本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
查看有效的声明性政策
确定组织中账户的有效声明政策。
什么是有效的声明性政策?
有效策略指定了适用于声明性策略类型的最终规则。 AWS 账户 它是账户继承的声明性策略以及直接关联到该账户的声明性策略类型的所有策略的聚合。当您将声明性策略附加到组织的根目录时,它适用于组织中的所有账户。当您将声明性策略附加到组织单位 (OU) 时,它适用于属于该组织单位的所有账户和组织单位。当您将声明性政策直接附加到账户时,它仅适用于该账户。 AWS 账户
有关如何将策略组合到最终有效策略中的信息,请参阅了解声明式策略继承。
备份策略示例
附加到组织根的备份策略可能指定组织中的所有账户以每周一次的默认备份频率备份所有 Amazon DynamoDB 表。直接附加到一个成员账户的单独备份策略(在表中包含关键信息)可以用每天一次的值覆盖该频率。这些备份策略的组合构成有效备份策略。该有效备份策略是为组织中的每个账户单独确定的。此示例中的结果是,组织中的所有账户每周备份一次自己的 DynamoDB 表,但有一个账户每天备份它的表。
标签策略示例
附加到组织根的标签策略可以定义具有四个合规值的 CostCenter 标签。附加到账户的单独标签策略可能会将 CostCenter 限制为四个合规值中的两个。这些标签策略的组合组成了有效标签策略。结果是,在组织根标签策略中定义的四个合规标签值中,只有两个符合该账户的要求。
聊天应用程序政策示例
聊天应用程序中的 Amazon Q 开发者版将根据有效的聊天应用程序政策,重新评估聊天应用程序中任何先前创建的 Amazon Q 开发者版配置,如果这些配置与有效策略中允许的设置和护栏一致,则会拒绝所有先前允许的操作。成员账户的有效策略定义了允许的设置和护栏。例如,假设将某个会拒绝访问公有 Slack 频道的聊天应用程序政策应用于成员账户,则该成员账户中公有 Slack 频道的现有聊天应用程序中的 Amazon Q 开发者版配置将被禁用。聊天应用程序中的 Amazon Q 开发者版不会发送通知,频道成员也无法在被阻止的频道中运行任何任务。聊天应用程序中的 Amazon Q 开发者版控制台会将受影响的频道标记为已禁用,并在其旁边显示相应的错误消息。
AI 服务选择退出策略示例
附加到组织根目录的 AI 服务选择退出政策可能会规定组织中的所有账户都选择不允许所有 AWS 机器学习服务使用内容。直接附加到一个成员账户的单独 AI 服务选择退出策略指定它只为 Amazon Rekognition 选择启用内容使用服务。这些 AI 服务选择退出策略的组合构成了有效的 AI 服务选择退出策略。结果是,除了一个选择加入 Amazon Rekognition 的账户外,组织中的所有 AWS 服务账户都选择退出所有账户。
如何看待有效的声明性政策
您可以从 AWS 管理控制台、 AWS API 或 AWS Command Line Interface中查看账户声明式策略类型的有效政策。
最小权限
要查看账户声明式策略类型的有效策略,您必须拥有运行以下操作的权限:
-
organizations:DescribeEffectivePolicy -
organizations:DescribeOrganization– 仅当使用 Organizations 控制台时才需要
有关有效策略可能失效的情况的信息,请参阅查看无效策略警报。
