Vererbungsoperatoren

Vererbungsoperatoren steuern, wie geerbte Richtlinien und Richtlinien von Konten in die effektive Richtlinie des Kontos zusammengeführt werden. Zu diesen Operatoren gehören wertbestimmende Operatoren und untergeordnete Steuerungsoperatoren.

Wenn Sie den visuellen Editor in der AWS Organizations-Konsole verwenden, können Sie nur den @@assign-Operator verwenden. Andere Operatoren gelten als erweitertes Feature. Um die anderen Operatoren zu verwenden, müssen Sie die JSON-Richtlinie manuell erstellen. Erfahrene Richtlinienautoren können Vererbungsoperatoren zur Steuerung der Werte verwenden, die auf die effektive Richtlinie angewendet werden sollen, und zur Einschränkung der Änderungen, die untergeordnete Richtlinien vornehmen dürfen.

Wertbestimmende Operatoren

Mithilfe der folgenden wertbestimmenden Operatoren können Sie steuern, wie Ihre Richtlinie mit den übergeordneten Richtlinien interagiert:

• @@assign – Überschreibt alle geerbten Richtlinieneinstellungen mit den angegebenen Einstellungen. Wenn die angegebene Einstellung nicht vererbt wird, fügt dieser Operator sie der effektiven Richtlinie hinzu. Dieser Operator kann auf jede beliebige Richtlinieneinstellung jedes Typs angewendet werden.

  • Bei Einstellungen mit nur einem Wert ersetzt dieser Operator den geerbten Wert durch den angegebenen Wert.

  • Bei Einstellungen mit mehreren Werten (JSON-Arrays) entfernt dieser Operator alle geerbten Werte und ersetzt sie durch die in dieser Richtlinie angegebenen Werte.

• @@append – Fügt den geerbten Einstellungen die angegebenen Einstellungen hinzu (ohne irgendwelche zu entfernen). Wenn die angegebene Einstellung nicht vererbt wird, fügt dieser Operator sie der effektiven Richtlinie hinzu. Sie können diesen Operator nur mit Einstellungen mit mehreren Werten verwenden.

  • Dieser Operator fügt die angegebenen Werte zu allen Werten in dem geerbten Array hinzu.

• @@remove – Entfernt die angegebenen geerbten Einstellungen aus der effektiven Richtlinie, sofern sie vorhanden sind. Sie können diesen Operator nur mit Einstellungen mit mehreren Werten verwenden.

  • Dieser Operator entfernt nur die angegebenen Werte aus dem Array von Werten, die von den übergeordneten Richtlinien geerbt wurden. Andere Werte können weiterhin im Array vorhanden sein und von untergeordneten Richtlinien geerbt werden.

Untergeordnete Steuerungsoperatoren

Die Verwendung von untergeordneten Steuerungsoperatoren ist optional. Mit dem @@operators_allowed_for_child_policies-Operator können Sie steuern, welche wertbestimmenden Operatoren untergeordnete Richtlinien verwenden dürfen. Sie können alle Operatoren, bestimmte Operatoren oder keine Operatoren zulassen. Standardmäßig sind alle Operatoren (@@all) zulässig.

• "@@operators_allowed_for_child_policies":["@@all"] – Untergeordnete OUs und Konten können in Richtlinien jeden beliebigen Operator verwenden. Standardmäßig sind alle Operatoren in untergeordneten Richtlinien zulässig.

• "@@operators_allowed_for_child_policies":["@@assign", "@@append", "@@remove"] – Untergeordnete OUs und Konten können in untergeordneten Richtlinien nur die angegebenen Operatoren verwenden. In diesem untergeordneten Steuerungsoperator können Sie einen oder mehrere wertbestimmende Operatoren angeben.

• "@@operators_allowed_for_child_policies":["@@none"] – Untergeordnete OUs und Konten können keine Operatoren in Richtlinien verwenden. Sie können diesen Operator verwenden, um die Werte, die in einer übergeordneten Richtlinie definiert sind, effektiv zu sperren, damit untergeordnete Richtlinien diese Werte nicht hinzufügen, anhängen oder entfernen können.

Anmerkung

Wenn ein geerbter untergeordneter Steuerungsoperator die Verwendung eines Operators beschränkt, können Sie diese Regel nicht in einer untergeordneten Richtlinie rückgängig machen. Wenn Sie untergeordnete Steuerungsoperatoren in eine übergeordnete Richtlinie aufnehmen, beschränken diese die wertbestimmenden Operatoren in allen untergeordneten Richtlinien.