Organisationsrichtlinien erstellen mit AWS Organizations - AWS Organizations
Erstellen Sie eine Backup-RichtlinieErstellen Sie eine Tag-RichtlinieErstellen Sie eine Opt-Out-Richtlinie für KI-DiensteErstellen Sie eine Dienststeuerungsrichtlinie (SCP)

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Organisationsrichtlinien erstellen mit AWS Organizations

Nachdem Sie Richtlinien für Ihre Organisation aktiviert haben, können Sie eine Richtlinie erstellen.

In diesem Thema wird beschrieben, wie Sie Richtlinien mit erstellen AWS Organizations. Eine Richtlinie definiert die Kontrollen, die Sie auf eine Gruppe von anwenden möchten AWS-Konten. AWS Organizations unterstützt Verwaltungsrichtlinien und Autorisierungsrichtlinien.

Erstellen Sie eine Backup-Richtlinie

Mindestberechtigungen

Zum Erstellen einer Backup-Richtlinie benötigen Sie die Berechtigung zur Ausführung folgender Aktion:

  • organizations:CreatePolicy

AWS Management Console

Sie können eine Backup-Richtlinie erstellen in AWS Management Console auf eine von zwei Arten:

  • Ein visueller Editor, mit dem Sie Optionen auswählen können und der den JSON Richtlinientext für Sie generiert.

  • Ein Texteditor, mit dem Sie den JSON Richtlinientext direkt selbst erstellen können.

Der visuelle Editor macht den Prozess einfach, schränkt aber Ihre Flexibilität ein. Er ist sehr gut geeignet, um Ihre ersten Richtlinien zu erstellen und sich mit deren Verwendung vertraut zu machen. Nachdem Sie verstanden haben, wie sie funktionieren, und wenn Sie durch die Funktionen des visuellen Editors eingeschränkt sind, können Sie Ihren Richtlinien erweiterte Funktionen hinzufügen, indem Sie den JSON Richtlinientext selbst bearbeiten. Der visuelle Editor verwendet nur den @@assign-Werteinstellungsoperator und bietet keinen Zugriff auf die untergeordneten Steuerungsoperatoren. Sie können die Operatoren für die Kindersicherung nur hinzufügen, wenn Sie den JSON Richtlinientext manuell bearbeiten.

Erstellen Sie wie folgt eine Backup-Richtlinie:

  1. Melden Sie sich an bei AWS Organizations Konsole. Sie müssen sich im Verwaltungskonto der Organisation als IAM Benutzer anmelden, eine IAM Rolle übernehmen oder sich als Root-Benutzer (nicht empfohlen) anmelden.

  2. Wählen Sie auf der Seite Backup policies (Backup-Richtlinien) die Option Create policy (Richtlinie erstellen) aus.

  3. Geben Sie auf der Seite Richtlinie erstellen unter Richtlinienname einen Namen und unter Richtlinienbeschreibung eine optionale Beschreibung für die Richtlinie ein.

  4. (Optional) Sie können der Richtlinie ein oder mehrere Tags hinzufügen, indem Sie Tag hinzufügen auswählen und dann einen Schlüssel und einen optionalen Wert eingeben. Wenn Sie den Wert leer lassen, wird er auf eine leere Zeichenfolge gesetzt; er ist nicht null. Sie können einer Richtlinie bis zu 50 Tags hinzufügen. Weitere Informationen über das Markieren mit Tags finden Sie unter Tagging AWS Organizations Ressourcen.

  5. Sie können die Richtlinie mit dem Visual Editor (Visuellen Editor) erstellen, wie in diesem Verfahren beschrieben. Sie können auf der JSONRegisterkarte auch Richtlinientext eingeben oder einfügen. Weitere Informationen zur Syntax von Backup-Richtlinien finden Sie unter Syntax und Beispiele für Backup-Richtlinien.

    Wenn Sie Visual Editor (Visueller Editor) verwenden möchten, wählen Sie die für Ihr Szenario geeigneten Backup-Optionen aus. Ein Backup-Plan besteht aus drei Teilen. Weitere Informationen zu diesen Backup-Planelementen finden Sie unter Erstellen eines Backup-Plans und Zuweisen von Ressourcen in der AWS Backup Entwicklerhandbuch.

    1. Details zum Backup-Plan

      • Der Backup plan name (Name des Backup-Plans) darf nur aus alphanumerischen Zeichen, Bindestrichen und Unterstrichen bestehen.

      • Sie müssen mindestens eine Backup plan region (Region für Backup-Plan) aus der Liste auswählen. Mit dem Plan können nur Ressourcen in den ausgewählten Bereichen gesichert werden AWS-Regionen.

    2. Eine oder mehrere Backup-Regeln, die angeben, wie und wann AWS Backup ist zu operieren. Jede Backup-Regel definiert die folgenden Elemente:

      • Einen Zeitplan, der die Häufigkeit des Backups und das mögliche Zeitfenster für den Backup enthält.

      • Den Namen des zu verwendenden Backup-Tresors. Der Backup vault name (Name des Backup-Tresors) darf nur aus alphanumerischen Zeichen, Bindestrichen und Unterstrichen bestehen. Der Backup-Tresor muss vorhanden sein, bevor der Plan erfolgreich ausgeführt werden kann. Erstellen Sie den Tresor mit AWS Backup Konsole oder AWS CLI Befehle.

      • (Optional) Eine oder mehrere Regeln „In Region kopieren“, um das Backup auch in Tresore in anderen Bereichen zu kopieren AWS-Regionen.

      • Ein oder mehrere Tag-Schlüssel- und Wertepaare, die an die Backup-Wiederherstellungspunkte angefügt werden, die bei jeder Ausführung dieses Backup-Plans erstellt werden.

      • Lebenszyklusoptionen, die angeben, wann der Backup zum Cold Storage übergeht und wann die Sicherung abläuft.

      Wählen Sie Regel hinzufügen, um dem Plan jede benötigte Regel hinzuzufügen.

      Weitere Informationen zu Backup-Regeln finden Sie unter Backup-Regeln im AWS Backup Leitfaden für Entwickler.

    3. Eine Ressourcenzuweisung, die angibt, welche Ressourcen AWS Backup sollte mit diesem Plan ein Backup erstellen. Die Zuweisung erfolgt durch die Angabe von Tag-Paaren, die AWS Backup verwendet, um Ressourcen zu finden und abzugleichen

      • Der Ressource assignment name (Name der Ressourcenzuordnung) darf nur aus alphanumerischen Zeichen, Bindestrichen und Unterstrichen bestehen.

      • Geben Sie die IAMRolle für an AWS Backup zu verwenden, um das Backup anhand seines Namens durchzuführen.

        In der Konsole geben Sie nicht den gesamten Amazon-Ressourcennamen (ARN) an. Sie müssen sowohl den Rollennamen als auch das Präfix angeben, das den Rollentyp angibt. Die Präfixe sind normalerweise role oder service-role und werden durch einen Schrägstrich ('/') vom Rollennamen getrennt. So könnten Sie beispielsweise role/MyRoleName oder service-role/MyManagedRoleName eingeben. Dieser Wert wird ARN für Sie in einen vollen Wert umgewandelt, wenn er im Basiswert gespeichert wirdJSON.

        Wichtig

        Die angegebene IAM Rolle muss in dem Konto, auf das die Richtlinie angewendet wird, bereits vorhanden sein. Wenn dies nicht der Fall ist, kann der Backup-Plan Backup-Aufgaben zwar möglicherweise erfolgreich starten, diese Backup-Aufträge schlagen jedoch fehl.

      • Geben Sie ein oder mehrere Ressourcen-Tag-Schlüssel- und Tag-Wert-Paare an, um Ressourcen zu identifizieren, die Sie sichern möchten. Wenn mehr als ein Tag-Wert vorhanden ist, trennen Sie die Werte durch Kommas.

      Wählen Sie Zuweisung hinzufügen, um jede konfigurierte Ressourcenzuweisung zum Backup-Plan hinzuzufügen.

      Weitere Informationen finden Sie unter Zuweisen von Ressourcen zu einem Backup-Plan in der AWS Backup Entwicklerhandbuch.

  6. Wenn Sie mit dem Erstellen der Richtlinie fertig sind, wählen Sie Richtlinie erstellen aus. Die Richtlinie wird in der Liste der verfügbaren Backup-Richtlinien angezeigt.

AWS CLI & AWS SDKs
Erstellen Sie wie folgt eine Backup-Richtlinie:

Sie können eine der folgenden Optionen verwenden, um eine Backup-Richtlinie zu erstellen:

  • AWS CLI: Richtlinie erstellen

    Erstellen Sie einen Backup-Plan als JSON Text, der dem folgenden ähnelt, und speichern Sie ihn in einer Textdatei. Vollständige Regeln für die Syntax finden Sie unter Syntax und Beispiele für Backup-Richtlinien.

    {
    "plans": {
        "PII_Backup_Plan": {
            "regions": { "@@assign": [ "ap-northeast-2", "us-east-1", "eu-north-1" ] },
            "rules": {
                "Hourly": {
                    "schedule_expression": { "@@assign": "cron(0 5/1 ? * * *)" },
                    "start_backup_window_minutes": { "@@assign": "480" },
                    "complete_backup_window_minutes": { "@@assign": "10080" },
                    "lifecycle": {
                        "move_to_cold_storage_after_days": { "@@assign": "180" },
                        "delete_after_days": { "@@assign": "270" }
                    },
                    "target_backup_vault_name": { "@@assign": "FortKnox" },
                    "copy_actions": {
                        "arn:aws:backup:us-east-1:$account:backup-vault:secondary-vault": {
                            "lifecycle": {
                                "move_to_cold_storage_after_days": { "@@assign": "10" },
                                "delete_after_days": { "@@assign": "100" }
                            }
                        }
                    }
                }
            },
            "selections": {
                "tags": {
                    "datatype": {
                        "iam_role_arn": { "@@assign": "arn:aws:iam::$account:role/MyIamRole" },
                        "tag_key": { "@@assign": "dataType" },
                        "tag_value": { "@@assign": [ "PII" ] }
                    }
                }
            }
        }
    }
}

    Dieser Backup-Plan legt Folgendes fest AWS Das Backup sollte alle Ressourcen auf dem betroffenen Computer sichern AWS-Konten die sich in den angegebenen AWS-Regionen und die das Tag dataType mit einem Wert von habenPII.

    Importieren Sie als Nächstes den Sicherungsplan JSON für die Richtliniendatei, um eine neue Backup-Richtlinie in der Organisation zu erstellen. Notieren Sie sich die Richtlinien-ID am Ende der Richtlinie ARN in der Ausgabe.

    $ aws organizations create-policy \
    --name "MyBackupPolicy" \
    --type BACKUP_POLICY \
    --description "My backup policy" \
    --content file://policy.json{
    "Policy": {
        "PolicySummary": {
            "Arn": "arn:aws:organizations::o-aa111bb222:policy/backup_policy/p-i9j8k7l6m5",
            "Description": "My backup policy",
            "Name": "MyBackupPolicy",
            "Type": "BACKUP_POLICY"
        }
        "Content": "...a condensed version of the JSON policy document you provided in the file...",
    }
}

  • AWS SDKs: CreatePolicy
Weitere Vorgehensweisen

Nachdem Sie eine Backup-Richtlinie erstellt haben, können Sie Ihre Richtlinie in Kraft setzen. Dazu können Sie die Richtlinie an das Stammverzeichnis der Organisation, die Organisationseinheiten (OUs), anhängen AWS-Konten innerhalb Ihrer Organisation oder eine Kombination aus all diesen.

Erstellen Sie eine Tag-Richtlinie

Mindestberechtigungen

Zum Erstellen von Tag-Richtlinien benötigen Sie die Berechtigung zur Ausführung folgender Aktion:

  • organizations:CreatePolicy

Sie können eine Tag-Richtlinie erstellen in AWS Management Console auf eine von zwei Arten:

  • Ein visueller Editor, mit dem Sie Optionen auswählen können und der den JSON Richtlinientext für Sie generiert.

  • Ein Texteditor, mit dem Sie den JSON Richtlinientext direkt selbst erstellen können.

Der visuelle Editor macht den Prozess einfach, schränkt aber Ihre Flexibilität ein. Er ist sehr gut geeignet, um Ihre ersten Richtlinien zu erstellen und sich mit deren Verwendung vertraut zu machen. Nachdem Sie verstanden haben, wie sie funktionieren, und wenn Sie durch die Funktionen des visuellen Editors eingeschränkt sind, können Sie Ihren Richtlinien erweiterte Funktionen hinzufügen, indem Sie den JSON Richtlinientext selbst bearbeiten. Der visuelle Editor verwendet nur den @@assign-Werteinstellungsoperator und bietet keinen Zugriff auf die untergeordneten Steuerungsoperatoren. Sie können die Operatoren für die Kindersicherung nur hinzufügen, wenn Sie den JSON Richtlinientext manuell bearbeiten.

AWS Management Console

Sie können eine Tag-Richtlinie in der AWS Management Console auf eine von zwei Arten:

  • Ein visueller Editor, mit dem Sie Optionen auswählen können und der den JSON Richtlinientext für Sie generiert.

  • Ein Texteditor, mit dem Sie den JSON Richtlinientext direkt selbst erstellen können.

Der visuelle Editor macht den Prozess einfach, schränkt aber Ihre Flexibilität ein. Er ist sehr gut geeignet, um Ihre ersten Richtlinien zu erstellen und sich mit deren Verwendung vertraut zu machen. Nachdem Sie verstanden haben, wie sie funktionieren, und wenn Sie durch die Funktionen des visuellen Editors eingeschränkt sind, können Sie Ihren Richtlinien erweiterte Funktionen hinzufügen, indem Sie den JSON Richtlinientext selbst bearbeiten. Der visuelle Editor verwendet nur den @@assign-Werteinstellungsoperator und bietet keinen Zugriff auf die untergeordneten Steuerungsoperatoren. Sie können die Operatoren für die Kindersicherung nur hinzufügen, wenn Sie den JSON Richtlinientext manuell bearbeiten.

So erstellen Sie eine Tag-Richtlinie

  1. Melden Sie sich an bei AWS Organizations Konsole. Sie müssen sich im Verwaltungskonto der Organisation als IAM Benutzer anmelden, eine IAM Rolle übernehmen oder sich als Root-Benutzer (nicht empfohlen) anmelden.

  2. Wählen Sie auf der Seite Tag policies (Tag-Richtlinien) die Option Create policy (Richtlinie erstellen).

  3. Geben Sie auf der Seite Richtlinie erstellen unter Richtlinienname einen Namen und unter Richtlinienbeschreibung eine optionale Beschreibung für die Richtlinie ein.

  4. (Optional) Sie können dem Richtlinienobjekt selbst ein oder mehrere Tags hinzufügen. Diese Tags sind nicht Teil der Richtlinie. Wählen Sie dazu Tag hinzufügen und geben Sie dann einen Schlüssel und einen optionalen Wert ein. Wenn Sie den Wert leer lassen, wird er auf eine leere Zeichenfolge gesetzt; er ist nicht null. Sie können einer Richtlinie bis zu 50 Tags hinzufügen. Weitere Informationen finden Sie unter Tagging AWS Organizations Ressourcen.

  5. Sie können die Tag-Richtlinie mithilfe des Visual Editors (Visuellen Editors) erstellen, wie in diesem Verfahren beschrieben. Sie können auf der JSONRegisterkarte auch eine Tag-Richtlinie eingeben oder einfügen. Hinweise zur Syntax der Tag-Richtlinie finden Sie unter Syntax für Tag-Richtlinien.

    Wenn Sie den Visual Editor verwenden möchten, geben Sie Folgendes an:

  6. Geben Sie für New Tag Key 1 (Neuer Tag-Schlüssel 1) den Namen eines hinzuzufügenden Tag-Schlüssels an.

  7. Für Compliance-Optionen können Sie die folgenden Optionen auswählen:

    1. Verwenden Sie die Groß-/Kleinschreibung, die Sie oben für den Tag-Schlüssel angegeben haben. Lassen Sie diese Option deaktiviert (Standardeinstellung), um anzugeben, dass die Richtlinie für das geerbte übergeordnete Tag, falls vorhanden, die Groß- und Kleinschreibung für den Tag-Schlüssel definieren soll.

      Aktivieren Sie diese Option, wenn Sie eine bestimmte Groß-/Kleinschreibungsoption für den Tag-Schlüssel mit dieser Richtlinie vorschreiben möchten. Wenn Sie diese Option auswählen, überschreibt die Groß-/Kleinschreibung, die Sie für den Tag Key (Tag-Schlüssel) angegeben haben, die in einer übergeordneten, vererbten Richtlinie angegebene Fallbehandlung.

      Wenn keine übergeordnete Richtlinie vorhanden ist und Sie diese Option nicht aktivieren, werden nur Tag-Schlüssel in Kleinbuchstaben als konform angesehen. Weitere Informationen zur Vererbung von übergeordneten Richtlinien finden Sie unter Vererbung von Verwaltungsrichtlinien verstehen.

      Tipp

      Verwenden Sie die Beispiel-Tag-Richtlinie, die in Beispiel 1: Festlegen eines organisationsweiten Tag-Schlüssels gezeigt wird, als Leitfaden zum Erstellen einer Tag-Richtlinie, die Tag-Schlüssel und deren Fallbehandlung definiert. Fügen Sie sie zum Organisations-Root hinzu. Später können Sie zusätzliche Tag-Richtlinien erstellen und an unsere Konten anhängen, OUs um zusätzliche Tag-Regeln zu erstellen.

    2. Geben Sie zulässige Werte für diesen Tag-Schlüssel an — aktivieren Sie diese Option, wenn Sie zulässige Werte für diesen Tag-Schlüssel zu Werten hinzufügen möchten, die von einer übergeordneten Richtlinie übernommen wurden.

      Standardmäßig ist diese Option deaktiviert, was bedeutet, dass nur die Werte, die in einer übergeordneten Richtlinie definiert und von dieser übernommen wurden, als konform betrachtet werden. Wenn keine übergeordnete Richtlinie vorhanden ist und Sie keine Tag-Werte angeben, gilt jeder Wert (einschließlich überhaupt kein Wert) als konform.

      Um die Liste der zulässigen Tag-Werte zu aktualisieren, wählen Sie Specify allowed values for this tag key (Zulässige Werte für diesen Tag-Schlüssel angeben) und dann wählen Sie Specify values (Werte angeben) aus. Wenn Sie dazu aufgefordert werden, geben Sie die neuen Werte (ein Wert pro Box) ein und wählen Sie dann Save changes (Änderungen speichern).

  8. Für Ressourcentypen, die erzwungen werden sollen, können Sie für dieses Tag die Option Nichtkonforme Operationen verhindern auswählen.

    Wir empfehlen, diese Option deaktiviert zu lassen (Standardeinstellung), es sei denn, Sie haben Erfahrung mit der Verwendung von Tag-Richtlinien. Stellen Sie sicher, dass Sie die Empfehlungen in Grundlegendes zur Durchsetzung gelesen haben und testen Sie sie gründlich. Andernfalls verhindern Sie, dass Benutzer in den Konten Ihrer Organisation die benötigten Ressourcen kennzeichnen.

    Wenn Sie die Compliance mit diesem Tag-Schlüssel durchsetzen möchten, aktivieren Sie das Kontrollkästchen und anschließend Ressourcentypen angeben. Wählen Sie bei entsprechender Aufforderung die Ressourcentypen aus, die in die Richtlinie aufgenommen werden sollen. Wählen Sie dann Save changes (Änderungen speichern).

    Wichtig

    Wenn Sie diese Option auswählen, werden alle Vorgänge, die Tags für Ressourcen der angegebenen Typen bearbeiten, nur erfolgreich ausgeführt, wenn der Vorgang zu Tags führt, die mit der Richtlinie konform sind.

  9. (Optional) Um dieser Tag-Richtlinie einen weiteren Tag-Schlüssel hinzuzufügen, wählen Sie Add tag key (Tag-Schlüssel hinzufügen). Führen Sie dann die Schritte 6-9 aus, um den Tag-Schlüssel zu definieren.

  10. Wenn Sie mit dem Erstellen der Tag-Richtlinie fertig sind, wählen Sie Save changes (Änderungen speichern).

AWS CLI & AWS SDKs
So erstellen Sie eine Tag-Richtlinie

Sie können eine der folgenden Optionen verwenden, um eine Tag-Richtlinie zu erstellen:

  • AWS CLI: Richtlinie erstellen

    Zum Erstellen der Tag-Richtlinie können Sie jeden beliebigen Texteditor verwenden. Verwenden Sie die JSON Syntax und speichern Sie die Tag-Richtlinie als Datei mit einem beliebigen Namen und einer Erweiterung an einem Ort Ihrer Wahl. Tag-Richtlinien können maximal 2.500 Zeichen umfassen, einschließlich Leerzeichen. Hinweise zur Syntax der Tag-Richtlinie finden Sie unter Syntax für Tag-Richtlinien.

    So erstellen Sie eine Tag-Richtlinie

    1. Erstellen Sie eine Tag-Richtlinie in einer Textdatei, die der folgenden ähnelt:

      Inhalt von testpolicy.json:

      {
    "tags": {
        "CostCenter": {
            "tag_key": {
                "@@assign": "CostCenter"
            }
        }
    }
}

      Diese Tag-Richtlinie definiert den CostCenter-Tag-Schlüssel. Das Tag akzeptiert einen beliebigen Wert oder keinen Wert. Eine solche Richtlinie bedeutet, dass eine Ressource, an die das CostCenter Tag mit oder ohne Wert angehängt ist, konform ist.

    2. Erstellen Sie eine Richtlinie, die den Richtlinieninhalt aus der Datei enthält. Das zusätzliche Leerzeichen in der Ausgabe wurde zur Lesbarkeit gekürzt.

      $ aws organizations create-policy \
    --name "MyTestTagPolicy" \
    --description "My Test policy" \
    --content file://testpolicy.json \
    --type TAG_POLICY
{
    "Policy": {
        "PolicySummary": {
            "Id": "p-a1b2c3d4e5",
            "Arn": "arn:aws:organizations::123456789012:policy/o-aa111bb222/tag_policy/p-a1b2c3d4e5",
            "Name": "MyTestTagPolicy",
            "Description": "My Test policy",
            "Type": "TAG_POLICY",
            "AwsManaged": false
        },
        "Content": "{\n\"tags\":{\n\"CostCenter\":{\n\"tag_key\":{\n\"@@assign\":\"CostCenter\"\n}\n}\n}\n}\n\n"
    }
}

  • AWS SDKs: CreatePolicy
Weitere Vorgehensweisen

Nach der Erstellung einer Tag-Richtlinie können Sie Ihre Tagging-Regeln in Kraft setzen. Fügen Sie dazu die Richtlinie dem Organisationsstamm, den Organisationseinheiten (OUs), AWS-Konten innerhalb Ihrer Organisation oder einer Kombination von Organisationseinheiten.

Erstellen Sie eine Opt-Out-Richtlinie für KI-Dienste

Mindestberechtigungen

Zum Erstellen einer KI-Services-Opt-Out-Richtlinie benötigen Sie die Berechtigung zur Ausführung folgender Aktion:

  • organizations:CreatePolicy

AWS Management Console
Erstellen einer Richtlinie zur Abmeldung von KI-Services

  1. Melden Sie sich an bei AWS Organizations Konsole. Sie müssen sich im Verwaltungskonto der Organisation als IAM Benutzer anmelden, eine IAM Rolle übernehmen oder sich als Root-Benutzer (nicht empfohlen) anmelden.

  2. Wählen Sie auf der Seite KI-Services-Opt-Out-Richtlinien die Option Richtlinie erstellen aus.

  3. Geben Sie auf der Seite Neue KI-Service-Opt-Out-Richtlinie erstellen einen Richtliniennamen und eine optionale Richtlinienbeschreibung ein.

  4. (Optional) Sie können der Richtlinie ein oder mehrere Tags hinzufügen, indem Sie Tag hinzufügen auswählen und dann einen Schlüssel und einen optionalen Wert eingeben. Wenn Sie den Wert leer lassen, wird er auf eine leere Zeichenfolge gesetzt; er ist nicht null. Sie können einer Richtlinie bis zu 50 Tags hinzufügen. Weitere Informationen finden Sie unter Tagging AWS Organizations Ressourcen.

  5. Geben Sie den Richtlinientext in die JSONRegisterkarte ein oder fügen Sie ihn ein. Weitere Informationen zur Syntax der Opt-out-Richtlinie für KI-Services finden Sie unter Syntax und Beispiele für KI-Services-Opt-Out-Richtlinien. So finden Sie beispielsweise Richtlinien, die Sie als Ausgangspunkt verwenden können, unter Beispiele für Richtlinien zur Deaktivierung von KI-Services.

  6. Wenn Sie mit der Bearbeitung Ihrer Richtlinie fertig sind, wählen Sie in der unteren rechten Ecke der Seite Richtlinie erstellen aus.

AWS CLI & AWS SDKs
Erstellen einer Richtlinie zur Abmeldung von KI-Services

Sie können eine der folgenden Optionen verwenden, um eine Tag-Richtlinie zu erstellen:

  • AWS CLI: Richtlinie erstellen

    1. Erstellen Sie eine KI-Services-Opt-Out-Richtlinie wie die folgende und speichern Sie sie in einer Textdatei. Beachten Sie, dass bei „optOut“ und „optIn“ die Groß-/Kleinschreibung beachtet wird.

      {
    "services": {
        "default": {
            "opt_out_policy": {
                "@@assign": "optOut"
            }
        },
        "rekognition": {
            "opt_out_policy": {
                "@@assign": "optIn"
            }
        }
    }
}

      Diese Opt-Out-Richtlinie für KI-Services legt fest, dass alle von der Richtlinie betroffenen Konten von allen KI-Services mit Ausnahme von Amazon Rekognition abgemeldet werden.

    2. Importieren Sie die JSON Richtliniendatei, um eine neue Richtlinie in der Organisation zu erstellen. In diesem Beispiel wurde die vorherige JSON Datei benanntpolicy.json.

      $ aws organizations create-policy \
    --type AISERVICES_OPT_OUT_POLICY \
    --name "MyTestPolicy" \
    --description "My test policy" \
    --content file://policy.json
{
    "Policy": {
        "Content": "{\"services\":{\"default\":{\"opt_out_policy\":{\"@@assign\":\"optOut\"}},\"rekognition\":{\"opt_out_policy\":{\"@@assign\":\"optIn\"}}}}",
        "PolicySummary": {
            "Id": "p-i9j8k7l6m5"
            "Arn": "arn:aws:organizations::o-aa111bb222:policy/aiservices_opt_out_policy/p-i9j8k7l6m5",
            "Description": "My test policy",
            "Name": "MyTestPolicy",
            "Type": "AISERVICES_OPT_OUT_POLICY"
        }
    }
}

  • AWS SDKs: CreatePolicy
Weitere Vorgehensweisen

Nachdem Sie eine Richtlinie für KI-Services erstellt haben, können Sie Ihre Opt-out-Optionen in Kraft setzen. Dazu können Sie die Richtlinie an das Stammverzeichnis der Organisation, die Organisationseinheiten (OUs), anhängen. AWS-Konten innerhalb Ihrer Organisation oder eine Kombination aus all diesen.

Erstellen Sie eine Dienststeuerungsrichtlinie (SCP)

Mindestberechtigungen

Zum Erstellen SCPs benötigen Sie die Erlaubnis, die folgende Aktion auszuführen:

  • organizations:CreatePolicy

AWS Management Console
So erstellen Sie eine Service-Kontrollrichtlinie

  1. Melden Sie sich an bei AWS Organizations Konsole. Sie müssen sich im Verwaltungskonto der Organisation als IAM Benutzer anmelden, eine IAM Rolle übernehmen oder sich als Root-Benutzer (nicht empfohlen) anmelden.

  2. Wählen Sie auf der Seite Service-Kontrollrichtlinien die Option Richtlinie erstellen aus.

  3. Geben Sie auf der Seite Neue Service-Kontrollrichtlinie erstellen einen Richtliniennamen und eine optionale Richtlinienbeschreibung ein.

  4. (Optional) Fügen Sie ein oder mehrere Tags hinzu, indem Sie Tag hinzufügen auswählen und dann einen Schlüssel und einen optionalen Wert eingeben. Wenn Sie den Wert leer lassen, wird er auf eine leere Zeichenfolge gesetzt; er ist nicht null. Sie können einer Richtlinie bis zu 50 Tags hinzufügen. Weitere Informationen finden Sie unter Tagging AWS Organizations Ressourcen.

    Anmerkung

    In den meisten der folgenden Schritte wird die Verwendung der Steuerelemente auf der rechten Seite des JSON Editors erläutert, um die Richtlinie Element für Element zu erstellen. Alternativ können Sie jederzeit einfach Text in den JSON Editor auf der linken Seite des Fensters eingeben. Sie können direkt eingeben oder kopieren und einfügen.

  5. Bei der Erstellung der Richtlinie hängen Ihre nächsten Schritte davon ab, ob Sie eine Anweisung hinzufügen möchten, die den Zugriff verweigert oder zulässt. Weitere Informationen finden Sie unter SCPBewertung. Wenn Sie Deny Anweisungen verwenden, haben Sie zusätzliche Kontrolle, da Sie den Zugriff auf bestimmte Ressourcen einschränken, Bedingungen für die SCPs Gültigkeitsdauer definieren und das NotActionElement verwenden können. Weitere Informationen zur Syntax finden Sie unter SCPSyntax.

    So fügen Sie eine Anweisung hinzu, die den Zugriff verweigert:

    1. Wählen Sie im rechten Bereich „Anweisung bearbeiten“ des Editors unter Aktionen hinzufügen eine AWS Dienst.

      Wenn Sie Optionen auf der rechten Seite auswählen, wird der JSON Editor aktualisiert und zeigt die entsprechende JSON Richtlinie auf der linken Seite an.

    2. Nachdem Sie einen Service ausgewählt haben, wird eine Liste mit den verfügbaren Aktionen für diesen Service geöffnet. Sie können Alle Aktionen auswählen oder eine oder mehrere einzelne Aktionen auswählen, die Sie verweigern möchten.

      Die Option JSON auf der linken Seite wird aktualisiert und enthält nun die von Ihnen ausgewählten Aktionen.

      Anmerkung

      Wenn Sie eine einzelne Aktion auswählen und dann ebenfalls zurückgehen und ebenfalls Alle Aktionen auswählen, servicename/* wird der erwartete Eintrag für zu hinzugefügtJSON, aber die einzelnen Aktionen, die Sie zuvor ausgewählt haben, bleiben in der JSON und werden nicht entfernt.

    3. Wenn Sie Aktionen von zusätzlichen Services hinzufügen möchten, können Sie oben im Feld Anweisung Alle Services auswählen und dann die vorherigen beiden Schritte nach Bedarf wiederholen.

    4. Geben Sie die Ressourcen für die Anweisung an.

      • Wählen Sie neben Eine Ressource hinzufügen die Option Hinzufügen aus.

      • Wählen Sie im Dialogfeld Ressource hinzufügen den Service, dessen Ressourcen Sie steuern möchten, aus der Liste aus. Sie können nur unter den Services auswählen, die Sie im vorherigen Schritt ausgewählt haben.

      • Wählen Sie unter Ressourcentyp den Ressourcentyp aus, den Sie steuern möchten.

      • Füllen Sie abschließend den Amazon-Ressourcennamen (ARN) im Feld Ressource ausARN, um die spezifische Ressource zu identifizieren, auf die Sie den Zugriff kontrollieren möchten. Sie müssen alle Platzhalter ersetzen, die von geschweiften Klammern {} umgeben sind. Sie können Platzhalter (*) angeben, sofern die ARN Syntax dieses Ressourcentyps dies zulässt. Informationen darüber, wo Sie Platzhalter verwenden können, finden Sie in der Dokumentation zu einem bestimmten Ressourcentyp.

      • Speichern Sie Ihre Ergänzung zur Richtlinie, indem Sie Ressource hinzufügen auswählen. Das Resource Element in der JSON spiegelt Ihre Ergänzungen oder Änderungen wider. Das Ressourcenelement ist erforderlich.

      Tipp

      Wenn Sie alle Ressourcen für den ausgewählten Dienst angeben möchten, wählen Sie entweder die Option Alle Ressourcen in der Liste aus, oder bearbeiten Sie die Resource Anweisung direkt in der JSON zu lesenden Datei"Resource":"*".

    5. (Optional) Um Bedingungen anzugeben, die die Gültigkeit einer Richtlinienanweisung einschränken, wählen Sie neben Bedingung hinzufügen die Option Hinzufügen aus.

      • Bedingungsschlüssel — Aus der Liste können Sie einen beliebigen Bedingungsschlüssel auswählen, der für alle verfügbar ist AWS Dienste (z. B.aws:SourceIp) oder einen dienstspezifischen Schlüssel für nur einen der Dienste, die Sie für diese Anweisung ausgewählt haben.

      • Qualifizierer – (Optional) Wenn Sie mehrere Werte für die Bedingung angeben (abhängig vom angegebenen Bedingungsschlüssel), können Sie einen Qualifizierer zum Testen von Anforderungen mit den Werten angeben.

        • Standard – Testet einen einzelnen Wert in der Anforderung gegen den Bedingungsschlüsselwert in der Richtlinie. Die Bedingung gibt „true“ zurück, wenn der Wert in der Anfrage mit dem Wert in der Richtlinie übereinstimmt. Wenn die Richtlinie mehr als einen Wert angibt, werden sie als „oder“-Test behandelt, und die Bedingung gibt true zurück, wenn die Anforderungswerte mit einem der Richtlinienwerte übereinstimmen.

        • Für jeden Wert in einer Anforderung – Wenn die Anforderung mehrere Werte haben kann, testet diese Option, ob mindestens einer der Anforderungswerte mit mindestens einem der Bedingungsschlüsselwerte in der Richtlinie übereinstimmt. Die Bedingung gibt "true" zurück, wenn ein Schlüsselwert in der Anforderung einem Bedingungswert in der Richtlinie entspricht. Bei keinem passenden Schlüssel oder einem leeren Datensatz gibt die Bedingung "false" zurück.

        • Für alle Werte in einer Anforderung – Wenn die Anforderung mehrere Werte haben kann, testet diese Option, ob jeder Anforderungswert einem Bedingungsschlüsselwert in der Richtlinie entspricht. Die Bedingung gibt "true" zurück, wenn jeder Schlüsselwert in der Anforderung mindestens einem Wert in der Richtlinie entspricht. „true“ wird zudem zurückgegeben, wenn keine Schlüssel in der Anforderung vorhanden sind oder wenn die Schlüsselwerte zu einem Null-Dataset aufgelöst werden, z. B. einer leeren Zeichenfolge.

      • Operator – Der Operator gibt die Art des durchzuführenden Vergleichs an. Die angezeigten Optionen hängen vom Datentyp des Bedingungsschlüssels ab. Mit dem globalen Bedingungsschlüssel aws:CurrentTime können Sie beispielsweise einen der Datumsvergleichsoperatoren oder Null auswählen, mit denen Sie testen können, ob der Wert in der Anforderung vorhanden ist.

        Für jeden Bedingungsoperator mit Ausnahme des Null Tests können Sie die IfExistsOption wählen.

      • Wert – (Optional) Geben Sie einen oder mehrere Werte an, für die Sie die Anforderung testen möchten.

      Klicken Sie auf Bedingung hinzufügen.

      Weitere Informationen zu Bedingungsschlüsseln finden Sie unter IAMJSONPolicy Elements: Condition im IAMBenutzerhandbuch.

    6. (Optional) Um das Element NotAction zu verwenden, um den Zugriff auf alle Aktionen mit Ausnahme der angegebenen zu verweigern, ersetzen SieAction im linken Bereich direkt nach dem Element "Effect": "Deny", durch NotAction. Weitere Informationen finden Sie unter IAMJSONPolicy Elements: NotAction im IAMBenutzerhandbuch.

  6. So fügen Sie eine Anweisung hinzu, die den Zugriff erlaubt:

    1. Ändern Sie im JSON Editor auf der linken Seite die Zeile "Effect": "Deny" in"Effect": "Allow".

      Wenn Sie Optionen auf der rechten Seite auswählen, wird der JSON Editor aktualisiert und zeigt die entsprechende JSON Richtlinie auf der linken Seite an.

    2. Nachdem Sie einen Service ausgewählt haben, wird eine Liste mit den verfügbaren Aktionen für diesen Service geöffnet. Sie können Alle Aktionen auswählen oder eine oder mehrere einzelne Aktionen auswählen, die Sie zulassen möchten.

      Die Option JSON auf der linken Seite wird aktualisiert und enthält nun die von Ihnen ausgewählten Aktionen.

      Anmerkung

      Wenn Sie eine einzelne Aktion auswählen und dann ebenfalls zurückgehen und ebenfalls Alle Aktionen auswählen, servicename/* wird der erwartete Eintrag für zu hinzugefügtJSON, aber die einzelnen Aktionen, die Sie zuvor ausgewählt haben, bleiben in der JSON und werden nicht entfernt.

    3. Wenn Sie Aktionen von zusätzlichen Services hinzufügen möchten, können Sie oben im Feld Anweisung Alle Services auswählen und dann die vorherigen beiden Schritte nach Bedarf wiederholen.

  7. (Optional) Wenn Sie der Richtlinie eine weitere Anweisung hinzufügen möchten, wählen Sie Add statement (Anweisung hinzufügen) aus und verwenden Sie den visuellen Editor, um die nächste Anweisung zu erstellen.

  8. Wenn Sie mit dem Hinzufügen von Kontoauszügen fertig sind, wählen Sie Richtlinie erstellen aus, um die ausgefüllten Informationen zu speichernSCP.

Ihre neue SCP wird in der Liste der Richtlinien der Organisation angezeigt. Sie können jetzt Ihre Konten SCP an das Stammkonto oder an das OUs Stammkonto anhängen.

AWS CLI & AWS SDKs
So erstellen Sie eine Service-Kontrollrichtlinie

Sie können einen der folgenden Befehle verwenden, um ein zu erstellenSCP:

  • AWS CLI: Richtlinie erstellen

    Im folgenden Beispiel wird davon ausgegangen, dass Sie eine Datei Deny-IAM.json mit dem JSON Richtlinientext benannt haben. Sie verwendet diese Datei, um eine neue Service-Kontrollrichtlinie zu erstellen.

    $ aws organizations create-policy \
    --content file://Deny-IAM.json \
    --description "Deny all IAM actions" \
    --name DenyIAMSCP \
    --type SERVICE_CONTROL_POLICY
{
    "Policy": {
        "PolicySummary": {
            "Id": "p-i9j8k7l6m5",
            "Arn": "arn:aws:organizations::123456789012:policy/o-aa111bb222/service_control_policy/p-i9j8k7l6m5",
            "Name": "DenyIAMSCP",
            "Description": "Deny all IAM actions",
            "Type": "SERVICE_CONTROL_POLICY",
            "AwsManaged": false
        },
         "Content": "{\"Version\":\"2012-10-17\",\"Statement\":[{\"Sid\":\"Statement1\",\"Effect\":\"Deny\",\"Action\":[\"iam:*\"],\"Resource\":[\"*\"]}]}"
    }
}

  • AWS SDKs: CreatePolicy
Anmerkung

SCPsgelten nicht für das Verwaltungskonto und in einigen anderen Situationen. Weitere Informationen finden Sie unter Aufgaben und Entitäten, die nicht eingeschränkt sind durch SCPs.