organizations/v2/home/accounts)**, accédez à la racine, à l'unité d'organisation ou au compte dont vous souhaitez détacher une politique. Vous devrez peut-être développer OUs (choisir le![\[Gray cloud icon representing cloud computing or storage services.\]](http://docs.aws.amazon.com/fr_fr/organizations/latest/userguide/images/console-expand.png)) pour trouver l'unité d'organisation ou le compte de votre choix. Choisissez le nom de la racine, de l'unité d'organisation ou du compte.
1. **Dans l'onglet **Politiques**, cliquez sur le bouton radio à côté du RCP que vous souhaitez détacher, puis choisissez Détacher.**
1. Dans la boîte de dialogue de confirmation, choisissez **Détacher la politique**.
La liste des pièces jointes RCPs est mise à jour. Le changement de politique provoqué par le détachement du RCP prend effet immédiatement. Par exemple, le détachement d'un RCP affecte immédiatement les autorisations des utilisateurs et des rôles IAM dans le compte ou les comptes relevant de l'organisation racine ou de l'unité d'organisation précédemment attachée.
**Pour détacher un RCP en accédant à la politique**
1. Connectez-vous à la [console AWS Organizations](https://console.aws.amazon.com/organizations/v2). Vous devez vous connecter en tant qu'utilisateur IAM, assumer un rôle IAM ou vous connecter en tant qu'utilisateur racine ([non recommandé](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials)) dans le compte de gestion de l'organisation.
1. Sur la page **Stratégie de contrôle des ressources**, choisissez le nom de la politique que vous souhaitez dissocier d'une racine, d'une unité d'organisation ou d'un compte.
1. Dans la page **Cibles**, choisissez la case d'option en regard de la racine, de l'unité d'organisation ou du compte dont vous souhaitez détacher la politique. Vous devrez peut-être développer OUs (choisir le![\[Gray cloud icon representing cloud computing or storage services.\]](http://docs.aws.amazon.com/fr_fr/organizations/latest/userguide/images/console-expand.png)) pour trouver l'unité d'organisation ou le compte de votre choix.
1. Choisissez **Détacher**.
1. Dans la boîte de dialogue de confirmation, choisissez **Détacher**.
La liste des pièces jointes RCPs est mise à jour. Le changement de politique provoqué par le détachement du RCP prend effet immédiatement. Par exemple, le détachement d'un RCP affecte immédiatement les autorisations des utilisateurs et des rôles IAM dans le compte ou les comptes relevant de l'organisation racine ou de l'unité d'organisation précédemment attachée.
------
#### [ Declarative policies ]
Vous pouvez détacher une politique déclarative en accédant à la stratégie ou à la racine, à l'unité d'organisation ou au compte dont vous souhaitez la détacher.
**Pour détacher une politique déclarative en accédant à la racine, à l'unité d'organisation ou au compte auquel elle est attachée**
1. Connectez-vous à la [console AWS Organizations](https://console.aws.amazon.com/organizations/v2). Vous devez vous connecter en tant qu'utilisateur IAM, assumer un rôle IAM ou vous connecter en tant qu'utilisateur racine ([non recommandé](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials)) dans le compte de gestion de l'organisation.
1. Dans la page **[Comptes AWS](https://console.aws.amazon.com/organizations/v2/home/accounts)**, accédez à la racine, à l'unité d'organisation ou au compte dont vous souhaitez détacher une politique. Vous devrez peut-être développer OUs (choisir le![\[Gray cloud icon representing cloud computing or storage services.\]](http://docs.aws.amazon.com/fr_fr/organizations/latest/userguide/images/console-expand.png)) pour trouver l'unité d'organisation ou le compte de votre choix. Choisissez le nom de la racine, de l'unité d'organisation ou du compte.
1. **Dans l'onglet **Politiques**, cliquez sur le bouton radio à côté de la politique déclarative que vous souhaitez détacher, puis choisissez Détacher.**
1. Dans la boîte de dialogue de confirmation, choisissez **Détacher la politique**.
La liste des politiques déclaratives jointes est mise à jour. La modification de la politique prend effet immédiatement.
**Pour détacher une politique déclarative en accédant à la politique**
1. Connectez-vous à la [console AWS Organizations](https://console.aws.amazon.com/organizations/v2). Vous devez vous connecter en tant qu'utilisateur IAM, assumer un rôle IAM ou vous connecter en tant qu'utilisateur racine ([non recommandé](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials)) dans le compte de gestion de l'organisation.
1. Sur la page **[Politiques déclaratives](https://console.aws.amazon.com/organizations/v2/home/policies/declarative-policy-ec2)**, choisissez le nom de la politique que vous souhaitez dissocier d'une racine, d'une unité d'organisation ou d'un compte.
1. Dans la page **Cibles**, choisissez la case d'option en regard de la racine, de l'unité d'organisation ou du compte dont vous souhaitez détacher la politique. Vous devrez peut-être développer OUs (choisir le![\[Gray cloud icon representing cloud computing or storage services.\]](http://docs.aws.amazon.com/fr_fr/organizations/latest/userguide/images/console-expand.png)) pour trouver l'unité d'organisation ou le compte de votre choix.
1. Choisissez **Détacher**.
1. Dans la boîte de dialogue de confirmation, choisissez **Détacher**.
La liste des politiques déclaratives jointes est mise à jour. La modification de la politique prend effet immédiatement.
------
#### [ Backup policies ]
Vous pouvez détacher une politique de sauvegarde en accédant à la politique ou à la racine, à l'unité d'organisation ou au compte dont vous souhaitez détacher la politique.
**Pour détacher une politique de sauvegarde en accédant à la racine, à l'unité d'organisation ou au compte auquel elle est attachée**
1. Connectez-vous à la [console AWS Organizations](https://console.aws.amazon.com/organizations/v2). Vous devez vous connecter en tant qu'utilisateur IAM, assumer un rôle IAM ou vous connecter en tant qu'utilisateur racine ([non recommandé](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials)) dans le compte de gestion de l'organisation.
1. Dans la page **[Comptes AWS](https://console.aws.amazon.com/organizations/v2/home/accounts)**, accédez à la racine, à l'unité d'organisation ou au compte dont vous souhaitez détacher une politique. Vous devrez peut-être développer OUs (choisir le![\[Gray cloud icon representing cloud computing or storage services.\]](http://docs.aws.amazon.com/fr_fr/organizations/latest/userguide/images/console-expand.png)) pour trouver l'unité d'organisation ou le compte de votre choix. Choisissez le nom de la racine, de l'unité d'organisation ou du compte.
1. Dans l'onglet **Politiques**, choisissez la case d'option en regard de la politique de sauvegarde à détacher, puis choisissez **Détacher**.
1. Dans la boîte de dialogue de confirmation, choisissez **Détacher la politique**.
La liste des politiques de sauvegarde attachées est mise à jour. La modification de la politique prend effet immédiatement.
**Pour détacher une politique de sauvegarde en accédant à la politique**
1. Connectez-vous à la [console AWS Organizations](https://console.aws.amazon.com/organizations/v2). Vous devez vous connecter en tant qu'utilisateur IAM, assumer un rôle IAM ou vous connecter en tant qu'utilisateur racine ([non recommandé](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials)) dans le compte de gestion de l'organisation.
1. Dans la page **[Politiques de sauvegarde](https://console.aws.amazon.com/organizations/v2/home/policies/backup-policy)**, choisissez le nom de la politique que vous souhaitez détacher d'une racine, d'une unité d'organisation ou d'un compte.
1. Dans la page **Cibles**, choisissez la case d'option en regard de la racine, de l'unité d'organisation ou du compte dont vous souhaitez détacher la politique. Vous devrez peut-être développer OUs (choisir le![\[Gray cloud icon representing cloud computing or storage services.\]](http://docs.aws.amazon.com/fr_fr/organizations/latest/userguide/images/console-expand.png)) pour trouver l'unité d'organisation ou le compte de votre choix.
1. Choisissez **Détacher**.
1. Dans la boîte de dialogue de confirmation, choisissez **Détacher**.
La liste des politiques de sauvegarde attachées est mise à jour. La modification de la politique prend effet immédiatement.
------
#### [ Tag policies ]
Vous pouvez détacher une politique de balises en accédant à la politique ou à la racine, à l'unité d'organisation ou au compte dont vous souhaitez détacher la politique.
**Pour détacher une politique de balises en accédant à la racine, à l'unité d'organisation ou au compte auquel elle est attachée**
1. Connectez-vous à la [console AWS Organizations](https://console.aws.amazon.com/organizations/v2). Vous devez vous connecter en tant qu'utilisateur IAM, assumer un rôle IAM ou vous connecter en tant qu'utilisateur racine ([non recommandé](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials)) dans le compte de gestion de l'organisation.
1. Dans la page **[Comptes AWS](https://console.aws.amazon.com/organizations/v2/home/accounts)**, accédez à la racine, à l'unité d'organisation ou au compte dont vous souhaitez détacher une politique. Vous devrez peut-être développer OUs (choisir le![\[Gray cloud icon representing cloud computing or storage services.\]](http://docs.aws.amazon.com/fr_fr/organizations/latest/userguide/images/console-expand.png)) pour trouver l'unité d'organisation ou le compte de votre choix. Choisissez le nom de la racine, de l'unité d'organisation ou du compte.
1. Dans l'onglet **Politiques**, choisissez la case d'option en regard de la politique de balises à détacher, puis choisissez **Détacher**.
1. Dans la boîte de dialogue de confirmation, choisissez **Détacher la politique**.
La liste des politiques de balises attachées est mise à jour. La modification de la politique prend effet immédiatement.
**Pour détacher une politique de balises en accédant à la politique**
1. Connectez-vous à la [console AWS Organizations](https://console.aws.amazon.com/organizations/v2). Vous devez vous connecter en tant qu'utilisateur IAM, assumer un rôle IAM ou vous connecter en tant qu'utilisateur racine ([non recommandé](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials)) dans le compte de gestion de l'organisation.
1. Dans la page **[Politiques de balises](https://console.aws.amazon.com/organizations/v2/home/policies/tag-policy)**, choisissez le nom de la politique que vous souhaitez détacher d'une racine, d'une unité d'organisation ou d'un compte.
1. Dans la page **Cibles**, choisissez la case d'option en regard de la racine, de l'unité d'organisation ou du compte dont vous souhaitez détacher la politique. Vous devrez peut-être développer OUs (choisir le![\[Gray cloud icon representing cloud computing or storage services.\]](http://docs.aws.amazon.com/fr_fr/organizations/latest/userguide/images/console-expand.png)) pour trouver l'unité d'organisation ou le compte de votre choix.
1. Choisissez **Détacher**.
1. Dans la boîte de dialogue de confirmation, choisissez **Détacher**.
La liste des politiques de balises attachées est mise à jour. La modification de la politique prend effet immédiatement.
------
#### [ Chat applications policies ]
Vous pouvez détacher une politique d'applications de chat soit en accédant à la politique, soit en accédant à la racine, à l'unité d'organisation ou au compte dont vous souhaitez détacher la politique.
**Pour détacher la politique d'une application de chat en accédant à la racine, à l'unité d'organisation ou au compte auquel elle est attachée**
1. Connectez-vous à la [console AWS Organizations](https://console.aws.amazon.com/organizations/v2). Vous devez vous connecter en tant qu'utilisateur IAM, assumer un rôle IAM ou vous connecter en tant qu'utilisateur racine ([non recommandé](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials)) dans le compte de gestion de l'organisation.
1. Dans la page **[Comptes AWS](https://console.aws.amazon.com/organizations/v2/home/accounts)**, accédez à la racine, à l'unité d'organisation ou au compte dont vous souhaitez détacher une politique. Vous devrez peut-être développer OUs (choisir le![\[Gray cloud icon representing cloud computing or storage services.\]](http://docs.aws.amazon.com/fr_fr/organizations/latest/userguide/images/console-expand.png)) pour trouver l'unité d'organisation ou le compte de votre choix. Choisissez le nom de la racine, de l'unité d'organisation ou du compte.
1. Dans l'onglet **Politiques**, cliquez sur le bouton radio à côté de la politique des applications de chat que vous souhaitez détacher, puis choisissez **Détacher**.
1. Dans la boîte de dialogue de confirmation, choisissez **Détacher la politique**.
La liste des politiques relatives aux applications de chat jointes est mise à jour. La modification de la politique prend effet immédiatement.
**Pour détacher une politique d'applications de chat en accédant à la politique**
1. Connectez-vous à la [console AWS Organizations](https://console.aws.amazon.com/organizations/v2). Vous devez vous connecter en tant qu'utilisateur IAM, assumer un rôle IAM ou vous connecter en tant qu'utilisateur racine ([non recommandé](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials)) dans le compte de gestion de l'organisation.
1. Sur la page des **[politiques du Chatbot](https://console.aws.amazon.com/organizations/v2/home/policies/chatbot-policy)**, choisissez le nom de la politique que vous souhaitez dissocier d'un root, d'une unité d'organisation ou d'un compte.
1. Dans la page **Cibles**, choisissez la case d'option en regard de la racine, de l'unité d'organisation ou du compte dont vous souhaitez détacher la politique. Vous devrez peut-être développer OUs (choisir le![\[Gray cloud icon representing cloud computing or storage services.\]](http://docs.aws.amazon.com/fr_fr/organizations/latest/userguide/images/console-expand.png)) pour trouver l'unité d'organisation ou le compte de votre choix.
1. Choisissez **Détacher**.
1. Dans la boîte de dialogue de confirmation, choisissez **Détacher**.
La liste des politiques relatives aux applications de chat jointes est mise à jour. La modification de la politique prend effet immédiatement.
------
#### [ AI services opt-out policies ]
Vous pouvez détacher une politique de désactivation des services IA en accédant à la politique ou à la racine, à l'unité d'organisation ou au compte dont vous souhaitez détacher la politique.
**Pour détacher une politique de désactivation des services IA en accédant à la racine, à l'unité d'organisation ou au compte auquel elle est attachée**
1. Connectez-vous à la [console AWS Organizations](https://console.aws.amazon.com/organizations/v2). Vous devez vous connecter en tant qu'utilisateur IAM, assumer un rôle IAM ou vous connecter en tant qu'utilisateur racine ([non recommandé](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials)) dans le compte de gestion de l'organisation.
1. Dans la page **[Comptes AWS](https://console.aws.amazon.com/organizations/v2/home/accounts)**, accédez à la racine, à l'unité d'organisation ou au compte dont vous souhaitez détacher une politique. Vous devrez peut-être développer OUs (choisir le![\[Gray cloud icon representing cloud computing or storage services.\]](http://docs.aws.amazon.com/fr_fr/organizations/latest/userguide/images/console-expand.png)) pour trouver l'unité d'organisation ou le compte de votre choix. Choisissez le nom de la racine, de l'unité d'organisation ou du compte.
1. Dans l'onglet **Politiques**, choisissez la case d'option en regard de la politique de désactivation des services IA à détacher, puis choisissez **Détacher**.
1. Dans la boîte de dialogue de confirmation, choisissez **Détacher la politique**.
La liste des politiques de désactivation des services IA attachées est mise à jour. La modification de la politique prend effet immédiatement.
**Pour détacher une politique de désactivation des services IA en accédant à la politique**
1. Connectez-vous à la [console AWS Organizations](https://console.aws.amazon.com/organizations/v2). Vous devez vous connecter en tant qu'utilisateur IAM, assumer un rôle IAM ou vous connecter en tant qu'utilisateur racine ([non recommandé](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials)) dans le compte de gestion de l'organisation.
1. Dans la page **[Politiques de désactivation des services IA](https://console.aws.amazon.com/organizations/v2/home/policies/aiservices-opt-out-policy)**, choisissez le nom de la politique que vous souhaitez détacher d'une racine, d'une unité d'organisation ou d'un compte.
1. Dans la page **Cibles**, choisissez la case d'option en regard de la racine, de l'unité d'organisation ou du compte dont vous souhaitez détacher la politique. Vous devrez peut-être développer OUs (choisir le![\[Gray cloud icon representing cloud computing or storage services.\]](http://docs.aws.amazon.com/fr_fr/organizations/latest/userguide/images/console-expand.png)) pour trouver l'unité d'organisation ou le compte de votre choix.
1. Choisissez **Détacher**.
1. Dans la boîte de dialogue de confirmation, choisissez **Détacher**.
La liste des politiques de désactivation des services IA joints est mise à jour. La modification de la politique prend effet immédiatement.
------
#### [ Security Hub policies ]
Vous pouvez détacher une politique Security Hub soit en accédant à la politique, soit à la racine, à l'unité d'organisation ou au compte dont vous souhaitez détacher la politique.
**Pour détacher une politique Security Hub en accédant à la racine, à l'unité d'organisation ou au compte auquel elle est attachée**
1. Connectez-vous à la [console AWS Organizations](https://console.aws.amazon.com/organizations/v2). Vous devez vous connecter en tant qu'utilisateur IAM, assumer un rôle IAM ou vous connecter en tant qu'utilisateur racine ([non recommandé](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials)) dans le compte de gestion de l'organisation.
1. Dans la page **[Comptes AWS](https://console.aws.amazon.com/organizations/v2/home/accounts)**, accédez à la racine, à l'unité d'organisation ou au compte dont vous souhaitez détacher une politique. Vous devrez peut-être développer OUs (choisir le![\[Gray cloud icon representing cloud computing or storage services.\]](http://docs.aws.amazon.com/fr_fr/organizations/latest/userguide/images/console-expand.png)) pour trouver l'unité d'organisation ou le compte de votre choix. Choisissez le nom de la racine, de l'unité d'organisation ou du compte.
1. Dans l'onglet **Policies**, cliquez sur le bouton radio à côté de la politique Security Hub que vous souhaitez détacher, puis choisissez **Detach**.
1. Dans la boîte de dialogue de confirmation, choisissez **Détacher la politique**.
La liste des politiques Security Hub jointes est mise à jour. La modification de la politique prend effet immédiatement.
**Pour détacher une politique Security Hub en accédant à la politique**
1. Connectez-vous à la [console AWS Organizations](https://console.aws.amazon.com/organizations/v2). Vous devez vous connecter en tant qu'utilisateur IAM, assumer un rôle IAM ou vous connecter en tant qu'utilisateur racine ([non recommandé](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials)) dans le compte de gestion de l'organisation.
1. Sur la page des **[politiques du Security Hub](https://console.aws.amazon.com/organizations/v2/home/policies/securityhub-policy)**, choisissez le nom de la politique que vous souhaitez dissocier d'une racine, d'une unité d'organisation ou d'un compte.
1. Dans la page **Cibles**, choisissez la case d'option en regard de la racine, de l'unité d'organisation ou du compte dont vous souhaitez détacher la politique. Vous devrez peut-être développer OUs (choisir le![\[Gray cloud icon representing cloud computing or storage services.\]](http://docs.aws.amazon.com/fr_fr/organizations/latest/userguide/images/console-expand.png)) pour trouver l'unité d'organisation ou le compte de votre choix.
1. Choisissez **Détacher**.
1. Dans la boîte de dialogue de confirmation, choisissez **Détacher**.
La liste des politiques Security Hub jointes est mise à jour. La modification de la politique prend effet immédiatement.
------
### AWS CLI & AWS SDKs
**Pour joindre une politique**
Les exemples de code suivants illustrent comment utiliser `DetachPolicy`.
------
#### [ .NET ]
**SDK pour .NET**
Il y en a plus à ce sujet GitHub. Trouvez l’exemple complet et découvrez comment le configurer et l’exécuter dans le [référentiel d’exemples de code AWS](https://github.com/awsdocs/aws-doc-sdk-examples/tree/main/dotnetv3/Organizations#code-examples).
```
using System;
using System.Threading.Tasks;
using Amazon.Organizations;
using Amazon.Organizations.Model;
///
/// Shows how to detach a policy from an AWS Organizations organization,
/// organizational unit, or account.
///
public class DetachPolicy
{
///
/// Initializes the Organizations client object and uses it to call
/// DetachPolicyAsync to detach the policy.
///
public static async Task Main()
{
// Create the client object using the default account.
IAmazonOrganizations client = new AmazonOrganizationsClient();
var policyId = "p-00000000";
var targetId = "r-0000";
var request = new DetachPolicyRequest
{
PolicyId = policyId,
TargetId = targetId,
};
var response = await client.DetachPolicyAsync(request);
if (response.HttpStatusCode == System.Net.HttpStatusCode.OK)
{
Console.WriteLine($"Successfully detached policy with Policy Id: {policyId}.");
}
else
{
Console.WriteLine("Could not detach the policy.");
}
}
}
```
+ Pour plus de détails sur l'API, reportez-vous [DetachPolicy](https://docs.aws.amazon.com/goto/DotNetSDKV3/organizations-2016-11-28/DetachPolicy)à la section *Référence des AWS SDK pour .NET API*.
------
#### [ CLI ]
**AWS CLI**
**Pour détacher une stratégie d’une racine, d’une unité d’organisation ou d’un compte**
L’exemple suivant indique comment détacher une politique d’une unité d’organisation :
```
aws organizations detach-policy --target-id ou-examplerootid111-exampleouid111 --policy-id p-examplepolicyid111
```
+ Pour plus de détails sur l'API, reportez-vous [DetachPolicy](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/organizations/detach-policy.html)à la section *Référence des AWS CLI commandes*.
------
#### [ Python ]
**Kit SDK for Python (Boto3)**
Il y en a plus à ce sujet GitHub. Trouvez l’exemple complet et découvrez comment le configurer et l’exécuter dans le [référentiel d’exemples de code AWS](https://github.com/awsdocs/aws-doc-sdk-examples/tree/main/python/example_code/organizations#code-examples).
```
def detach_policy(policy_id, target_id, orgs_client):
"""
Detaches a policy from a target.
:param policy_id: The ID of the policy to detach.
:param target_id: The ID of the resource where the policy is currently attached.
:param orgs_client: The Boto3 Organizations client.
"""
try:
orgs_client.detach_policy(PolicyId=policy_id, TargetId=target_id)
logger.info("Detached policy %s from target %s.", policy_id, target_id)
except ClientError:
logger.exception(
"Couldn't detach policy %s from target %s.", policy_id, target_id
)
raise
```
+ Pour plus de détails sur l'API, consultez [DetachPolicy](https://docs.aws.amazon.com/goto/boto3/organizations-2016-11-28/DetachPolicy)le *AWS manuel de référence de l'API SDK for Python (Boto3*).
------
#### [ SAP ABAP ]
**Kit SDK pour SAP ABAP**
Il y en a plus à ce sujet GitHub. Trouvez l’exemple complet et découvrez comment le configurer et l’exécuter dans le [référentiel d’exemples de code AWS](https://github.com/awsdocs/aws-doc-sdk-examples/tree/main/sap-abap/services/org#code-examples).
```
TRY.
lo_org->detachpolicy(
iv_policyid = iv_policy_id
iv_targetid = iv_target_id ).
MESSAGE 'Policy detached from target.' TYPE 'I'.
CATCH /aws1/cx_orgaccessdeniedex.
MESSAGE 'You do not have permission to detach the policy.' TYPE 'E'.
CATCH /aws1/cx_orgpolicynotfoundex.
MESSAGE 'The specified policy does not exist.' TYPE 'E'.
CATCH /aws1/cx_orgtargetnotfoundex.
MESSAGE 'The specified target does not exist.' TYPE 'E'.
CATCH /aws1/cx_orgpolicynotattex.
MESSAGE 'The policy is not attached to the target.' TYPE 'E'.
ENDTRY.
```
+ Pour plus de détails sur l'API, reportez-vous [DetachPolicy](https://docs.aws.amazon.com/sdk-for-sap-abap/v1/api/latest/index.html)à la section de référence du *AWS SDK pour l'API SAP ABAP*.
------
Le changement de politique prend effet immédiatement, affectant les autorisations des utilisateurs IAM, les rôles et les ressources, le cas échéant, dans le compte attaché ou sur tous les comptes relevant de la racine ou de l'unité d'organisation attachée.
# Obtenir des informations sur les politiques de votre organisation
Cette rubrique décrit les différentes méthodes permettant d'obtenir des informations détaillées sur les politiques de votre organisation. Ces procédures s'appliquent à *tous* les types de politiques. Vous devez activer un type de politique sur la racine de l'organisation avant de pouvoir attacher des politiques de ce type à des entités de cette racine d'organisation.
**Topics**
+ [Liste de toutes les politiques](#list-all-pols-in-org)
+ [Liste des politiques attachées](#list-all-pols-in-entity)
+ [Liste de tous les attachements](#list-all-entities-attached-to-pol)
+ [Obtention de détails sur une politique](#get-details-about-pol)
## Liste de toutes les politiques
**Autorisations minimales**
Pour répertorier les politiques au sein de votre organisation, vous devez disposer de l'autorisation suivante :
`organizations:ListPolicies`
Vous pouvez consulter les politiques de votre organisation dans AWS Management Console ou à l'aide d'une commande AWS Command Line Interface (AWS CLI) ou d'une opération du AWS SDK.
### AWS Management Console
**Pour répertorier toutes les politiques votre organisation**
1. Connectez-vous à la [console AWS Organizations](https://console.aws.amazon.com/organizations/v2). Vous devez vous connecter en tant qu'utilisateur IAM, assumer un rôle IAM ou vous connecter en tant qu'utilisateur racine ([non recommandé](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials)) dans le compte de gestion de l'organisation.
1. Sur la page **[Politiques](https://console.aws.amazon.com/organizations/v2/home/policies)**, choisissez le type de politique que vous souhaitez répertorier.
Si le type de politique spécifié est activé, la console affiche la liste de toutes les politiques de ce type actuellement disponibles dans l'organisation.
1. Retournez à la page **[Politiques](https://console.aws.amazon.com/organizations/v2/home/policies)** et répétez la procédure pour chaque type de politique.
### AWS CLI & AWS SDKs
Les exemples de code suivants illustrent comment utiliser `ListPolicies`.
------
#### [ .NET ]
**SDK pour .NET**
Il y en a plus à ce sujet GitHub. Trouvez l’exemple complet et découvrez comment le configurer et l’exécuter dans le [référentiel d’exemples de code AWS](https://github.com/awsdocs/aws-doc-sdk-examples/tree/main/dotnetv3/Organizations#code-examples).
```
using System;
using System.Threading.Tasks;
using Amazon.Organizations;
using Amazon.Organizations.Model;
///
/// Shows how to list the AWS Organizations policies associated with an
/// organization.
///
public class ListPolicies
{
///
/// Initializes an Organizations client object, and then calls its
/// ListPoliciesAsync method.
///
public static async Task Main()
{
// Create the client object using the default account.
IAmazonOrganizations client = new AmazonOrganizationsClient();
// The value for the Filter parameter is required and must must be
// one of the following:
// AISERVICES_OPT_OUT_POLICY
// BACKUP_POLICY
// SERVICE_CONTROL_POLICY
// TAG_POLICY
var request = new ListPoliciesRequest
{
Filter = "SERVICE_CONTROL_POLICY",
MaxResults = 5,
};
var response = new ListPoliciesResponse();
try
{
do
{
response = await client.ListPoliciesAsync(request);
response.Policies.ForEach(p => DisplayPolicies(p));
if (response.NextToken is not null)
{
request.NextToken = response.NextToken;
}
}
while (response.NextToken is not null);
}
catch (AWSOrganizationsNotInUseException ex)
{
Console.WriteLine(ex.Message);
}
}
///
/// Displays information about the Organizations policies associated
/// with an organization.
///
/// An Organizations policy summary to display
/// information on the console.
private static void DisplayPolicies(PolicySummary policy)
{
string policyInfo = $"{policy.Id} {policy.Name}\t{policy.Description}";
Console.WriteLine(policyInfo);
}
}
```
+ Pour plus de détails sur l'API, reportez-vous [ListPolicies](https://docs.aws.amazon.com/goto/DotNetSDKV3/organizations-2016-11-28/ListPolicies)à la section *Référence des AWS SDK pour .NET API*.
------
#### [ CLI ]
**AWS CLI**
**Pour extraire une liste de toutes les politiques d’une organisation d’un certain type**
L'exemple suivant montre comment obtenir une liste de SCPs, comme indiqué par le paramètre de filtre :
```
aws organizations list-policies --filter SERVICE_CONTROL_POLICY
```
La sortie inclut une liste des politiques avec des informations récapitulatives :
```
{
"Policies": [
{
"Type": "SERVICE_CONTROL_POLICY",
"Name": "AllowAllS3Actions",
"AwsManaged": false,
"Id": "p-examplepolicyid111",
"Arn": "arn:aws:organizations::111111111111:policy/service_control_policy/p-examplepolicyid111",
"Description": "Enables account admins to delegate permissions for any S3 actions to users and roles in their accounts."
},
{
"Type": "SERVICE_CONTROL_POLICY",
"Name": "AllowAllEC2Actions",
"AwsManaged": false,
"Id": "p-examplepolicyid222",
"Arn": "arn:aws:organizations::111111111111:policy/service_control_policy/p-examplepolicyid222",
"Description": "Enables account admins to delegate permissions for any EC2 actions to users and roles in their accounts."
},
{
"AwsManaged": true,
"Description": "Allows access to every operation",
"Type": "SERVICE_CONTROL_POLICY",
"Id": "p-FullAWSAccess",
"Arn": "arn:aws:organizations::aws:policy/service_control_policy/p-FullAWSAccess",
"Name": "FullAWSAccess"
}
]
}
```
+ Pour plus de détails sur l'API, reportez-vous [ListPolicies](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/organizations/list-policies.html)à la section *Référence des AWS CLI commandes*.
------
#### [ Python ]
**Kit SDK for Python (Boto3)**
Il y en a plus à ce sujet GitHub. Trouvez l’exemple complet et découvrez comment le configurer et l’exécuter dans le [référentiel d’exemples de code AWS](https://github.com/awsdocs/aws-doc-sdk-examples/tree/main/python/example_code/organizations#code-examples).
```
def list_policies(policy_filter, orgs_client):
"""
Lists the policies for the account, limited to the specified filter.
:param policy_filter: The kind of policies to return.
:param orgs_client: The Boto3 Organizations client.
:return: The list of policies found.
"""
try:
response = orgs_client.list_policies(Filter=policy_filter)
policies = response["Policies"]
logger.info("Found %s %s policies.", len(policies), policy_filter)
except ClientError:
logger.exception("Couldn't get %s policies.", policy_filter)
raise
else:
return policies
```
+ Pour plus de détails sur l'API, consultez [ListPolicies](https://docs.aws.amazon.com/goto/boto3/organizations-2016-11-28/ListPolicies)le *AWS manuel de référence de l'API SDK for Python (Boto3*).
------
#### [ SAP ABAP ]
**Kit SDK pour SAP ABAP**
Il y en a plus à ce sujet GitHub. Trouvez l’exemple complet et découvrez comment le configurer et l’exécuter dans le [référentiel d’exemples de code AWS](https://github.com/awsdocs/aws-doc-sdk-examples/tree/main/sap-abap/services/org#code-examples).
```
TRY.
oo_result = lo_org->listpolicies( " oo_result is returned for testing purposes. "
iv_filter = iv_filter ).
DATA(lt_policies) = oo_result->get_policies( ).
MESSAGE 'Retrieved list of policies.' TYPE 'I'.
CATCH /aws1/cx_orgaccessdeniedex.
MESSAGE 'You do not have permission to list policies.' TYPE 'E'.
CATCH /aws1/cx_orgawsorgsnotinuseex.
MESSAGE 'Your account is not a member of an organization.' TYPE 'E'.
ENDTRY.
```
+ Pour plus de détails sur l'API, reportez-vous [ListPolicies](https://docs.aws.amazon.com/sdk-for-sap-abap/v1/api/latest/index.html)à la section de référence du *AWS SDK pour l'API SAP ABAP*.
------
## Liste des politiques attachées à une racine, une unité d'organisation ou un compte
**Autorisations minimales**
Pour répertorier les politiques qui sont attachées à une racine, une unité d'organisation ou un compte au sein de votre entreprise, vous devez disposer de l'autorisation suivante :
`organizations:ListPoliciesForTarget` avec un élément `Resource` dans la même instruction de politique que celle qui inclut l'Amazon Resource Name (ARN) de la cible spécifiée (ou « \$1 »).
------
#### [ AWS Management Console ]
**Pour répertorier toutes les politiques qui sont attachées directement à une racine, une unité d'organisation ou un compte spécifié**
1. Connectez-vous à la [console AWS Organizations](https://console.aws.amazon.com/organizations/v2). Vous devez vous connecter en tant qu'utilisateur IAM, assumer un rôle IAM ou vous connecter en tant qu'utilisateur racine ([non recommandé](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials)) dans le compte de gestion de l'organisation.
1. Dans la page **[Comptes AWS](https://console.aws.amazon.com/organizations/v2/home/accounts)**, choisissez le nom de la racine, de l'UO ou du compte dont vous souhaitez afficher les politiques. Il se peut que vous deviez développer OUs (choisir le![\[Gray cloud icon representing cloud computing or storage services.\]](http://docs.aws.amazon.com/fr_fr/organizations/latest/userguide/images/console-expand.png)) pour trouver l'unité d'organisation souhaitée.
1. Sur la page de la racine, de l'UO ou du compte, choisissez l'onglet **Politiques**.
L'onglet **Politiques** affiche toutes les politiques attachées à cette racine, cette UO ou ce compte, regroupées par type de politique.
------
#### [ AWS CLI & AWS SDKs ]
**Pour répertorier toutes les politiques qui sont attachées directement à une racine, une UO ou un compte spécifié**
Vous pouvez utiliser l'une des commandes suivantes pour répertorier les politiques qui sont attachées à une entité :
+ AWS CLI: [list-policies-for-target](https://docs.aws.amazon.com/cli/latest/reference/organizations/list-policies-for-target.html)
L'exemple suivant répertorie toutes les politiques de contrôle des services attachées à l'unité d'organisation spécifiée. Vous devez spécifier à la fois l'ID de la racine, de l'unité d'organisation ou du compte et le type de politique que vous souhaitez répertorier.
```
$ aws organizations list-policies-for-target \
--target-id ou-a1b2-f6g7h222 \
--filter SERVICE_CONTROL_POLICY
{
"Policies": [
{
"Id": "p-FullAWSAccess",
"Arn": "arn:aws:organizations::aws:policy/service_control_policy/p-FullAWSAccess",
"Name": "FullAWSAccess",
"Description": "Allows access to every operation",
"Type": "SERVICE_CONTROL_POLICY",
"AwsManaged": true
}
]
}
```
+ AWS SDKs: [ListPoliciesForTarget](https://docs.aws.amazon.com/organizations/latest/APIReference/API_ListPoliciesForTarget.html)
------
## Liste de toutes les OUs racines et de tous les comptes auxquels une politique est attachée
**Autorisations minimales**
Pour répertorier les entités auxquelles une politique est attachée, vous devez disposer de l'autorisation suivante :
`organizations:ListTargetsForPolicy` avec un élément `Resource` dans la même instruction de politique que celle qui inclut le nom ARN de la politique spécifiée (ou « \$1 »).
------
#### [ AWS Management Console ]
**Pour répertorier toutes les OUs racines et tous les comptes associés à une politique spécifiée**
1. Connectez-vous à la [console AWS Organizations](https://console.aws.amazon.com/organizations/v2). Vous devez vous connecter en tant qu'utilisateur IAM, assumer un rôle IAM ou vous connecter en tant qu'utilisateur racine ([non recommandé](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials)) dans le compte de gestion de l'organisation.
1. Dans la page **[Politiques](https://console.aws.amazon.com/organizations/v2/home/policies)**, choisissez le type de politique, puis choisissez le nom de la politique dont vous souhaitez examiner les attachements.
1. Choisissez l'onglet **Cibles** pour afficher une table de chaque racine, unité d'organisation et compte auxquels la politique choisie est attachée.
------
#### [ AWS CLI & AWS SDKs ]
**Pour répertorier toutes les OUs racines et tous les comptes associés à une politique spécifiée**
Vous pouvez utiliser l'une des commandes suivantes pour répertorier les entités dotées d'une politique :
+ AWS CLI: [list-targets-for-policy](https://docs.aws.amazon.com/cli/latest/reference/organizations/list-targets-for-policy.html)
L'exemple suivant montre toutes les pièces jointes à root et tient compte de la politique spécifiée. OUs
```
$ aws organizations list-targets-for-policy \
--policy-id p-FullAWSAccess
{
"Targets": [
{
"TargetId": "ou-a1b2-f6g7h111",
"Arn": "arn:aws:organizations::123456789012:ou/o-aa111bb222/ou-a1b2-f6g7h111",
"Name": "testou2",
"Type": "ORGANIZATIONAL_UNIT"
},
{
"TargetId": "ou-a1b2-f6g7h222",
"Arn": "arn:aws:organizations::123456789012:ou/o-aa111bb222/ou-a1b2-f6g7h222",
"Name": "testou1",
"Type": "ORGANIZATIONAL_UNIT"
},
{
"TargetId": "123456789012",
"Arn": "arn:aws:organizations::123456789012:account/o-aa111bb222/123456789012",
"Name": "My Management Account (bisdavid)",
"Type": "ACCOUNT"
},
{
"TargetId": "r-a1b2",
"Arn": "arn:aws:organizations::123456789012:root/o-aa111bb222/r-a1b2",
"Name": "Root",
"Type": "ROOT"
}
]
}
```
+ AWS SDKs: [ListTargetsForPolicy](https://docs.aws.amazon.com/organizations/latest/APIReference/API_ListTargetsForPolicy.html)
------
## Obtention de détails sur une politique
**Autorisations minimales**
Pour afficher les détails d'une politique, vous devez disposer de l'autorisation suivante :
`organizations:DescribePolicy` avec un élément `Resource` dans la même instruction de politique que celle qui inclut le nom ARN de la politique spécifiée (ou « \$1 »).
### AWS Management Console
**Pour obtenir des détails sur une politique**
1. Connectez-vous à la [console AWS Organizations](https://console.aws.amazon.com/organizations/v2). Vous devez vous connecter en tant qu'utilisateur IAM, assumer un rôle IAM ou vous connecter en tant qu'utilisateur racine ([non recommandé](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials)) dans le compte de gestion de l'organisation.
1. Dans la page **[Politiques](https://console.aws.amazon.com/organizations/v2/home/policies)**, choisissez le type de politique de la politique à examiner, puis choisissez le nom de la politique.
La page de politique affiche les informations disponibles sur la politique, notamment son ARN, sa description et ses attachements.
+ L'onglet **Contenu** affiche le contenu actuel de la politique au format JSON.
+ L'onglet **Cibles** affiche la liste des racines et des comptes auxquels la politique est attachée. OUs
+ L'onglet **Balises** affiche les balises attachées à la politique. Remarque : l'onglet Balises n'est pas disponible pour les politiques gérées AWS .
Pour modifier la politique, choisissez **Modifier la politique**. Étant donné que chaque type de politique a des exigences de mise à jour différentes, reportez-vous aux instructions de création et de mise à jour des politiques du type de politique spécifié.
### AWS CLI & AWS SDKs
Les exemples de code suivants illustrent comment utiliser `DescribePolicy`.
------
#### [ CLI ]
**AWS CLI**
**Pour obtenir les informations sur une politique**
L’exemple suivant montre comment demander des informations sur une politique :
```
aws organizations describe-policy --policy-id p-examplepolicyid111
```
La sortie inclut un objet de politique contenant des informations sur la politique :
```
{
"Policy": {
"Content": "{\n \"Version\": \"2012-10-17\",\n \"Statement\": [\n {\n \"Effect\": \"Allow\",\n \"Action\": \"*\",\n \"Resource\": \"*\"\n }\n ]\n}",
"PolicySummary": {
"Arn": "arn:aws:organizations::111111111111:policy/o-exampleorgid/service_control_policy/p-examplepolicyid111",
"Type": "SERVICE_CONTROL_POLICY",
"Id": "p-examplepolicyid111",
"AwsManaged": false,
"Name": "AllowAllS3Actions",
"Description": "Enables admins to delegate S3 permissions"
}
}
}
```
+ Pour plus de détails sur l'API, reportez-vous [DescribePolicy](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/organizations/describe-policy.html)à la section *Référence des AWS CLI commandes*.
------
#### [ Python ]
**Kit SDK for Python (Boto3)**
Il y en a plus à ce sujet GitHub. Trouvez l’exemple complet et découvrez comment le configurer et l’exécuter dans le [référentiel d’exemples de code AWS](https://github.com/awsdocs/aws-doc-sdk-examples/tree/main/python/example_code/organizations#code-examples).
```
def describe_policy(policy_id, orgs_client):
"""
Describes a policy.
:param policy_id: The ID of the policy to describe.
:param orgs_client: The Boto3 Organizations client.
:return: The description of the policy.
"""
try:
response = orgs_client.describe_policy(PolicyId=policy_id)
policy = response["Policy"]
logger.info("Got policy %s.", policy_id)
except ClientError:
logger.exception("Couldn't get policy %s.", policy_id)
raise
else:
return policy
```
+ Pour plus de détails sur l'API, consultez [DescribePolicy](https://docs.aws.amazon.com/goto/boto3/organizations-2016-11-28/DescribePolicy)le *AWS manuel de référence de l'API SDK for Python (Boto3*).
------
#### [ SAP ABAP ]
**Kit SDK pour SAP ABAP**
Il y en a plus à ce sujet GitHub. Trouvez l’exemple complet et découvrez comment le configurer et l’exécuter dans le [référentiel d’exemples de code AWS](https://github.com/awsdocs/aws-doc-sdk-examples/tree/main/sap-abap/services/org#code-examples).
```
TRY.
oo_result = lo_org->describepolicy( " oo_result is returned for testing purposes. "
iv_policyid = iv_policy_id ).
DATA(lo_policy) = oo_result->get_policy( ).
MESSAGE 'Retrieved policy details.' TYPE 'I'.
CATCH /aws1/cx_orgaccessdeniedex.
MESSAGE 'You do not have permission to describe the policy.' TYPE 'E'.
CATCH /aws1/cx_orgpolicynotfoundex.
MESSAGE 'The specified policy does not exist.' TYPE 'E'.
ENDTRY.
```
+ Pour plus de détails sur l'API, reportez-vous [DescribePolicy](https://docs.aws.amazon.com/sdk-for-sap-abap/v1/api/latest/index.html)à la section de référence du *AWS SDK pour l'API SAP ABAP*.
------
# Supprimer les politiques de l'organisation avec AWS Organizations
Lorsque vous n'avez plus besoin d'une politique et que vous l'avez détachée de toutes les unités organisationnelles (OUs) et de tous les comptes, vous pouvez la supprimer.
Cette rubrique décrit comment supprimer des politiques avec AWS Organizations. Une *politique* définit les contrôles que vous souhaitez appliquer à un groupe de Comptes AWS.
**Topics**
+ [Suppression de politiques](#delete_policy)
## Supprimer les politiques avec AWS Organizations
Quand vous êtes connecté au compte de gestion de votre organisation, vous pouvez supprimer une politique dont vous n'avez plus besoin dans votre organisation.
Avant de supprimer une politique, vous devez d'abord la détacher de toutes les entités attachées.
**Note**
Vous ne pouvez supprimer aucun SCP AWS géré tel que le SCP nommé. `FullAWSAccess`
Vous ne pouvez supprimer aucun RCP AWS géré tel que le RCP nommé. `RCPFullAWSAccess`
**Autorisations minimales**
Pour supprimer une politique, vous devez être autorisé à exécuter l'action suivante :
`organizations:DeletePolicy`
### AWS Management Console
------
#### [ Service control policies (SCPs) ]
**Pour supprimer une SCP**
1. Connectez-vous à la [console AWS Organizations](https://console.aws.amazon.com/organizations/v2). Vous devez vous connecter en tant qu'utilisateur IAM, assumer un rôle IAM ou vous connecter en tant qu'utilisateur racine ([non recommandé](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials)) dans le compte de gestion de l'organisation.
1. Dans la page **[Politiques de contrôle des services](https://console.aws.amazon.com/organizations/v2/home/policies/service-control-policy)**, choisissez le nom de la SCP que vous souhaitez supprimer.
1. Vous devez d'abord détacher la politique que vous souhaitez supprimer de toutes les racines et de tous OUs les comptes. Choisissez l'onglet **Cibles**, cochez la case d'option en regard de chaque racine, unité d'organisation ou compte affiché dans la liste **Cibles**, puis choisissez **Détacher**. Dans la boîte de dialogue de confirmation, choisissez **Détacher**. Répétez l'opération jusqu'à ce que toutes les cibles soient supprimées.
1. En haut de la page, choisissez **Supprimer**.
1. Dans la boîte de dialogue de confirmation, saisissez le nom de la politique, puis choisissez **Supprimer**.
------
#### [ Resource control policies (RCPs) ]
**Pour supprimer un RCP**
1. Connectez-vous à la [console AWS Organizations](https://console.aws.amazon.com/organizations/v2). Vous devez vous connecter en tant qu'utilisateur IAM, assumer un rôle IAM ou vous connecter en tant qu'utilisateur racine ([non recommandé](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials)) dans le compte de gestion de l'organisation.
1. Sur la page **[Politiques de contrôle des ressources](https://console.aws.amazon.com/organizations/v2/home/policies/resource-control-policy)**, choisissez le nom du RCP que vous souhaitez supprimer.
1. Vous devez d'abord détacher la politique que vous souhaitez supprimer de toutes les racines et de tous OUs les comptes. Choisissez l'onglet **Cibles**, cochez la case d'option en regard de chaque racine, unité d'organisation ou compte affiché dans la liste **Cibles**, puis choisissez **Détacher**. Dans la boîte de dialogue de confirmation, choisissez **Détacher**. Répétez l'opération jusqu'à ce que toutes les cibles soient supprimées.
1. En haut de la page, choisissez **Supprimer**.
1. Dans la boîte de dialogue de confirmation, saisissez le nom de la politique, puis choisissez **Supprimer**.
------
#### [ Declarative policies ]
**Pour supprimer une politique déclarative**
1. Connectez-vous à la [console AWS Organizations](https://console.aws.amazon.com/organizations/v2). Vous devez vous connecter en tant qu'utilisateur IAM, assumer un rôle IAM ou vous connecter en tant qu'utilisateur racine ([non recommandé](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials)) dans le compte de gestion de l'organisation.
1. Sur la page **[Politiques déclaratives](https://console.aws.amazon.com/organizations/v2/home/policies/declarative-policy-ec2)**, choisissez le nom de la politique que vous souhaitez supprimer.
1. Vous devez d'abord détacher la politique que vous souhaitez supprimer de toutes les racines et de tous OUs les comptes. Choisissez l'onglet **Cibles**, cochez la case d'option en regard de chaque racine, unité d'organisation ou compte affiché dans la liste **Cibles**, puis choisissez **Détacher**. Dans la boîte de dialogue de confirmation, choisissez **Détacher**. Répétez l'opération jusqu'à ce que toutes les cibles soient supprimées.
1. En haut de la page, choisissez **Supprimer**.
1. Dans la boîte de dialogue de confirmation, saisissez le nom de la politique, puis choisissez **Supprimer**.
------
#### [ Backup policies ]
**Pour supprimer une politique de sauvegarde**
1. Connectez-vous à la [console AWS Organizations](https://console.aws.amazon.com/organizations/v2). Vous devez vous connecter en tant qu'utilisateur IAM, assumer un rôle IAM ou vous connecter en tant qu'utilisateur racine ([non recommandé](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials)) dans le compte de gestion de l'organisation.
1. Sur la page **[Politiques de sauvegarde](https://console.aws.amazon.com/organizations/v2/home/policies/backup-policy)**, choisissez le nom de la politique de sauvegarde que vous souhaitez supprimer.
1. Vous devez d'abord détacher la politique de sauvegarde que vous souhaitez supprimer de toutes les racines et de tous OUs les comptes. Choisissez l'onglet **Cibles**, cochez la case d'option en regard de chaque racine, unité d'organisation ou compte affiché dans la liste **Cibles**, puis choisissez **Détacher**. Dans la boîte de dialogue de confirmation, choisissez **Détacher**. Répétez l'opération jusqu'à ce que toutes les cibles soient supprimées.
1. En haut de la page, choisissez **Supprimer**.
1. Dans la boîte de dialogue de confirmation, saisissez le nom de la politique, puis choisissez **Supprimer**.
------
#### [ Tag policies ]
**Pour supprimer une politique de balises**
1. Connectez-vous à la [console AWS Organizations](https://console.aws.amazon.com/organizations/v2). Vous devez vous connecter en tant qu'utilisateur IAM, assumer un rôle IAM ou vous connecter en tant qu'utilisateur racine ([non recommandé](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials)) dans le compte de gestion de l'organisation.
1. Sur la **page **[Politiques relatives aux balises](https://console.aws.amazon.com/organizations/v2/home/policies/tag-policy)****, choisissez la politique que vous souhaitez supprimer.
1. Vous devez d'abord détacher la politique que vous souhaitez supprimer de toutes les racines et de tous OUs les comptes. Choisissez l'onglet **Cibles**, cochez la case d'option en regard de chaque racine, unité d'organisation ou compte affiché dans la liste **Cibles**, puis choisissez **Détacher**. Dans la boîte de dialogue de confirmation, choisissez **Détacher**. Répétez l'opération jusqu'à ce que toutes les cibles soient supprimées.
1. En haut de la page, choisissez **Supprimer**.
1. Dans la boîte de dialogue de confirmation, saisissez le nom de la politique, puis choisissez **Supprimer**.
------
#### [ Chat applications policies ]
**Pour supprimer une politique d'applications de chat**
1. Connectez-vous à la [console AWS Organizations](https://console.aws.amazon.com/organizations/v2). Vous devez vous connecter en tant qu'utilisateur IAM, assumer un rôle IAM ou vous connecter en tant qu'utilisateur racine ([non recommandé](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials)) dans le compte de gestion de l'organisation.
1. Sur la page des **[politiques du Chatbot](https://console.aws.amazon.com/organizations/v2/home/policies/chatbot-policy)**, choisissez le nom de la politique que vous souhaitez supprimer.
1. Vous devez d'abord détacher la politique que vous souhaitez supprimer de toutes les racines et de tous OUs les comptes. Choisissez l'onglet **Cibles**, cochez la case d'option en regard de chaque racine, unité d'organisation ou compte affiché dans la liste **Cibles**, puis choisissez **Détacher**. Dans la boîte de dialogue de confirmation, choisissez **Détacher**. Répétez l'opération jusqu'à ce que toutes les cibles soient supprimées.
1. En haut de la page, choisissez **Supprimer**.
1. Dans la boîte de dialogue de confirmation, saisissez le nom de la politique, puis choisissez **Supprimer**.
------
#### [ AI services opt-out policies ]
**Pour supprimer une politique de désactivation des services IA**
1. Connectez-vous à la [console AWS Organizations](https://console.aws.amazon.com/organizations/v2). Vous devez vous connecter en tant qu'utilisateur IAM, assumer un rôle IAM ou vous connecter en tant qu'utilisateur racine ([non recommandé](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials)) dans le compte de gestion de l'organisation.
1. Sur la page **[Politiques de désactivation des services IA](https://console.aws.amazon.com/organizations/v2/home/policies/aiservices-opt-out-policy)**, choisissez le nom de la politique que vous souhaitez supprimer.
1. Vous devez d'abord détacher la politique que vous souhaitez supprimer de toutes les racines et de tous OUs les comptes. Choisissez l'onglet **Cibles**, cochez la case d'option en regard de chaque racine, unité d'organisation ou compte affiché dans la liste **Cibles**, puis choisissez **Détacher**. Dans la boîte de dialogue de confirmation, choisissez **Détacher**. Répétez l'opération jusqu'à ce que toutes les cibles soient supprimées.
1. En haut de la page, choisissez **Supprimer**.
1. Dans la boîte de dialogue de confirmation, saisissez le nom de la politique, puis choisissez **Supprimer**.
------
#### [ Security Hub policies ]
**Pour supprimer une politique Security Hub**
1. Connectez-vous à la [console AWS Organizations](https://console.aws.amazon.com/organizations/v2). Vous devez vous connecter en tant qu'utilisateur IAM, assumer un rôle IAM ou vous connecter en tant qu'utilisateur racine ([non recommandé](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials)) dans le compte de gestion de l'organisation.
1. Sur la page des **[politiques du Security Hub](https://console.aws.amazon.com/organizations/v2/home/policies/securityhub-policy)**, choisissez le nom de la politique que vous souhaitez supprimer.
1. Vous devez d'abord détacher la politique que vous souhaitez supprimer de toutes les racines et de tous OUs les comptes. Choisissez l'onglet **Cibles**, cochez la case d'option en regard de chaque racine, unité d'organisation ou compte affiché dans la liste **Cibles**, puis choisissez **Détacher**. Dans la boîte de dialogue de confirmation, choisissez **Détacher**. Répétez l'opération jusqu'à ce que toutes les cibles soient supprimées.
1. En haut de la page, choisissez **Supprimer**.
1. Dans la boîte de dialogue de confirmation, saisissez le nom de la politique, puis choisissez **Supprimer**.
------
### AWS CLI & AWS SDKs
**Pour supprimer une politique**
Les exemples de code suivants illustrent comment utiliser `DeletePolicy`.
------
#### [ .NET ]
**SDK pour .NET**
Il y en a plus à ce sujet GitHub. Trouvez l’exemple complet et découvrez comment le configurer et l’exécuter dans le [référentiel d’exemples de code AWS](https://github.com/awsdocs/aws-doc-sdk-examples/tree/main/dotnetv3/Organizations#code-examples).
```
using System;
using System.Threading.Tasks;
using Amazon.Organizations;
using Amazon.Organizations.Model;
///
/// Deletes an existing AWS Organizations policy.
///
public class DeletePolicy
{
///
/// Initializes the Organizations client object and then uses it to
/// delete the policy with the specified policyId.
///
public static async Task Main()
{
// Create the client object using the default account.
IAmazonOrganizations client = new AmazonOrganizationsClient();
var policyId = "p-00000000";
var request = new DeletePolicyRequest
{
PolicyId = policyId,
};
var response = await client.DeletePolicyAsync(request);
if (response.HttpStatusCode == System.Net.HttpStatusCode.OK)
{
Console.WriteLine($"Successfully deleted Policy: {policyId}.");
}
else
{
Console.WriteLine($"Could not delete Policy: {policyId}.");
}
}
}
```
+ Pour plus de détails sur l'API, reportez-vous [DeletePolicy](https://docs.aws.amazon.com/goto/DotNetSDKV3/organizations-2016-11-28/DeletePolicy)à la section *Référence des AWS SDK pour .NET API*.
------
#### [ CLI ]
**AWS CLI**
**Pour supprimer une politique**
L’exemple suivant montre comment supprimer une stratégie d’une organisation. L’exemple suppose que vous avez préalablement détaché la stratégie de toutes les entités :
```
aws organizations delete-policy --policy-id p-examplepolicyid111
```
+ Pour plus de détails sur l'API, reportez-vous [DeletePolicy](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/organizations/delete-policy.html)à la section *Référence des AWS CLI commandes*.
------
#### [ Python ]
**Kit SDK for Python (Boto3)**
Il y en a plus à ce sujet GitHub. Trouvez l’exemple complet et découvrez comment le configurer et l’exécuter dans le [référentiel d’exemples de code AWS](https://github.com/awsdocs/aws-doc-sdk-examples/tree/main/python/example_code/organizations#code-examples).
```
def delete_policy(policy_id, orgs_client):
"""
Deletes a policy.
:param policy_id: The ID of the policy to delete.
:param orgs_client: The Boto3 Organizations client.
"""
try:
orgs_client.delete_policy(PolicyId=policy_id)
logger.info("Deleted policy %s.", policy_id)
except ClientError:
logger.exception("Couldn't delete policy %s.", policy_id)
raise
```
+ Pour plus de détails sur l'API, consultez [DeletePolicy](https://docs.aws.amazon.com/goto/boto3/organizations-2016-11-28/DeletePolicy)le *AWS manuel de référence de l'API SDK for Python (Boto3*).
------
#### [ SAP ABAP ]
**Kit SDK pour SAP ABAP**
Il y en a plus à ce sujet GitHub. Trouvez l’exemple complet et découvrez comment le configurer et l’exécuter dans le [référentiel d’exemples de code AWS](https://github.com/awsdocs/aws-doc-sdk-examples/tree/main/sap-abap/services/org#code-examples).
```
TRY.
lo_org->deletepolicy(
iv_policyid = iv_policy_id ).
MESSAGE 'Policy deleted.' TYPE 'I'.
CATCH /aws1/cx_orgaccessdeniedex.
MESSAGE 'You do not have permission to delete the policy.' TYPE 'E'.
CATCH /aws1/cx_orgpolicynotfoundex.
MESSAGE 'The specified policy does not exist.' TYPE 'E'.
CATCH /aws1/cx_orgpolicyinuseex.
MESSAGE 'The policy is still attached to one or more targets.' TYPE 'E'.
ENDTRY.
```
+ Pour plus de détails sur l'API, reportez-vous [DeletePolicy](https://docs.aws.amazon.com/sdk-for-sap-abap/v1/api/latest/index.html)à la section de référence du *AWS SDK pour l'API SAP ABAP*.
------