Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Kebijakan deklaratif di AWS Organizations
Kebijakan deklaratif memungkinkan Anda mengonfigurasi dan mengelola secara terpusat dan Layanan AWS fitur-fiturnya. Bagaimana kebijakan tersebut memengaruhi OU dan akun yang mewarisinya tergantung pada jenis kebijakan deklaratif yang Anda terapkan. AWS Organizations Tinjau topik di bagian ini untuk memahami istilah dan konsep yang relevan tentang kebijakan deklaratif.
Kebijakan deklaratif memungkinkan Anda untuk mendeklarasikan dan menerapkan konfigurasi yang Anda inginkan secara terpusat untuk suatu skala tertentu Layanan AWS di seluruh organisasi. Setelah terpasang, konfigurasi selalu dipertahankan ketika layanan menambahkan fitur atau API baru. Gunakan kebijakan deklaratif untuk mencegah tindakan yang tidak patuh. Misalnya, Anda dapat memblokir akses internet publik ke sumber daya Amazon VPC di seluruh organisasi Anda.
Manfaat utama menggunakan kebijakan deklaratif adalah:
-
Kemudahan penggunaan: Anda dapat menerapkan konfigurasi dasar untuk Layanan AWS dengan beberapa pilihan di AWS Organizations dan AWS Control Tower konsol atau dengan beberapa perintah menggunakan & SDK. AWS CLI AWS
-
Setel sekali dan lupakan: Konfigurasi dasar untuk sebuah selalu Layanan AWS dipertahankan, bahkan ketika layanan memperkenalkan fitur atau API baru. Konfigurasi dasar juga dipertahankan ketika akun baru ditambahkan ke organisasi atau ketika prinsip dan sumber daya baru dibuat.
-
Transparansi: Laporan status akun memungkinkan Anda meninjau status saat ini dari semua atribut yang didukung oleh kebijakan deklaratif untuk cakupan akun. Anda juga dapat membuat pesan kesalahan yang dapat disesuaikan, yang dapat membantu administrator mengarahkan pengguna akhir ke halaman wiki internal atau memberikan pesan deskriptif yang dapat membantu pengguna akhir memahami mengapa suatu tindakan gagal.
Bagaimana kebijakan deklaratif bekerja
Kebijakan deklaratif diberlakukan di bidang kontrol layanan, yang merupakan perbedaan penting dari kebijakan otorisasi seperti kebijakan kontrol layanan (SCP) dan kebijakan kontrol sumber daya (RCP). Sementara kebijakan otorisasi mengatur akses ke API, kebijakan deklaratif diterapkan langsung di tingkat layanan untuk menegakkan maksud tahan lama. Ini memastikan bahwa konfigurasi dasar selalu diberlakukan, bahkan ketika fitur atau API baru diperkenalkan oleh layanan.
Tabel berikut membantu menggambarkan perbedaan ini dan menyediakan beberapa kasus penggunaan.
| Kebijakan kontrol layanan | Kebijakan kontrol sumber daya | Kebijakan deklaratif | |
|---|---|---|---|
| Kenapa? |
Untuk secara terpusat mendefinisikan dan menegakkan kontrol akses yang konsisten pada prinsipal (seperti pengguna IAM dan peran IAM) dalam skala besar. |
Untuk secara terpusat mendefinisikan dan menegakkan kontrol akses yang konsisten pada sumber daya dalam skala besar |
Untuk secara terpusat mendefinisikan dan menegakkan konfigurasi dasar untuk AWS layanan dalam skala besar. |
| Bagaimana? |
Dengan mengontrol izin akses maksimum yang tersedia dari prinsipal pada tingkat API. |
Dengan mengontrol izin akses maksimum yang tersedia untuk sumber daya pada tingkat API. |
Dengan menerapkan konfigurasi yang diinginkan Layanan AWS tanpa menggunakan tindakan API. |
| Mengatur peran terkait layanan? | Tidak | Tidak | Ya |
| Contoh kebijakan | Tolak akun anggota agar tidak meninggalkan organisasi |
Batasi akses hanya ke koneksi HTTPS ke sumber daya Anda |
Pengaturan Gambar yang Diizinkan |
Setelah Anda membuat dan melampirkan kebijakan deklaratif, kebijakan tersebut diterapkan dan diberlakukan di seluruh organisasi Anda. Kebijakan deklaratif dapat diterapkan ke seluruh organisasi, unit organisasi (OU), atau akun. Akun yang bergabung dengan organisasi akan secara otomatis mewarisi kebijakan deklaratif dalam organisasi. Untuk informasi selengkapnya, lihat Memahami pewarisan kebijakan deklaratif.
Kebijakan efektif adalah seperangkat aturan yang diwarisi dari akar organisasi dan OU bersama dengan aturan yang langsung dilampirkan pada akun tersebut. Kebijakan efektif menentukan seperangkat aturan akhir yang berlaku untuk akun. Untuk informasi selengkapnya, lihat Melihat kebijakan deklaratif yang efektif.
Jika kebijakan deklaratif terlepas, status atribut akan kembali ke status sebelumnya sebelum kebijakan deklaratif dilampirkan.
Topik
