As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Políticas declarativas em AWS Organizations
As políticas declarativas permitem que você configure e Serviços da AWS gerencie centralmente seus recursos. A forma como essas políticas afetam as OUs e as contas que as herdam depende do tipo de política declarativa na qual você se aplica. AWS Organizations Analise os tópicos desta seção para entender os termos e conceitos relevantes sobre políticas declarativas.
As políticas declarativas permitem que você declare e aplique centralmente a configuração desejada para uma determinada empresa AWS service (Serviço da AWS) em grande escala em toda a organização. Depois de conectada, a configuração é sempre mantida quando o serviço adiciona novos recursos ou APIs. Use políticas declarativas para evitar ações não conformes. Por exemplo, você pode bloquear o acesso público à internet para recursos do Amazon VPC em toda a sua organização.
Os principais benefícios do uso de políticas declarativas são:
-
Facilidade de uso: você pode aplicar a configuração básica para um AWS service (Serviço da AWS) com algumas seleções nos AWS Control Tower consoles AWS Organizations e ou com alguns comandos usando os & SDKs. AWS CLI AWS
-
Defina uma vez e esqueça: a configuração básica de um AWS service (Serviço da AWS) é sempre mantida, mesmo quando o serviço introduz novos recursos ou APIs. A configuração básica também é mantida quando novas contas são adicionadas a uma organização ou quando novas entidades principais e recursos são criados.
-
Transparência: o relatório de status da conta permite que você revise o status atual de todos os atributos compatíveis com as políticas declarativas das contas no escopo. Você também pode criar mensagens de erro personalizáveis, que podem ajudar os administradores a redirecionar os usuários finais para páginas wiki internas ou fornecer uma mensagem descritiva que pode ajudar esses usuários a entender por que uma ação falhou.
Como as políticas declarativas funcionam
Políticas declarativas são aplicadas no ambiente de gerenciamento do serviço, o que é uma distinção importante das políticas de autorização, como políticas de controle de serviços (SCP) e políticas de controle de recursos (RCPs). Embora as políticas de autorização regulem o acesso às APIs, as políticas declarativas são aplicadas diretamente no nível do serviço para impor uma intenção duradoura. Isso garante que a configuração básica seja sempre aplicada, mesmo quando novos recursos ou APIs são introduzidos pelo serviço.
A tabela a seguir ajuda a ilustrar essa distinção e fornece alguns casos de uso.
| Políticas de controle de serviço | Políticas de controle de recursos | Políticas declarativas | |
|---|---|---|---|
| Por quê? |
Definir e aplicar centralmente controles de acesso consistentes sobre entidades principais (como usuários do IAM e perfis do IAM) em grande escala. |
Definir e aplicar centralmente controles de acesso consistentes sobre recursos em grande escala |
Definir e aplicar centralmente a configuração básica para serviços AWS em grande escala. |
| Como? |
Controlando o máximo de permissões de acesso disponíveis das entidades principais no nível da API. |
Controlando o máximo de permissões de acesso disponíveis para recursos no nível da API. |
Ao aplicar a configuração desejada de um AWS service (Serviço da AWS) sem usar ações de API. |
| Governa funções vinculadas ao serviço? | Não | Não | Sim |
| Exemplo de política | Impeça que contas de membros saiam da organização |
Restrinja o acesso somente a conexões HTTPS aos seus recursos |
Configurações de imagens permitidas |
Depois de criar e anexar uma política declarativa, ela é aplicada e aplicada em toda a organização. Políticas declarativas podem ser aplicadas a uma organização inteira, unidades organizacionais (UOs) ou contas. As contas que ingressam em uma organização herdarão automaticamente a política declarativa na organização. Para obter mais informações, consulte Entendendo a herança declarativa de políticas.
A política efetiva é o conjunto de regras que são herdadas da raiz da organização e das UOs, juntamente com as diretamente anexadas à conta. A política em vigor especifica as regras que se aplicam à conta. Para obter mais informações, consulte Visualizando políticas declarativas efetivas.
Se uma política declarativa for desanexada, o estado do atributo voltará ao estado anterior antes da anexação da política declarativa.
Tópicos
