Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Politiques déclaratives dans AWS Organizations
Les politiques déclaratives vous permettent de configurer et de gérer Services AWS leurs fonctionnalités de manière centralisée. L'impact de ces politiques sur les UO et les comptes qui en héritent dépend du type de politique déclarative que vous appliquez. AWS Organizations Passez en revue les rubriques de cette section pour comprendre les termes et concepts pertinents relatifs aux politiques déclaratives.
Les politiques déclaratives vous permettent de déclarer et d'appliquer de manière centralisée la configuration souhaitée pour une donnée Service AWS à grande échelle au sein d'une organisation. Une fois attachée, la configuration est toujours maintenue lorsque le service ajoute de nouvelles fonctionnalités ou API. Utilisez des politiques déclaratives pour empêcher les actions non conformes. Par exemple, vous pouvez bloquer l'accès public à Internet aux ressources Amazon VPC au sein de votre organisation.
Les principaux avantages de l'utilisation de politiques déclaratives sont les suivants :
-
Facilité d'utilisation : vous pouvez appliquer la configuration de base pour un Service AWS avec quelques sélections dans les AWS Control Tower consoles AWS Organizations et ou avec quelques commandes à l'aide AWS des SDK AWS CLI &.
-
Définissez une fois et oubliez : la configuration de base d'un Service AWS est toujours maintenue, même lorsque le service introduit de nouvelles fonctionnalités ou API. La configuration de base est également maintenue lorsque de nouveaux comptes sont ajoutés à une organisation ou lorsque de nouveaux directeurs et ressources sont créés.
-
Transparence : le rapport sur l'état du compte vous permet de consulter l'état actuel de tous les attributs pris en charge par les politiques déclaratives applicables aux comptes concernés. Vous pouvez également créer des messages d'erreur personnalisables, qui peuvent aider les administrateurs à rediriger les utilisateurs finaux vers des pages wiki internes ou fournir un message descriptif qui peut aider les utilisateurs finaux à comprendre pourquoi une action a échoué.
Comment fonctionnent les politiques déclaratives
Les politiques déclaratives sont appliquées dans le plan de contrôle du service, ce qui constitue une distinction importante par rapport aux politiques d'autorisation telles que les politiques de contrôle des services (SCP) et les politiques de contrôle des ressources (RCP). Alors que les politiques d'autorisation réglementent l'accès aux API, les politiques déclaratives sont appliquées directement au niveau du service pour faire respecter une intention durable. Cela garantit que la configuration de base est toujours appliquée, même lorsque de nouvelles fonctionnalités ou API sont introduites par le service.
Le tableau suivant permet d'illustrer cette distinction et fournit quelques cas d'utilisation.
| Politiques de contrôle des services | Politiques de contrôle des ressources | Politiques déclaratives | |
|---|---|---|---|
| Pourquoi ? |
Définir et appliquer de manière centralisée des contrôles d'accès cohérents sur les principaux acteurs (tels que les utilisateurs IAM et les rôles IAM) à grande échelle. |
Pour définir et appliquer de manière centralisée des contrôles d'accès cohérents sur les ressources à grande échelle |
Définir et appliquer de manière centralisée la configuration de base pour les AWS services à grande échelle. |
| Comment ? |
En contrôlant les autorisations d'accès maximales disponibles pour les principaux au niveau de l'API. |
En contrôlant les autorisations d'accès maximales disponibles pour les ressources au niveau de l'API. |
En appliquant la configuration souhaitée d'un Service AWS sans utiliser d'actions d'API. |
| Gère les rôles liés aux services ? | Non | Non | Oui |
| Exemple de stratégie | Empêcher les comptes des membres de quitter l'organisation |
Limitez l'accès à vos ressources aux seules connexions HTTPS |
Paramètres des images autorisées |
Une fois que vous avez créé et joint une politique déclarative, celle-ci est appliquée et appliquée dans l'ensemble de votre organisation. Les politiques déclaratives peuvent être appliquées à l'ensemble d'une organisation, à des unités organisationnelles (UO) ou à des comptes. Les comptes rejoignant une organisation hériteront automatiquement de la politique déclarative de l'organisation. Pour de plus amples informations, veuillez consulter Comprendre l'héritage des politiques déclaratives.
La politique effective correspond à l'ensemble de règles héritées de la racine de l'organisation et des unités d'organisation, ainsi qu'à celles directement attachées au compte. La politique effective spécifie l'ensemble final des règles qui s'appliquent au compte. Pour de plus amples informations, veuillez consulter Afficher les politiques déclaratives efficaces.
Si une politique déclarative est détachée, l'état de l'attribut revient à son état précédent avant que la politique déclarative ne soit attachée.
Rubriques
