Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Politiche dichiarative in AWS Organizations
Le politiche dichiarative consentono di configurare e gestire centralmente Servizi AWS e le relative funzionalità. Il modo in cui tali politiche influiscono sulle unità organizzative e sugli account che le ereditano dipende dal tipo di politica dichiarativa a cui si applica. AWS Organizations Consulta gli argomenti di questa sezione per comprendere i termini e i concetti pertinenti relativi alle politiche dichiarative.
Le politiche dichiarative consentono di dichiarare e applicare centralmente la configurazione desiderata per un determinato ambiente su larga scala Servizio AWS all'interno dell'organizzazione. Una volta collegata, la configurazione viene sempre mantenuta quando il servizio aggiunge nuove funzionalità o API. Utilizza politiche dichiarative per prevenire azioni non conformi. Ad esempio, puoi bloccare l'accesso pubblico a Internet alle risorse Amazon VPC in tutta l'organizzazione.
I vantaggi principali dell'utilizzo di politiche dichiarative sono:
-
Facilità d'uso: puoi applicare la configurazione di base per an Servizio AWS con poche selezioni nelle AWS Control Tower console AWS Organizations e o con alcuni comandi utilizzando gli & SDK. AWS CLI AWS
-
Imposta una sola volta e dimentica: la configurazione di base per an Servizio AWS viene sempre mantenuta, anche quando il servizio introduce nuove funzionalità o API. La configurazione di base viene mantenuta anche quando vengono aggiunti nuovi account a un'organizzazione o quando vengono creati nuovi responsabili e risorse.
-
Trasparenza: il rapporto sullo stato dell'account consente di esaminare lo stato attuale di tutti gli attributi supportati dalle politiche dichiarative per gli account interessati. È inoltre possibile creare messaggi di errore personalizzabili, che possono aiutare gli amministratori a reindirizzare gli utenti finali alle pagine wiki interne o fornire un messaggio descrittivo che può aiutare gli utenti finali a capire perché un'azione non è riuscita.
Come funzionano le politiche dichiarative
Le politiche dichiarative vengono applicate nel piano di controllo del servizio, il che rappresenta un'importante distinzione dalle politiche di autorizzazione come le politiche di controllo dei servizi (SCP) e le politiche di controllo delle risorse (RCP). Mentre le politiche di autorizzazione regolano l'accesso alle API, le politiche dichiarative vengono applicate direttamente a livello di servizio per imporre un intento duraturo. Ciò garantisce che la configurazione di base venga sempre applicata, anche quando il servizio introduce nuove funzionalità o API.
La tabella seguente aiuta a illustrare questa distinzione e fornisce alcuni casi d'uso.
| Policy di controllo dei servizi | Politiche di controllo delle risorse | Policy dichiarative | |
|---|---|---|---|
| Perché? |
Definire e applicare centralmente controlli di accesso coerenti sui principali (come gli utenti IAM e i ruoli IAM) su larga scala. |
Per definire e applicare centralmente controlli di accesso coerenti sulle risorse su larga scala |
Per definire e applicare centralmente la configurazione di base per i AWS servizi su larga scala. |
| Come? |
Controllando le autorizzazioni di accesso massime disponibili dei principali a livello di API. |
Controllando le autorizzazioni di accesso massime disponibili per le risorse a livello di API. |
Applicando la configurazione desiderata di un Servizio AWS senza utilizzare azioni API. |
| Gestisce i ruoli collegati ai servizi? | No | No | Sì |
| Policy di esempio | Impedisci agli account dei membri di lasciare l'organizzazione |
Limita l'accesso alle sole connessioni HTTPS alle tue risorse |
Impostazioni delle immagini consentite |
Dopo aver creato e allegato una politica dichiarativa, questa viene applicata e applicata in tutta l'organizzazione. Le politiche dichiarative possono essere applicate a un'intera organizzazione, a unità organizzative (OU) o a conti. Gli account che entrano a far parte di un'organizzazione erediteranno automaticamente la politica dichiarativa dell'organizzazione. Per ulteriori informazioni, consulta Comprendere l'ereditarietà delle politiche dichiarative.
La policy operativa è l'insieme di regole ereditate dalla root dell'organizzazione e dalle unità organizzative insieme a quelle direttamente associate all'account. La policy effettiva specifica l'insieme finale di regole applicabili all'account. Per ulteriori informazioni, consulta Visualizzazione delle politiche dichiarative efficaci.
Se una politica dichiarativa viene scollegata, lo stato dell'attributo tornerà allo stato precedente prima che la politica dichiarativa fosse allegata.
Argomenti
