View a markdown version of this page

Valutazione RCP - AWS Organizations
Strategia per l'utilizzo degli RCP

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Valutazione RCP

Nota

Le informazioni contenute in questa sezione non si applicano ai tipi di policy dichiarative, incluse le policy di backup, le policy sui tag, le politiche sulle applicazioni di chat o le politiche di opt-out dei servizi AI. Per ulteriori informazioni, consulta Comprendere l'ereditarietà delle politiche dichiarative.

Poiché è possibile allegare più politiche di controllo delle risorse (RCP) a diversi livelli AWS Organizations, comprendere come vengono valutati gli RCP può aiutarti a scrivere RCP che producano il risultato giusto.

Strategia per l'utilizzo degli RCP

La RCPFullAWSAccess politica è una politica AWS gestita. Viene automaticamente collegata alla radice dell'organizzazione, a ogni unità organizzativa e a ogni account dell'organizzazione, quando si abilitano le politiche di controllo delle risorse (RCP). Non è possibile scollegare questa politica. Questo RCP predefinito consente a tutti i principali e alle azioni di passare attraverso la valutazione RCP, il che significa che finché non inizi a creare e allegare RCP, tutte le autorizzazioni IAM esistenti continuano a funzionare come facevano. Questa AWS policy gestita non concede l'accesso.

È possibile utilizzare le Deny istruzioni per bloccare l'accesso alle risorse dell'organizzazione. Affinché venga negata l'autorizzazione per una risorsa in un account specifico, qualsiasi RCP dalla radice a ciascuna unità organizzativa nel percorso diretto verso l'account (incluso l'account di destinazione stesso) può negare tale autorizzazione.

Denyle dichiarazioni sono uno strumento efficace per implementare restrizioni che dovrebbero valere per una parte più ampia dell'organizzazione. Ad esempio, è possibile allegare una politica per impedire che identità esterne all'organizzazione accedano alle risorse a livello principale. Tale politica sarà valida per tutti gli account dell'organizzazione. AWS consiglia vivamente di non collegare gli RCP alla radice dell'organizzazione senza aver testato a fondo l'impatto che la politica ha sulle risorse dei propri account. Per ulteriori informazioni, consulta Effetti dei test di RCPs.

Nella Figura 1, all'unità organizzativa di produzione è allegato un RCP con una Deny dichiarazione esplicita specificata per un determinato servizio. Di conseguenza, sia all'account A che all'account B verrà negato l'accesso al servizio, in quanto una policy di negazione applicata a qualsiasi livello dell'organizzazione viene valutata per tutte le unità organizzative e gli account dei membri sottostanti.

Esempio di struttura organizzativa con una dichiarazione di rifiuto allegata all'unità organizzativa di produzione e relativo impatto sull'account A e sull'account B

Figura 1: Esempio di struttura organizzativa con una Deny dichiarazione allegata a Production OU e relativo impatto sull'Account A e sull'Account B