As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

# Avaliação da RCP
<a name="orgs_manage_policies_rcps_evaluation"></a>

**nota**  
As informações nesta seção ***não*** se aplicam a tipos de política de gerenciamento, incluindo políticas de exclusão de serviços de IA, políticas de backup, políticas de tag ou políticas de aplicativos de chat. Para obter mais informações, consulte [Entendendo a herança da política de gerenciamento](orgs_manage_policies_inheritance_mgmt.md).

Como você pode anexar várias políticas de controle de recursos (RCPs) em diferentes níveis AWS Organizations, entender como RCPs são avaliadas pode ajudá-lo RCPs a escrever o resultado certo.

## Estratégia para usar RCPs
<a name="how_rcps_deny"></a>

A `RCPFullAWSAccess` política é uma política AWS gerenciada. Ele é automaticamente anexado à raiz da organização, a cada UO e a cada conta da sua organização, quando você ativa as políticas de controle de recursos (RCPs). Você não pode desanexar essa política. Esse RCP padrão permite que o acesso de todos os diretores e ações passe pela avaliação do RCP, ou seja, até você começar a criar e anexar RCPs, todas as suas permissões existentes do IAM continuarão funcionando da mesma forma. Essa política AWS gerenciada não concede acesso.

Você pode usar declarações `Deny` para bloquear o acesso aos recursos em sua organização. Para que uma permissão seja **negada** para u recurso em uma conta específica, **qualquer SCP** da raiz até cada UO no caminho direto para a conta (incluindo a própria conta de destino) pode negar essa permissão.

As declarações `Deny` são uma forma poderosa de implementar restrições que devem ser verdadeiras para uma parte mais ampla da sua organização. Por exemplo, você pode anexar uma política para ajudar a impedir que identidades externas à sua organização acessem seus recursos no nível raiz, e isso será efetivo para todas as contas da organização. AWS recomenda fortemente que você não se vincule RCPs à raiz da sua organização sem testar minuciosamente o impacto que a política tem sobre os recursos em suas contas. Para obter mais informações, consulte [Testando os efeitos do RCPs](orgs_manage_policies_rcps.md#rcp-warning-testing-effect).

Na Figura 1, há uma RCP anexada à UO de Produção que tem uma declaração `Deny` explícita especificada para um determinado serviço. Como resultado, tanto a Conta A quanto a Conta B terão acesso negado ao serviço, pois uma política de negação vinculada a qualquer nível da organização é avaliada para todas as contas OUs e membros abaixo dela.

![\[Exemplo de estrutura organizacional com uma declaração Negar anexada na UO de Produção e seu impacto na Conta A e Conta B\]](http://docs.aws.amazon.com/pt_br/organizations/latest/userguide/images/rcp_deny_1.png)


*Figura 1: exemplo de estrutura organizacional com uma declaração `Deny` anexada na UO de Produção e seu impacto na Conta A e na Conta B*