As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
# Criação de políticas organizacionais com AWS Organizations
Depois de [habilitar políticas](enable-policy-type.md) para sua organização, você pode criar uma política.
Este tópico descreve como criar políticas com AWS Organizations. Uma *política* define os controles que você deseja aplicar a um grupo de Contas da AWS.
**Topics**
+ [Criar uma política de controle de serviços (SCP)](#create-an-scp)
+ [Crie uma política de controle de recursos (RCP)](#create-an-rcp)
+ [Criar uma política declarativa](#create-declarative-policy-procedure)
+ [Criar uma política de backup](#create-backup-policy-procedure)
+ [Criar uma política de tags](#create-tag-policy-procedure)
+ [Criar uma política de aplicativos de chat](#create-chatbot-policy-procedure)
+ [Criar uma política de recusa de serviços de IA](#create-ai-opt-out-policy-procedure)
+ [Crie uma política de implantação de upgrade](#create-upgrade-rollout-policy-procedure)
+ [Criar uma política do Security Hub](#create-security-hub-policy-procedure)
## Criar uma política de controle de serviços (SCP)
**Permissões mínimas**
Para criar SCPs, você precisa de permissão para executar a seguinte ação:
`organizations:CreatePolicy`
------
#### [ Console de gerenciamento da AWS ]
**Para criar uma política de controle de serviço**
1. Faça login no [console do AWS Organizations](https://console.aws.amazon.com/organizations/v2). Você deve fazer login como um usuário do IAM, assumir um perfil do IAM ou fazer login como usuário-raiz ([não recomendado](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials)) na conta gerencial da organização.
1. Na página **[Service control policies (Políticas de controle de serviço)](https://console.aws.amazon.com/organizations/v2/home/policies/service-control-policy)**, escolha **Create policy (Criar política)**.
1. Na [página **Create new service control policy (Criar nova política de controle de serviço)**](https://console.aws.amazon.com/organizations/home/policies/service-control/create), insira um **nome de política** e uma **descrição da política** opcional.
1. (Opcional) Adicione uma ou mais tags escolhendo **Add tag (Adicionar tag)** e inserindo uma chave e um valor opcional. Se deixar o valor em branco, ele é definido como uma sequência vazia, não `null`. É possível anexar até 50 tags a uma política. Para obter mais informações, consulte [Recursos de marcação AWS OrganizationsConsiderações](orgs_tagging.md).
**nota**
Na maioria das etapas a seguir, discutimos o uso dos controles no lado direito do editor JSON para construir a política, elemento por elemento. Como alternativa, você pode, a qualquer momento, simplesmente inserir texto no editor JSON no lado esquerdo da janela. Você pode digitar diretamente, ou usar copiar e colar.
1. Para criar a política, suas próximas etapas variam, dependendo de se você deseja adicionar uma instrução que [nega](orgs_manage_policies_scps_evaluation.md#how_scps_deny) ou [permite](orgs_manage_policies_scps_evaluation.md#how_scps_allow) o acesso. Para obter mais informações, consulte [Avaliação do SCP](orgs_manage_policies_scps_evaluation.md). Se você usa `Deny` instruções, você tem controle adicional porque pode restringir o acesso a recursos específicos, definir condições para quando SCPs elas estão em vigor e usar o [NotAction](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_notaction.html)elemento. Para obter detalhes sobre sintaxe de, consulte [Sintaxe de SCP](orgs_manage_policies_scps_syntax.md).
Para adicionar uma instrução que *nega* acesso:
1. No painel direito **Editar declaração** do editor, em **Adicionar ações**, escolha um AWS serviço.
À medida que você escolher opções à direita, o editor JSON é atualizado para mostrar a política JSON correspondente à esquerda.
1. Depois de selecionar um serviço, será aberta uma lista que contém as ações disponíveis para esse serviço. Você pode escolher **All actions (Todas as ações)** ou escolher uma ou mais ações individuais que você deseja negar.
O JSON à esquerda é atualizado para incluir as ações selecionadas.
**nota**
Se você selecionar uma ação individual e, em seguida, voltar e também selecionar **All actions (Todas as ações)**, a entrada esperada para `servicename:*` é adicionada ao JSON, mas as ações individuais selecionadas anteriormente são deixadas no JSON e não são removidas.
1. Se desejar adicionar ações de serviços adicionais, você pode escolher **All services (Todos os serviços)** na parte superior da caixa **Statement (Instrução)** e repetir as duas etapas anteriores, conforme necessário.
1. Especifique os recursos a serem incluídos na instrução.
+ Ao lado de **Add a resource (Adicionar um recurso)**, escolha **Add (Adicionar)**.
+ No diálogo **Add resource (Adicionar recurso)**, escolha o serviço cujos recursos você deseja controlar na lista. Você pode selecionar apenas entre os serviços selecionados na etapa anterior.
+ Em **Resource type (Tipo de recurso)**, escolha o tipo de recurso que você deseja controlar.
+ Finalmente, preencha o nome do recurso da Amazon (ARN) em**Resource ARN (ARN do recurso)** para identificar o recurso específico ao qual você deseja controlar o acesso. Você deve substituir todos os espaços reservados que estão rodeados por chaves `{}`. Você pode especificar curingas (`*`) onde a sintaxe ARN desse tipo de recurso permitir. Consulte a documentação de um tipo de recurso específico para obter informações sobre onde você pode usar curingas.
+ Salve sua adição à política escolhendo **Add resource (Adicionar recurso)**. O elemento `Resource` no JSON reflete suas adições ou alterações. O elemento do **recurso** é necessário.
**dica**
Se você desejar especificar todos os recursos para o serviço selecionado, escolha a opção **All resources (Todos os recursos)** na lista ou edite a instrução `Resource` diretamente no JSON para ler `"Resource":"*"`.
1. (Opcional) Para especificar condições que limitam quando uma instrução de política está em vigor, ao lado de **Add condition (Adicionar condição)**, escolha **Add (Adicionar)**.
+ **Chave de condição** — Na lista, você pode escolher qualquer chave de condição que esteja disponível para todos os AWS serviços (por exemplo,`aws:SourceIp`) ou uma chave específica de serviço para somente um dos serviços que você selecionou para essa declaração.
+ **Qualificador**: (opcional) quando a solicitação apresenta mais de um valor para uma chave de contexto de vários valores, você pode especificar um [qualificador](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_multi-value-conditions.html) para testar as solicitações em relação aos valores. Para obter mais informações, consulte [Chaves de contexto de valor único versus de múltiplos valores](reference_policies_condition-single-vs-multi-valued-context-keys.html) no *Guia do usuário do IAM*. Para verificar se uma solicitação pode ter vários valores, consulte [Ações, recursos e chaves de condição da Serviços da AWS](https://docs.aws.amazon.com/service-authorization/latest/reference/reference_policies_actions-resources-contextkeys.html) na *Referência de autorização de serviço*.
+ **Default (Padrão)** – testa um único valor na solicitação em relação ao valor da chave de condição na política. A condição retornará true se o valor da chave na solicitação corresponder ao valor na política. Se a política especificar mais de um valor, eles serão tratados como um teste "ou" e a condição retornará true se os valores da solicitação corresponderem a qualquer um dos valores de diretiva.
+ **For any value in a request (Para qualquer valor de uma solicitação)** – quando a solicitação pode ter vários valores, esta opção testa se *pelo menos um* dos valores da solicitação corresponde a pelo menos um dos valores da chave de condição na política. A condição retorna verdadeiro se qualquer um dos valores de chave na solicitação corresponder a algum dos valores da condição na política. A condição retornará "falso" se nenhuma chave corresponder ou se houver um conjunto de dados nulo.
+ **For all values in a request (Para todos os valores em uma solicitação)** – quando a solicitação pode ter vários valores, esta opção testa se *todos* os valores da solicitação correspondem ao valor da chave de condição na política. A condição retornará "verdadeiro" se cada valor de chave na solicitação corresponder a pelo menos um valor na política. Ela também retornará "verdadeiro" se não houver chaves na solicitação, ou se os valores de chave forem resolvidos para um conjunto de dados nulo, como uma string vazia.
+ **Operator (Operador)** – o [operador](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html) especifica o tipo de comparação a ser feita. As opções apresentadas dependem do tipo de dados da chave de condição. Por exemplo, a chave de condição global `aws:CurrentTime` permite que você escolha entre qualquer um dos operadores de comparação de datas, ou `Null`, que você pode usar para testar se o valor está presente na solicitação.
Para qualquer operador de condição, exceto o `Null` teste, você pode escolher a [IfExists](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html#Conditions_IfExists)opção.
+ **Value (Valor) ** – (opcional) especifique um ou mais valores para os quais você deseja testar a solicitação.
Escolha **Adicionar condição**.
Para obter mais informações sobre o uso de chaves de condição, consulte [Elementos de política JSON do IAM: condição](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) no *Guia do usuário do IAM*.
1. Para adicionar uma instrução que *permite* acesso:
1. No editor JSON à esquerda, altere a linha `"Effect": "Deny"` para `"Effect": "Allow"`.
À medida que você escolher opções à direita, o editor JSON é atualizado para mostrar a política JSON correspondente à esquerda.
1. Depois de selecionar um serviço, será aberta uma lista que contém as ações disponíveis para esse serviço. Você pode escolher **All actions (Todas as ações)** ou escolher uma ou mais ações individuais que você deseja permitir.
O JSON à esquerda é atualizado para incluir as ações selecionadas.
**nota**
Se você selecionar uma ação individual e, em seguida, voltar e também selecionar **All actions (Todas as ações)**, a entrada esperada para `servicename:*` é adicionada ao JSON, mas as ações individuais selecionadas anteriormente são deixadas no JSON e não são removidas.
1. Se desejar adicionar ações de serviços adicionais, você pode escolher **All services (Todos os serviços)** na parte superior da caixa **Statement (Instrução)** e repetir as duas etapas anteriores, conforme necessário.
1. (Opcional) Para adicionar outra instrução à política, escolha **Add Statement (Adicionar instrução)** e use o editor visual para criar a próxima instrução.
1. Ao concluir a adição de instruções, escolha **Create policy (Criar política)** para salvar a SCP concluída.
A nova SCP aparece na lista das políticas da organização. Agora você pode [anexar seu SCP à raiz OUs, ou contas](orgs_policies_attach.md).
------
#### [ AWS CLI & AWS SDKs ]
**Para criar uma política de controle de serviço**
Você pode usar um dos seguintes comandos para criar uma SCP:
+ AWS CLI: [create-policy](https://docs.aws.amazon.com/cli/latest/reference/organizations/create-policy.html)
O exemplo a seguir pressupõe que você tenha um arquivo chamado `Deny-IAM.json` com o texto da política JSON nele. Ele usa esse arquivo para criar uma nova política de controle de serviço.
```
$ aws organizations create-policy \
--content file://Deny-IAM.json \
--description "Deny all IAM actions" \
--name DenyIAMSCP \
--type SERVICE_CONTROL_POLICY
{
"Policy": {
"PolicySummary": {
"Id": "p-i9j8k7l6m5",
"Arn": "arn:aws:organizations::123456789012:policy/o-aa111bb222/service_control_policy/p-i9j8k7l6m5",
"Name": "DenyIAMSCP",
"Description": "Deny all IAM actions",
"Type": "SERVICE_CONTROL_POLICY",
"AwsManaged": false
},
"Content": "{\"Version\":\"2012-10-17\", \"Statement\":[{\"Sid\":\"Statement1\",\"Effect\":\"Deny\",\"Action\":[\"iam:*\"],\"Resource\":[\"*\"]}]}"
}
}
```
+ AWS SDKs: [CreatePolicy](https://docs.aws.amazon.com/organizations/latest/APIReference/API_CreatePolicy.html)
------
**nota**
SCPs não entram em vigor na conta de gerenciamento e em algumas outras situações. Para obter mais informações, consulte [Tarefas e entidades não restritas por SCPs](orgs_manage_policies_scps.md#not-restricted-by-scp).
## Crie uma política de controle de recursos (RCP)
**Permissões mínimas**
Para criar RCPs, você precisa de permissão para executar a seguinte ação:
`organizations:CreatePolicy`
------
#### [ Console de gerenciamento da AWS ]
**Criar uma política de controle de recursos**
1. Faça login no [console do AWS Organizations](https://console.aws.amazon.com/organizations/v2). Você deve fazer login como um usuário do IAM, assumir um perfil do IAM ou fazer login como usuário-raiz ([não recomendado](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials)) na conta gerencial da organização.
1. Na página **Política de controle de recursos**, escolha **Criar política**.
1. Na [página **Criar nova política de controle de recursos**](https://console.aws.amazon.com/organizations/home/policies/service-control/create), insira o **Nome da política** e uma **Descrição da política** opcional.
1. (Opcional) Adicione uma ou mais tags escolhendo **Add tag (Adicionar tag)** e inserindo uma chave e um valor opcional. Se deixar o valor em branco, ele é definido como uma sequência vazia, não `null`. É possível anexar até 50 tags a uma política. Para obter mais informações, consulte [Recursos de marcação AWS OrganizationsConsiderações](orgs_tagging.md).
**nota**
Na maioria das etapas a seguir, discutimos o uso dos controles no lado direito do editor JSON para construir a política, elemento por elemento. Como alternativa, você pode, a qualquer momento, simplesmente inserir texto no editor JSON no lado esquerdo da janela. Você pode digitar diretamente, ou usar copiar e colar.
1. Para adicionar uma instrução:
1. No painel direito **Editar declaração** do editor, em **Adicionar ações**, escolha um AWS serviço.
À medida que você escolher opções à direita, o editor JSON é atualizado para mostrar a política JSON correspondente à esquerda.
1. Depois de selecionar um serviço, será aberta uma lista que contém as ações disponíveis para esse serviço. Você pode escolher **All actions (Todas as ações)** ou escolher uma ou mais ações individuais que você deseja negar.
O JSON à esquerda é atualizado para incluir as ações selecionadas.
**nota**
Se você selecionar uma ação individual e, em seguida, voltar e também selecionar **All actions (Todas as ações)**, a entrada esperada para `servicename:*` é adicionada ao JSON, mas as ações individuais selecionadas anteriormente são deixadas no JSON e não são removidas.
1. Se desejar adicionar ações de serviços adicionais, você pode escolher **All services (Todos os serviços)** na parte superior da caixa **Statement (Instrução)** e repetir as duas etapas anteriores, conforme necessário.
1. Especifique os recursos a serem incluídos na instrução.
+ Ao lado de **Add a resource (Adicionar um recurso)**, escolha **Add (Adicionar)**.
+ No diálogo **Add resource (Adicionar recurso)**, escolha o serviço cujos recursos você deseja controlar na lista. Você pode selecionar apenas entre os serviços selecionados na etapa anterior.
+ Em **Resource type (Tipo de recurso)**, escolha o tipo de recurso que você deseja controlar.
+ Preencha o nome do recurso da Amazon (ARN) em **ARN do recurso** para identificar o recurso específico ao qual você deseja controlar o acesso. Você deve substituir todos os espaços reservados que estão rodeados por chaves `{}`. Você pode especificar curingas (`*`) onde a sintaxe ARN desse tipo de recurso permitir. Consulte a [documentação](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_resource.html#reference_policies_elements_resource_wildcards) de um tipo de recurso específico para obter informações sobre onde você pode usar curingas.
+ Salve sua adição à política escolhendo **Add resource (Adicionar recurso)**. O elemento `Resource` no JSON reflete suas adições ou alterações. O elemento do **recurso** é necessário.
**dica**
Se você desejar especificar todos os recursos para o serviço selecionado, escolha a opção **All resources (Todos os recursos)** na lista ou edite a instrução `Resource` diretamente no JSON para ler `"Resource":"*"`.
1. (Opcional) Para especificar condições que limitam quando uma instrução de política está em vigor, ao lado de **Add condition (Adicionar condição)**, escolha **Add (Adicionar)**.
+ **Chave de condição** — Na lista, você pode escolher qualquer chave de condição que esteja disponível para todos os AWS serviços (por exemplo,`aws:SourceIp`) ou uma chave específica de serviço para somente um dos serviços que você selecionou para essa declaração.
+ **Qualificador**: (opcional) quando a solicitação apresenta mais de um valor para uma chave de contexto de vários valores, você pode especificar um [qualificador](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_multi-value-conditions.html) para testar as solicitações em relação aos valores. Para obter mais informações, consulte [Chaves de contexto de valor único versus de múltiplos valores](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-single-vs-multi-valued-context-keys.html) no *Guia do usuário do IAM*. Para verificar se uma solicitação pode ter vários valores, consulte [Ações, recursos e chaves de condição da Serviços da AWS](https://docs.aws.amazon.com/service-authorization/latest/reference/reference_policies_actions-resources-contextkeys.html) na *Referência de autorização de serviço*.
+ **Default (Padrão)** – testa um único valor na solicitação em relação ao valor da chave de condição na política. A condição retornará true se o valor da chave na solicitação corresponder ao valor na política. Se a política especificar mais de um valor, eles serão tratados como um teste "ou" e a condição retornará true se os valores da solicitação corresponderem a qualquer um dos valores de diretiva.
+ **For any value in a request (Para qualquer valor de uma solicitação)** – quando a solicitação pode ter vários valores, esta opção testa se *pelo menos um* dos valores da solicitação corresponde a pelo menos um dos valores da chave de condição na política. A condição retorna verdadeiro se qualquer um dos valores de chave na solicitação corresponder a algum dos valores da condição na política. A condição retornará "falso" se nenhuma chave corresponder ou se houver um conjunto de dados nulo.
+ **For all values in a request (Para todos os valores em uma solicitação)** – quando a solicitação pode ter vários valores, esta opção testa se *todos* os valores da solicitação correspondem ao valor da chave de condição na política. A condição retornará "verdadeiro" se cada valor de chave na solicitação corresponder a pelo menos um valor na política. Ela também retornará "verdadeiro" se não houver chaves na solicitação, ou se os valores de chave forem resolvidos para um conjunto de dados nulo, como uma string vazia.
+ **Operator (Operador)** – o [operador](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html) especifica o tipo de comparação a ser feita. As opções apresentadas dependem do tipo de dados da chave de condição. Por exemplo, a chave de condição global `aws:CurrentTime` permite que você escolha entre qualquer um dos operadores de comparação de datas, ou `Null`, que você pode usar para testar se o valor está presente na solicitação.
Para qualquer operador de condição, exceto o `Null` teste, você pode escolher a [IfExists](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html#Conditions_IfExists)opção.
+ **Value (Valor) ** – (opcional) especifique um ou mais valores para os quais você deseja testar a solicitação.
Escolha **Adicionar condição**.
Para obter mais informações sobre o uso de chaves de condição, consulte [Elementos de política JSON do IAM: condição](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) no *Guia do usuário do IAM*.
1. (Opcional) Para usar o elemento `NotAction` para negar acesso a todas as ações, ***exceto*** as especificadas, substitua `Action` por `NotAction` no painel à esquerda, logo após o elemento `"Effect": "Deny",`. Para obter mais informações, consulte [Elementos de política JSON do IAM: NotAction](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_notaction.html) no *Guia do usuário do IAM*.
1. (Opcional) Para adicionar outra instrução à política, escolha **Add Statement (Adicionar instrução)** e use o editor visual para criar a próxima instrução.
1. Ao concluir a adição de instruções, escolha **Criar política** para salvar a RCP concluída.
A nova RCP aparece na lista das políticas da organização. Agora você pode [anexar seu RCP à raiz OUs, ou contas](orgs_policies_attach.md).
------
#### [ AWS CLI & AWS SDKs ]
**Criar uma política de controle de recursos**
Você pode usar um dos seguintes comandos para criar uma RCP:
+ AWS CLI: [create-policy](https://docs.aws.amazon.com/cli/latest/reference/organizations/create-policy.html)
O exemplo a seguir pressupõe que você tenha um arquivo chamado `Deny-IAM.json` com o texto da política JSON nele. Ele usa esse arquivo para criar uma nova política de controle de recursos.
```
$ aws organizations create-policy \
--content file://Deny-IAM.json \
--description "Deny all IAM actions" \
--name DenyIAMRCP \
--type RESOURCE_CONTROL_POLICY
{
"Policy": {
"PolicySummary": {
"Id": "p-i9j8k7l6m5",
"Arn": "arn:aws:organizations::123456789012:policy/o-aa111bb222/resource_control_policy/p-i9j8k7l6m5",
"Name": "DenyIAMRCP",
"Description": "Deny all IAM actions",
"Type": "RESOURCE_CONTROL_POLICY",
"AwsManaged": false
},
"Content": "{\"Version\":\"2012-10-17\", \"Statement\":[{\"Sid\":\"Statement1\",\"Effect\":\"Deny\",\"Action\":[\"iam:*\"],\"Resource\":[\"*\"]}]}"
}
}
```
+ AWS SDKs: [CreatePolicy](https://docs.aws.amazon.com/organizations/latest/APIReference/API_CreatePolicy.html)
------
**nota**
RCPs não entram em vigor na conta de gerenciamento e em algumas outras situações. Para obter mais informações, consulte [Recursos e entidades não restritos por RCPs](orgs_manage_policies_rcps.md#actions-not-restricted-by-rcps).
## Criar uma política declarativa
**Permissões mínimas**
Para criar uma política declarativa, você precisa de permissão para executar a seguinte ação:
`organizations:CreatePolicy`
------
#### [ Console de gerenciamento da AWS ]
**Criar uma política declarativa**
1. Faça login no [console do AWS Organizations](https://console.aws.amazon.com/organizations/v2). Você deve fazer login como um usuário do IAM, assumir um perfil do IAM ou fazer login como usuário-raiz ([não recomendado](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials)) na conta gerencial da organização.
1. Na página ** [Políticas declarativas](https://console.aws.amazon.com/organizations/v2/home/policies/declarative-policy-ec2)**, escolha **Criar política**.
1. Na [página **Criar nova política declarativa para EC2**](https://console.aws.amazon.com/organizations/v2/home/policies/declarative-policy-ec2/create), insira o **Nome da política** e uma **Descrição da política** opcional.
1. (Opcional) você pode adicionar uma ou mais tags escolhendo **Add tag (Adicionar tag)** e inserindo uma chave e um valor opcional. Se deixar o valor em branco, ele é definido como uma sequência vazia, não `null`. É possível anexar até 50 tags a uma política. Para obter mais informações, consulte [Recursos de marcação AWS OrganizationsConsiderações](orgs_tagging.md).
1. Você pode criar a política usando o **Editor Visual**, conforme descrito neste procedimento. Você também pode inserir ou colar texto de política na guia **JSON** . Para obter informações sobre sintaxe de política declarativa, consulte [Sintaxe e exemplos de políticas declarativas](orgs_manage_policies_declarative_syntax.md).
Se você optar por usar o **Editor visual**, selecione o atributo de serviço que deseja incluir na sua política declarativa. Para obter mais informações, consulte [Suporte Serviços da AWS e atributos](orgs_manage_policies_declarative.md#orgs_manage_policies_declarative-supported-controls).
1. Escolha **Adicionar atributo de serviço** e configure o atributo de acordo com suas especificações. Para ter informações mais detalhadas sobre cada efeito, consulte [Sintaxe e exemplos de políticas declarativas](orgs_manage_policies_declarative_syntax.md).
1. Quando terminar de editar sua política, escolha **Create policy (Criar política)** no canto inferior direito da página.
------
#### [ AWS CLI & AWS SDKs ]
**Criar uma política declarativa**
Você pode usar um dos seguintes procedimentos para criar uma política declarativa:
+ AWS CLI: [create-policy](https://docs.aws.amazon.com/cli/latest/reference/organizations/create-policy.html)
1. Crie uma política declarativa como a seguinte e armazene-a em um arquivo de texto.
```
{
"ec2_attributes": {
"image_block_public_access": {
"state": {
"@@assign": "block_new_sharing"
}
}
}
}
```
Essa política declarativa especifica que todas as contas afetadas pela política devem ser configuradas para que as novas Amazon Machine Images (AMIs) não possam ser compartilhadas publicamente. Para obter informações sobre sintaxe de política declarativa, consulte [Sintaxe e exemplos de políticas declarativas](orgs_manage_policies_declarative_syntax.md).
1. Importe o arquivo de política JSON para criar uma nova política na organização. Neste exemplo, o arquivo JSON anterior foi chamado de `policy.json`.
```
$ aws organizations create-policy \
--type DECLARATIVE_POLICY_EC2 \
--name "MyTestPolicy" \
--description "My test policy" \
--content file://policy.json
{
"Policy": {
"Content": "{"ec2_attributes":{"image_block_public_access":{"state":{"@@assign":"block_new_sharing"}}}}".
"PolicySummary": {
"Id": "p-i9j8k7l6m5"
"Arn": "arn:aws:organizations::o-aa111bb222:policy/declarative_policy_ec2/p-i9j8k7l6m5",
"Description": "My test policy",
"Name": "MyTestPolicy",
"Type": "DECLARATIVE_POLICY_EC2"
}
}
}
```
+ AWS SDKs: [CreatePolicy](https://docs.aws.amazon.com/organizations/latest/APIReference/API_CreatePolicy.html)
------
**O que fazer em seguida**
Depois de criar uma política declarativa, avalie a prontidão usando o [relatório de status da conta](orgs_manage_policies_declarative.md#orgs_manage_policies_declarative-account-status-report). Em seguida, você poderá aplicar suas configurações básicas. Para fazer isso, você pode [anexar a política](orgs_policies_attach.md) à raiz da organização, às unidades organizacionais (OUs), Contas da AWS dentro da sua organização ou a uma combinação de todas elas.
## Criar uma política de backup
**Permissões mínimas**
Para criar uma política de backup, você precisa de permissão para executar a seguinte ação:
`organizations:CreatePolicy`
------
#### [ Console de gerenciamento da AWS ]
Você pode criar uma política de backup Console de gerenciamento da AWS em uma das duas maneiras:
+ Um editor visual que permite escolher opções e gera o texto da política JSON para você.
+ Um editor de texto que permite que você mesmo crie diretamente o texto da política JSON.
O editor visual facilita o processo, mas limita sua flexibilidade. É uma ótima maneira de criar suas primeiras políticas e se sentir confortável ao usá-las. Depois de entender como elas funcionam e de começar a ser limitado pelo que o editor visual fornece, você poderá adicionar recursos avançados às suas políticas editando você mesmo o texto da política JSON. O editor visual usa apenas o [operador de definição de valor @@assign](policy-operators.md#value-setting-operators) e não fornece qualquer acesso aos [operadores de controle subordinados](policy-operators.md#child-control-operators). Você só pode adicioná-los se editar manualmente o texto de política JSON.
**Para criar uma política de backup**
1. Faça login no [console do AWS Organizations](https://console.aws.amazon.com/organizations/v2). Você deve fazer login como um usuário do IAM, assumir um perfil do IAM ou fazer login como usuário-raiz ([não recomendado](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials)) na conta gerencial da organização.
1. Na página **[Backup policies (Políticas de backup)](https://console.aws.amazon.com/organizations/v2/home/policies/backup-policy)**, escolha **Create policy (Criar política)**.
1. Na página **Create policy (Criar política)**, insira um ****nome de política**** e uma **descrição**, opcional, para a política.
1. (Opcional) você pode adicionar uma ou mais tags escolhendo **Add tag (Adicionar tag)** e inserindo uma chave e um valor opcional. Se deixar o valor em branco, ele é definido como uma sequência vazia, não `null`. É possível anexar até 50 tags a uma política. Para obter mais informações sobre marcação, consulte [Recursos de marcação AWS OrganizationsConsiderações](orgs_tagging.md).
1. Você pode criar a política usando o **Editor Visual**, conforme descrito neste procedimento. Você também pode inserir ou colar texto de política na guia **JSON** . Para obter informações sobre a sintaxe de política de backup, consulte [Sintaxe e exemplos de políticas de backup](orgs_manage_policies_backup_syntax.md).
Se você optar por usar o **Editor Visual**, selecione as opções de backup apropriadas para seu cenário. Um plano de backup consiste em três partes. Para obter mais informações sobre esses elementos do plano de backup, consulte [Criação de um plano de backup](https://docs.aws.amazon.com/aws-backup/latest/devguide/creating-a-backup-plan.html) e [Atribuição de recursos](https://docs.aws.amazon.com/aws-backup/latest/devguide/assigning-resources.html) no *Guia do desenvolvedor do AWS Backup *.
1. Detalhes gerais do plano de backup
+ O **Nome do plano de backup** pode consistir apenas em caracteres alfanuméricos, hífen e sublinhados.
+ Você deve selecionar pelo menos uma **Região do plano de backup** na lista. O plano pode fazer backup de recursos somente nas Regiões da AWS selecionadas.
1. Uma ou mais regras de backup que especificam como e quando o AWS Backup deve operar. Cada regra de backup define os seguintes itens:
+ Uma programação que inclui a frequência do backup e a janela de tempo em que o backup pode ocorrer.
+ O nome do cofre de backup a ser usado. O **nome do cofre de backup** pode consistir apenas em caracteres alfanuméricos, hífen e sublinhados. O cofre de backup deve existir antes que o plano possa ser executado com êxito. Crie o cofre usando o AWS Backup console ou os AWS CLI comandos.
+ (Opcional) Uma ou mais regras de **Copiar para região** também copiam o backup para cofres em outras Regiões da AWS.
+ Um ou mais pares de chave de tag e valor a serem anexados aos pontos de recuperação de backup criados sempre que esse plano de backup for executado.
+ Opções de ciclo de vida que especificam quando o backup faz a transição para o armazenamento frio e quando o backup expira.
Escolha **Add rule (Adicionar regra)** para adicionar cada regra necessária ao plano.
Para obter mais informações sobre backup, consulte [Regras de backup](https://docs.aws.amazon.com/aws-backup/latest/devguide/creating-a-backup-plan.html#backup-rules) no *Guia do desenvolvedor do AWS Backup *.
1. Uma atribuição de recurso que especifica os recursos dos quais o AWS Backup deve fazer backup com este plano. A atribuição é feita especificando pares de tags AWS Backup usados para encontrar e combinar recursos
+ O **nome da atribuição do recurso** pode consistir apenas em caracteres alfanuméricos, hífen e sublinhados.
+ Especifique a **função do IAM** a ser usada pelo AWS Backup para executar o backup pelo nome.
No console, você não especifica o nome do recurso da Amazon (ARN) inteiro. Você deve incluir o nome da função e o prefixo que especifica o tipo de função. Os prefixos são tipicamente `role` ou `service-role`, e eles são separados do nome da função por uma barra ('/'). Por exemplo, você pode inserir `role/MyRoleName` ou `service-role/MyManagedRoleName`. Isso é convertido em um ARN completo para você quando armazenado no JSON subjacente.
**Importante**
A função do IAM especificada já deve existir na conta à qual a política é aplicada. Caso contrário, o plano de backup pode iniciar com êxito trabalhos de backup, mas esses trabalhos de backup falharão.
+ Especifique uma ou mais **chaves de tag de recurso** e **valores de tag** para identificar os recursos dos quais você deseja que seja feito backup. Se houver mais de um valor de tag, separe-os com vírgulas.
Selecione **Add assignment (Adicionar atribuição)** para adicionar cada atribuição de recurso configurada ao plano de backup.
Para obter mais informações, consulte [Atribuir recursos a um plano de backup](https://docs.aws.amazon.com/aws-backup/latest/devguide/create-a-scheduled-backup.html#assign-resources-to-plan) no *Guia do desenvolvedor do AWS Backup *.
1. Quando terminar de criar sua política, escolha **Create policy (Criar política)**. A política aparecerá na lista de políticas de backup disponíveis.
------
#### [ AWS CLI & AWS SDKs ]
**Para criar uma política de backup**
Você pode usar um dos seguintes procedimentos para criar uma política de backup:
+ AWS CLI: [create-policy](https://docs.aws.amazon.com/cli/latest/reference/organizations/create-policy.html)
Crie um plano de backup como texto JSON semelhante ao seguinte e armazene-o em um arquivo de texto. Para obter regras completas para a sintaxe, consulte [Sintaxe e exemplos de políticas de backup](orgs_manage_policies_backup_syntax.md).
```
{
"plans": {
"PII_Backup_Plan": {
"regions": { "@@assign": [ "ap-northeast-2", "us-east-1", "eu-north-1" ] },
"rules": {
"Hourly": {
"schedule_expression": { "@@assign": "cron(0 5/1 ? * * *)" },
"start_backup_window_minutes": { "@@assign": "480" },
"complete_backup_window_minutes": { "@@assign": "10080" },
"lifecycle": {
"move_to_cold_storage_after_days": { "@@assign": "180" },
"delete_after_days": { "@@assign": "270" }
},
"target_backup_vault_name": { "@@assign": "FortKnox" },
"copy_actions": {
"arn:aws:backup:us-east-1:$account:backup-vault:secondary-vault": {
"lifecycle": {
"move_to_cold_storage_after_days": { "@@assign": "10" },
"delete_after_days": { "@@assign": "100" }
}
}
}
}
},
"selections": {
"tags": {
"datatype": {
"iam_role_arn": { "@@assign": "arn:aws:iam::$account:role/MyIamRole" },
"tag_key": { "@@assign": "dataType" },
"tag_value": { "@@assign": [ "PII" ] }
}
}
}
}
}
}
```
Esse plano de backup especifica que o AWS Backup deve fazer backup de todos os recursos dos afetados Contas da AWS que estão no especificado Regiões da AWS e que têm a tag `dataType` com um valor de`PII`.
Em seguida, importe o plano de backup do arquivo de política JSON para criar uma nova política na organização. Observe o ID da política no final do ARN da política na saída.
```
$ aws organizations create-policy \
--name "MyBackupPolicy" \
--type BACKUP_POLICY \
--description "My backup policy" \
--content file://policy.json{
"Policy": {
"PolicySummary": {
"Arn": "arn:aws:organizations::o-aa111bb222:policy/backup_policy/p-i9j8k7l6m5",
"Description": "My backup policy",
"Name": "MyBackupPolicy",
"Type": "BACKUP_POLICY"
}
"Content": "...a condensed version of the JSON policy document you provided in the file...",
}
}
```
+ AWS SDKs: [CreatePolicy](https://docs.aws.amazon.com/organizations/latest/APIReference/API_CreatePolicy.html)
------
## Criar uma política de tags
**Permissões mínimas**
Para criar políticas de tag, você precisa de permissão para executar a seguinte ação:
`organizations:CreatePolicy`
Você pode criar uma política de tags Console de gerenciamento da AWS de duas maneiras:
+ Um editor visual que permite escolher opções e gera o texto da política JSON para você.
+ Um editor de texto que permite que você mesmo crie diretamente o texto da política JSON.
O editor visual facilita o processo, mas limita sua flexibilidade. É uma ótima maneira de criar suas primeiras políticas e se sentir confortável ao usá-las. Depois de entender como elas funcionam e de começar a ser limitado pelo que o editor visual fornece, você poderá adicionar recursos avançados às suas políticas editando você mesmo o texto da política JSON. O editor visual usa apenas o [operador de definição de valor @@assign](policy-operators.md#value-setting-operators) e não fornece qualquer acesso aos [operadores de controle subordinados](policy-operators.md#child-control-operators). Você só pode adicioná-los se editar manualmente o texto de política JSON.
------
#### [ Console de gerenciamento da AWS ]
Você pode criar uma política de tags Console de gerenciamento da AWS de duas maneiras:
+ Um editor visual que permite escolher opções e gera o texto da política JSON para você.
+ Um editor de texto que permite que você mesmo crie diretamente o texto da política JSON.
O editor visual facilita o processo, mas limita sua flexibilidade. É uma ótima maneira de criar suas primeiras políticas e se sentir confortável ao usá-las. Depois de entender como elas funcionam e de começar a ser limitado pelo que o editor visual fornece, você poderá adicionar recursos avançados às suas políticas editando você mesmo o texto da política JSON. O editor visual usa apenas o [operador de definição de valor @@assign](policy-operators.md#value-setting-operators) e não fornece qualquer acesso aos [operadores de controle subordinados](policy-operators.md#child-control-operators). Você só pode adicioná-los se editar manualmente o texto de política JSON.
**Como criar uma política de tag**
1. Faça login no [console do AWS Organizations](https://console.aws.amazon.com/organizations/v2). Você deve fazer login como um usuário do IAM, assumir um perfil do IAM ou fazer login como usuário-raiz ([não recomendado](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials)) na conta gerencial da organização.
1. Na página **[Tag policies (Políticas de tag)](https://console.aws.amazon.com/organizations/v2/home/policies/tag-policy)** escolha **Create policy (Criar política)**.
1. Na página **Create policy (Criar política)**, insira um ****nome de política**** e uma **descrição**, opcional, para a política.
1. (Opcional) Você pode adicionar uma ou mais tags ao próprio objeto política. Essas tags não fazem parte da política. Para fazer isso, escolha **Add tag (Adicionar tag)** e, em seguida, insira uma chave e um valor opcional. Se deixar o valor em branco, ele é definido como uma sequência vazia, não `null`. É possível anexar até 50 tags a uma política. Para obter mais informações, consulte [Recursos de marcação AWS OrganizationsConsiderações](orgs_tagging.md).
1. Você pode criar a política de tags usando o **Visual editor (Editor Visual)** conforme descrito neste procedimento. Você também pode digitar ou colar uma política de tag na guia **JSON**. Para obter informações sobre sintaxe de política de tag, consulte [Sintaxe de política de tag](orgs_manage_policies_example-tag-policies.md#tag-policy-syntax-reference).
Se você optar por usar o **Editor visual**, especifique o seguinte:
1. Em **New tag Key 1 (Nova chave de tag 1)**, especifique o nome de uma chave de tag a ser adicionada.
1. Em **Compliance Options**, você pode selecionar as seguintes opções:
1. **Use the capitalization that you've specified above for the tag key**: deixe esta opção desmarcada (o padrão) para especificar que a política de tag pai herdada, caso exista, deve definir o tratamento de maiúsculas e minúsculas para a chave de tag.
Habilite esta opção se quiser impor uma definição de maiúsculas e minúsculas para a chave de tag usando esta política. Se você selecionar essa opção, a diferenciação de maiúsculas e minúsculas especificada em **Tag Key (Chave de tag)** substituirá o tratamento de maiúsculas e minúsculas especificado em uma política superior.
Se uma política superior não existir e você não habilitar essa opção, somente chaves de tag com todos os caracteres minúsculos serão consideradas compatíveis. Para obter mais informações sobre herança de políticas superiores, consulte [Entendendo a herança da política de gerenciamento](orgs_manage_policies_inheritance_mgmt.md).
**dica**
Considere usar como guia a política de tags de exemplo mostrada em [Exemplo 1: definir maiúsculas e minúsculas de chave de tag em toda a organização](orgs_manage_policies_example-tag-policies.md#tag-policy-example-key-case), na criação de uma política de tag que defina chaves de tag e o tratamento de maiúsculas e minúsculas. Anexe-a à raiz da organização. Posteriormente, você pode criar e anexar políticas de tags OUs ou contas adicionais para criar regras de marcação adicionais.
1. **Specify allowed values for this tag key**: habilite esta opção se quiser adicionar valores permitidos para esta chave de tag a quaisquer valores herdados de uma política pai.
Por padrão, essa opção está desmarcada, o que significa que somente os valores herdados de uma política superior são considerados compatíveis. Se uma política pai não existir e você não especificar valores de tag, qualquer valor (incluindo nenhum valor) será considerado compatível.
Para atualizar a lista de valores de tag aceitáveis, selecione **Specify allowed values for this tag key (Especificar valores permitidos para esta chave de tag)** e depois **Specify values (Especificar valores)**. Quando solicitado, insira os novos valores e escolha **Save changes (Salvar alterações)**.
1. Em **Resource types to enforce**, você pode selecionar **Prevent noncompliant operations for this tag**.
Recomendamos deixar esta opção desmarcada (o padrão), a menos que você tenha experiência com o uso de políticas de tag. Verifique se você revisou as recomendações em [Imponha a consistência da marcação](orgs_manage_policies_tag-policies-enforcement.md) e teste cuidadosamente. Caso contrário, você pode impedir que os usuários nas contas da organização atribuam tags aos recursos necessários.
Se você quiser impor compatibilidade com essa chave de tag, marque a caixa de seleção e selecione, **Specify allowed values (Especificar valores permitidos)**. Quando solicitado, selecione os tipos de recursos a serem incluídos na política. Em seguida, escolha **Salvar alterações**.
**Importante**
Quando você seleciona essa opção, todas as operações que manipulam tags para recursos dos tipos especificados só serão bem-sucedidas se a operação resultar em tags compatíveis com a política.
1. (Opcional) Para adicionar outra chave de tag a esta política de tag, escolha **Add tag key (Adicionar chave de tag)**. Depois, execute as etapas de 6 a 9 para definir a chave de tag.
1. Quando terminar de criar sua política de tags, escolha **Save changes (Salvar alterações)**.
------
#### [ AWS CLI & AWS SDKs ]
**Como criar uma política de tag**
Você pode usar um dos seguintes procedimentos para criar uma política de tags:
+ AWS CLI: [create-policy](https://docs.aws.amazon.com/cli/latest/reference/organizations/create-policy.html)
É possível usar qualquer editor de texto para criar a política de tag. Use a sintaxe JSON e salve a política de tag como um arquivo com qualquer nome e extensão em um local de sua escolha. As políticas de tag podem ter no máximo 2.500 caracteres, incluindo espaços. Para obter informações sobre sintaxe de política de tag, consulte [Sintaxe de política de tag](orgs_manage_policies_example-tag-policies.md#tag-policy-syntax-reference).
**Como criar uma política de tag**
1. Crie uma política de tag em um arquivo de texto semelhante ao seguinte:
Conteúdo de `testpolicy.json`:
```
{
"tags": {
"CostCenter": {
"tag_key": {
"@@assign": "CostCenter"
}
}
}
}
```
Esta política de tag define a chave de tag `CostCenter`. A tag pode aceitar qualquer valor ou nenhum valor. Uma política como essa significa que um recurso que tem a CostCenter tag anexada com ou sem um valor está em conformidade.
1. Crie uma política que contenha o conteúdo da política do arquivo. O espaço em branco extra na saída foi truncado para facilitar a leitura.
```
$ aws organizations create-policy \
--name "MyTestTagPolicy" \
--description "My Test policy" \
--content file://testpolicy.json \
--type TAG_POLICY
{
"Policy": {
"PolicySummary": {
"Id": "p-a1b2c3d4e5",
"Arn": "arn:aws:organizations::123456789012:policy/o-aa111bb222/tag_policy/p-a1b2c3d4e5",
"Name": "MyTestTagPolicy",
"Description": "My Test policy",
"Type": "TAG_POLICY",
"AwsManaged": false
},
"Content": "{\n\"tags\":{\n\"CostCenter\":{\n\"tag_key\":{\n\"@@assign\":\"CostCenter\"\n}\n}\n}\n}\n\n"
}
}
```
+ AWS SDKs: [CreatePolicy](https://docs.aws.amazon.com/organizations/latest/APIReference/API_CreatePolicy.html)
------
## Criar uma política de aplicativos de chat
**Permissões mínimas**
Para criar uma política de aplicativos de chat, você precisa de permissão para executar a seguinte ação:
`organizations:CreatePolicy`
------
#### [ Console de gerenciamento da AWS ]
Você pode criar uma política de aplicativos de bate-papo Console de gerenciamento da AWS em uma das duas maneiras:
+ Um editor visual que permite escolher opções e gera o texto da política JSON para você.
+ Um editor de texto que permite que você mesmo crie diretamente o texto da política JSON.
O editor visual facilita o processo, mas limita sua flexibilidade. É uma ótima maneira de criar suas primeiras políticas e se sentir confortável ao usá-las. Depois de entender como elas funcionam e de começar a ser limitado pelo que o editor visual fornece, você poderá adicionar recursos avançados às suas políticas editando você mesmo o texto da política JSON. O editor visual usa apenas o [operador de definição de valor @@assign](policy-operators.md#value-setting-operators) e não fornece qualquer acesso aos [operadores de controle subordinados](policy-operators.md#child-control-operators). Você só pode adicioná-los se editar manualmente o texto de política JSON.
**Criar uma política de aplicativos de chat**
1. Faça login no [console do AWS Organizations](https://console.aws.amazon.com/organizations/v2). Você deve fazer login como um usuário do IAM, assumir um perfil do IAM ou fazer login como usuário-raiz ([não recomendado](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials)) na conta gerencial da organização.
1. Na página **[Chatbot policies](https://console.aws.amazon.com/organizations/v2/home/policies/chatbot-policy)**, escolha **Create policy**.
1. Na [página **Criar nova política de aplicativos de chat**](https://console.aws.amazon.com/organizations/v2/home/policies/chatbot-policy/create), insira o **Nome da política** e uma **Descrição da política** opcional.
1. (Opcional) você pode adicionar uma ou mais tags escolhendo **Add tag (Adicionar tag)** e inserindo uma chave e um valor opcional. Se deixar o valor em branco, ele é definido como uma sequência vazia, não `null`. É possível anexar até 50 tags a uma política. Para obter mais informações, consulte [Recursos de marcação AWS OrganizationsConsiderações](orgs_tagging.md).
1. Você pode criar a política usando o **Editor Visual**, conforme descrito neste procedimento. Você também pode inserir ou colar texto de política na guia **JSON** . Para obter informações sobre sintaxe de política de aplicativos de chat, consulte [Sintaxe e exemplos de políticas de aplicativos de chat](orgs_manage_policies_chatbot_syntax.md).
Se você optar por usar o **Editor visual**, configure sua política de aplicativos de chat especificando controles de acesso para clientes de chat.
1. Escolha uma das seguintes opções para **Set Amazon Chime chat client access**
+ Negar o acesso ao Chime.
+ Permitir o acesso ao Chime.
1. Escolha uma das seguintes opções para **Set Microsoft Teams chat client access**
+ Negar acesso a tudo do Teams
+ Permitir acesso a tudo do Teams
+ Restringir acesso a Teams específicos
1. Escolha uma das seguintes opções para **Set Slack chat client access**
+ Negar acesso a todos os espaços de trabalho do Slack
+ Permitir acesso a todos os espaços de trabalho do Slack
+ Restringir acesso a espaços de trabalho do Slack específicos
**nota**
Além disso, você pode selecionar **Limitar o uso do Amazon Q Developer em aplicativos de chat apenas a canais privados do Slack.**.
1. Selecione as seguintes opções para **Set IAM permissions types**
+ **Enable Channel level IAM role**: todos os membros do canal compartilham as permissões do perfil do IAM para executar tarefas em um canal. Um perfil de canal será apropriado se os membros do canal precisarem das mesmas permissões.
+ **Enable User level IAM role**: os membros do canal devem escolher um perfil de usuário do IAM para realizar ações (requer acesso ao console para escolher os perfis). Perfis de usuário serão apropriados se os membros do canal precisarem de permissões diferentes e puderem escolher seus perfis de usuário.
1. Quando terminar de criar sua política, escolha **Create policy (Criar política)**. A política aparecerá na lista de políticas de backup de chatbot.
------
#### [ AWS CLI & AWS SDKs ]
**Criar uma política de aplicativos de chat**
Você pode usar um dos seguintes procedimentos para criar uma política de aplicativos de chat:
+ AWS CLI: [create-policy](https://docs.aws.amazon.com/cli/latest/reference/organizations/create-policy.html)
É possível usar qualquer editor de texto para criar a política de aplicativos de chat. Use a sintaxe JSON e salve a política de aplicativos de chat como arquivo com qualquer nome e extensão em um local de sua escolha. As políticas de aplicativos de chat podem ter no máximo ? caracteres, incluindo espaços. Para obter informações sobre sintaxe de política de tag, consulte [Sintaxe e exemplos de políticas de aplicativos de chat](orgs_manage_policies_chatbot_syntax.md).
**Criar uma política de aplicativos de chat**
1. Crie uma política de aplicativos de chat em um arquivo de texto semelhante ao seguinte:
Conteúdo de `testpolicy.json`:
```
{
"chatbot": {
"platforms": {
"slack": {
"client": {
"@@assign": "enabled"
},
"workspaces": {
"@@assign": [
"Slack-Workspace-Id"
]
},
"default": {
"supported_channel_types": {
"@@assign": [
"private"
]
}
}
},
"microsoft_teams": {
"client": {
"@@assign": "disabled"
}
}
}
}
}
```
Esta política de aplicativos de chat permite apenas canais privados do Slack em um espaço de trabalho específico, desativa o Microsoft Teams e oferece suporte a todas as [configurações de perfil](https://docs.aws.amazon.com/chatbot/latest/adminguide/understanding-permissions.html#role-settings).
1. Crie uma política que contenha o conteúdo da política do arquivo. O espaço em branco extra na saída foi truncado para facilitar a leitura.
```
$ aws organizations create-policy \
--name "MyTestChatbotPolicy" \
--description "My Test policy" \
--content file://testpolicy.json \
--type CHATBOT_POLICY
{
"Policy": {
"PolicySummary": {
"Id": "p-a1b2c3d4e5",
"Arn": "arn:aws:organizations::123456789012:policy/o-aa111bb222/chatbot_policy/p-a1b2c3d4e5",
"Name": "MyTestChatApplicationsPolicy",
"Description": "My Test policy",
"Type": "CHATBOT_POLICY",
"AwsManaged": false
},
"Content": "{"chatbot":{"platforms":{"slack":{"client":{"@@assign":"enabled"},"workspaces":{"@@assign":["Slack-Workspace-Id"]},"supported_channel_types":{"@@assign":["private"]}},"microsoft_teams":{"client":{"@@assign":"disabled"}}}}}"
}
}
```
+ AWS SDKs: [CreatePolicy](https://docs.aws.amazon.com/organizations/latest/APIReference/API_CreatePolicy.html)
------
## Criar uma política de recusa de serviços de IA
**Permissões mínimas**
Para criar uma política de exclusão dos serviços de IA, você precisa de permissão para executar a seguinte ação:
`organizations:CreatePolicy`
------
#### [ Console de gerenciamento da AWS ]
**Para criar uma política de exclusão dos serviços de IA**
1. Faça login no [console do AWS Organizations](https://console.aws.amazon.com/organizations/v2). Você deve fazer login como um usuário do IAM, assumir um perfil do IAM ou fazer login como usuário-raiz ([não recomendado](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials)) na conta gerencial da organização.
1. Na página **[AI services opt-out policies (Políticas de exclusão dos serviços de IA)](https://console.aws.amazon.com/organizations/v2/home/policies/aiservices-opt-out-policy)**, escolha **Create policy (Criar política)**.
1. Na página [https://console.aws.amazon.com/organizations/v2/home/policies/aiservices-opt-out-policy/create](https://console.aws.amazon.com/organizations/v2/home/policies/aiservices-opt-out-policy/create), insira um **nome da política** e uma **descrição da política**, opcional.
1. (Opcional) você pode adicionar uma ou mais tags escolhendo **Add tag (Adicionar tag)** e inserindo uma chave e um valor opcional. Se deixar o valor em branco, ele é definido como uma sequência vazia, não `null`. É possível anexar até 50 tags a uma política. Para obter mais informações, consulte [Recursos de marcação AWS OrganizationsConsiderações](orgs_tagging.md).
1. Insira ou cole o texto da política na guia **JSON**. Para obter informações sobre a sintaxe das políticas de exclusão dos serviços de IA, consulte [Sintaxe e exemplos de política de exclusão dos serviços de IA](orgs_manage_policies_ai-opt-out_syntax.md). Para obter exemplos de política que você pode usar como ponto de partida, consulte [Exemplos de política de exclusão dos serviços de IA](orgs_manage_policies_ai-opt-out_syntax.md#ai-opt-out-policy-examples).
1. Quando terminar de editar sua política, escolha **Create policy (Criar política)** no canto inferior direito da página.
------
#### [ AWS CLI & AWS SDKs ]
**Para criar uma política de exclusão dos serviços de IA**
Você pode usar um dos seguintes procedimentos para criar uma política de tags:
+ AWS CLI: [create-policy](https://docs.aws.amazon.com/cli/latest/reference/organizations/create-policy.html)
1. Crie uma política de exclusão dos serviços de IA como a seguinte e armazene-a em um arquivo de texto. Observe que "`optOut`" e "`optIn`" diferenciam entre maiúsculas e minúsculas.
```
{
"services": {
"default": {
"opt_out_policy": {
"@@assign": "optOut"
}
},
"rekognition": {
"opt_out_policy": {
"@@assign": "optIn"
}
}
}
}
```
Esta política de exclusão dos serviços de IA especifica que todas as contas afetadas pela política sejam excluídas de todos os serviços de IA, exceto o Amazon Rekognition.
1. Importe o arquivo de política JSON para criar uma nova política na organização. Neste exemplo, o arquivo JSON anterior foi chamado de `policy.json`.
```
$ aws organizations create-policy \
--type AISERVICES_OPT_OUT_POLICY \
--name "MyTestPolicy" \
--description "My test policy" \
--content file://policy.json
{
"Policy": {
"Content": "{\"services\":{\"default\":{\"opt_out_policy\":{\"@@assign\":\"optOut\"}},\"rekognition\":{\"opt_out_policy\":{\"@@assign\":\"optIn\"}}}}",
"PolicySummary": {
"Id": "p-i9j8k7l6m5"
"Arn": "arn:aws:organizations::o-aa111bb222:policy/aiservices_opt_out_policy/p-i9j8k7l6m5",
"Description": "My test policy",
"Name": "MyTestPolicy",
"Type": "AISERVICES_OPT_OUT_POLICY"
}
}
}
```
+ AWS SDKs: [CreatePolicy](https://docs.aws.amazon.com/organizations/latest/APIReference/API_CreatePolicy.html)
------
## Crie uma política de implantação de upgrade
**Permissões mínimas**
Para criar uma política de distribuição de upgrade, você precisa de permissão para executar a seguinte ação:
`organizations:CreatePolicy`
------
#### [ Console de gerenciamento da AWS ]
**Para criar uma política de implantação de upgrade**
1. Faça login no [console do AWS Organizations](https://console.aws.amazon.com/organizations/v2). Você deve fazer login como um usuário do IAM, assumir uma função do IAM ou fazer login como usuário-raiz ([não recomendado](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials)) na conta de gerenciamento da organização.
1. Na página **[Atualizar políticas de distribuição](https://console.aws.amazon.com/organizations/v2/home/policies/upgrade-rollout-policy)**, escolha **Criar** política.
1. Na [página **Criar nova política de distribuição de atualização**](https://console.aws.amazon.com/organizations/v2/home/policies/declarative-policy-ec2/create), insira o **nome da política** e uma descrição opcional **da política**.
1. (Opcional) você pode adicionar uma ou mais tags escolhendo **Add tag (Adicionar tag)** e inserindo uma chave e um valor opcional. Se deixar o valor em branco, ele é definido como uma sequência vazia, não `null`. É possível anexar até 50 tags a uma política. Para obter mais informações, consulte [Recursos de marcação AWS OrganizationsConsiderações](orgs_tagging.md).
1. Você pode criar a política usando o **Editor Visual**, conforme descrito neste procedimento. Você também pode inserir ou colar texto de política na guia **JSON** . Para obter mais informações, consulte [Sintaxe e exemplos da política de implantação de atualização](orgs_manage_policies_upgrade_syntax.md).
Se você optar por usar o **editor visual**, selecione a ordem de atualização que deseja usar para sua política de distribuição de atualização. Para obter mais informações sobre pedidos de upgrade, consulte[O que são políticas de implantação de upgrade?](orgs_manage_policies_upgrade_rollout.md#orgs_manage_policies_upgrade_rollout_what_are).
1. Em **Ordem da política e recursos**, selecione **Primeiro**, **Segundo** ou **Último** no menu.
1. (Opcional) Para direcionar recursos individuais com essa política, selecione **Substituir recursos específicos** e faça o seguinte:
1. Em **Chave**, insira o nome do recurso que você deseja substituir.
1. Em **Valor**, insira o ARN do recurso.
1. Em **Ordem de atualização**, escolha a ordem preferida que deve ser aplicada a esse recurso.
1. Se for necessário especificar recursos adicionais, escolha **Adicionar tag** e repita as etapas anteriores para definir a chave da tag.
1. Quando terminar de editar sua política, escolha **Create policy (Criar política)** no canto inferior direito da página.
Sua nova política aparece na lista de políticas de implantação de upgrade. Agora você pode [anexar sua política à raiz OUs, ou contas](orgs_policies_attach.md).
------
#### [ AWS CLI & AWS SDKs ]
**Para criar uma política de implantação de upgrade**
Você pode usar uma das opções a seguir para criar uma política de distribuição de upgrade:
+ AWS CLI: [create-policy](https://docs.aws.amazon.com/cli/latest/reference/organizations/create-policy.html)
1. Crie uma política de distribuição de upgrade como a seguinte e armazene-a em um arquivo de texto.
```
{
"upgrade_rollout": {
"default": {
"patch_order": {
"@@assign": "last"
}
},
"tags": {
"my_patch_order_tag": {
"tag_values": {
"tag1": {
"patch_order": {
"@@assign": "first"
}
},
"tag2": {
"patch_order": {
"@@assign": "second"
}
},
"tag3": {
"patch_order": {
"@@assign": "last"
}
}
}
}
}
}
}
```
Essa política de implantação de upgrade define a ordem em que os AWS serviços aplicam os upgrades automáticos em seus recursos. Para obter informações sobre a sintaxe da política de distribuição de atualizações, consulte. [Sintaxe e exemplos da política de implantação de atualização](orgs_manage_policies_upgrade_syntax.md)
1. Importe o arquivo de política JSON para criar uma nova política na organização. Neste exemplo, o arquivo JSON anterior foi chamado de `policy.json`.
```
$ aws organizations create-policy \
--type UPGRADE_ROLLOUT_POLICY \
--name "MyTestPolicy" \
--description "My test policy" \
--content file://policy.json
{
"Policy": {
"PolicySummary": {
"Id": "p-i9j8k7l6m5",
"Arn": "arn:aws:organizations::123456789012:policy/o-aa111bb222/upgrade_rollout_policy/p-i9j8k7l6m5",
"Name": "MyTestPolicy",
"Description": "My test policy",
"Type": "UPGRADE_ROLLOUT_POLICY",
"AwsManaged": false
},
"Content": "{\n \"upgrade_rollout\": {\n \"default\": {\n \"patch_order\": {\n \"@@assign\": \"last\"\n }\n },\n \"tags\": {\n \"my_patch_order_tag\": {\n \"tag_values\": {\n \"tag1\": {\n \"patch_order\": {\n \"@@assign\": \"first\"\n }\n },\n \"tag2\": {\n \"patch_order\": {\n \"@@assign\": \"second\"\n }\n },\n \"tag3\": {\n \"patch_order\": {\n \"@@assign\": \"last\"\n }\n }\n }\n }\n }\n }\n}\n"
}
}
```
+ AWS SDKs: [CreatePolicy](https://docs.aws.amazon.com/organizations/latest/APIReference/API_CreatePolicy.html)
------
## Criar uma política do Security Hub
**Permissões mínimas**
Para criar uma política do Security Hub, você precisa de permissão para executar a seguinte ação:
`organizations:CreatePolicy`
------
#### [ Console de gerenciamento da AWS ]
**Criar uma política do Security Hub**
1. Faça login no [console do AWS Organizations](https://console.aws.amazon.com/organizations/v2). Você deve fazer login como um usuário do IAM, assumir um perfil do IAM ou fazer login como usuário-raiz ([não recomendado](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials)) na conta gerencial da organização.
1. Na página **[Políticas do Security Hub](https://console.aws.amazon.com/organizations/v2/home/policies/securityhub-policy)**, escolha **Criar política**.
1. Na [página **Criar nova política do Security Hub**](https://console.aws.amazon.com/organizations/v2/home/policies/securityhub-policy/create), insira um **Nome da política** e uma **Descrição da política** opcional.
1. (Opcional) você pode adicionar uma ou mais tags escolhendo **Add tag (Adicionar tag)** e inserindo uma chave e um valor opcional. Se deixar o valor em branco, ele é definido como uma sequência vazia, não `null`. É possível anexar até 50 tags a uma política. Para obter mais informações, consulte [Recursos de marcação AWS OrganizationsConsiderações](orgs_tagging.md).
1. Insira ou cole o texto da política na caixa de código JSON. Para obter informações sobre a sintaxe da política do Security Hub, consulte [Sintaxe e exemplos de política do Security Hub](orgs_manage_policies_security_hub_syntax.md). Para obter exemplos de política que você pode usar como ponto de partida, consulte [Exemplos de política do Security Hub](orgs_manage_policies_security_hub_syntax.md#security-hub-policy-examples).
1. Quando terminar de editar sua política, escolha **Create policy (Criar política)** no canto inferior direito da página.
------
#### [ AWS CLI & AWS SDKs ]
**Criar uma política do Security Hub**
Você pode usar um dos seguintes procedimentos para criar uma política do Security Hub:
+ AWS CLI: [create-policy](https://docs.aws.amazon.com/cli/latest/reference/organizations/create-policy.html)
**Exemplo: criar uma política que habilite o Security Hub em todas as regiões com suporte**
O exemplo a seguir pressupõe que você tenha um arquivo chamado `testPolicy_enableAllSupportedRegions.json` com o texto da política JSON nele. Ele usa esse arquivo para criar uma nova política do Security Hub.
```
$ aws organizations create-policy \
--content file://./testPolicy_enableAllSupportedRegions.json \
--name "testPolicy_enableAllSupportedRegions" \
--description "Test policy to enable securityhub in ALL_SUPPORTED Regions" \
--type SECURITYHUB_POLICY
{
"Policy": {
"PolicySummary": {
"Id": "p-66ev7hgcvj",
"Arn": "arn:aws:organizations::123456789012:policy/o-aa111bb222/securityhub_policy/p-66ev7hgcvj",
"Name": "testPolicy_enableAllSupportedRegions",
"Description": "Test policy to enable securityhub in ALL_SUPPORTED Regions",
"Type": "SECURITYHUB_POLICY",
"AwsManaged": false
},
"Content": "{\n \"securityhub\": {\n \"enable_in_regions\": {\n \"@@assign\":[\n \"ALL_SUPPORTED\"\n ]\n },\n \"disable_in_regions\": {\n \"@@assign\":[]\n }\n }\n}\n"
}
}
```
**Exemplo: criar uma política que habilite o Security Hub em todas as regiões com suporte, mas desabilite na região us-east-1**
O exemplo a seguir pressupõe que você tenha um arquivo chamado `testPolicy_enableAllSupportedRegions_Disable_us-east-1.json` com o texto da política JSON nele. Ele usa esse arquivo para criar uma nova política do Security Hub.
```
$ aws organizations create-policy \
--content file://./testPolicy_enableAllSupportedRegions_Disable_us-east-1.json \
--name "testPolicy_enableAllSupportedRegions_Disable_us-east-1" \
--description "Test policy to enable securityhub in ALL_SUPPORTED Regions but disable in us-east-1 Region" \
--type SECURITYHUB_POLICY
{
"Policy": {
"PolicySummary": {
"Id": "p-66217dwpos",
"Arn": "arn:aws:organizations::123456789012:policy/o-aa111bb222/securityhub_policy/p-66217dwpos",
"Name": "testPolicy_enableAllSupportedRegions_Disable_us-east-1",
"Description": "Test policy to enable securityhub in ALL_SUPPORTED Regions but disable in us-east-1 Region",
"Type": "SECURITYHUB_POLICY",
"AwsManaged": false
},
"Content": "{\n \"securityhub\": {\n \"enable_in_regions\": {\n \"@@assign\":[\n \"ALL_SUPPORTED\"\n ]\n },\n \"disable_in_regions\": {\n \"@@assign\":[\n \"us-east-1\"\n ]\n }\n }\n}\n"
}
}
```
+ AWS SDKs: [CreatePolicy](https://docs.aws.amazon.com/organizations/latest/APIReference/API_CreatePolicy.html)
------