Crear políticas de la organización con AWS Organizations - AWS Organizations
Cree una política de control de servicios (SCP)Cree una política de copias de seguridadCrea una política de etiquetasCrea una política de chatbotCree una política de exclusión de los servicios de IA

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Crear políticas de la organización con AWS Organizations

Después de habilitar las políticas para su organización, puede crear una política.

En este tema se describe cómo crear políticas con AWS Organizations. Una política define los controles que se desean aplicar a un grupo de Cuentas de AWS. AWS Organizations admite las políticas de administración y las políticas de autorización.

Cree una política de control de servicios (SCP)

Permisos mínimos

Para SCPs crearla, necesita permiso para ejecutar la siguiente acción:

  • organizations:CreatePolicy

AWS Management Console
Para crear una política de control de servicios

  1. Inicie sesión en la consola de AWS Organizations. Debe iniciar sesión como IAM usuario, asumir un IAM rol o iniciar sesión como usuario raíz (no se recomienda) en la cuenta de administración de la organización.

  2. En la página Políticas de control de servicios, seleccione Crear política.

  3. En la página Create new service control policy (Crear política de control de servicios nueva), introduzca un Policy name (Nombre de política) y una Description (Descripción) opcional para la política.

  4. (Opcional) Agregue una o varias etiquetas seleccionando Añadir etiqueta y a continuación, introduzca una clave y un valor opcional. Dejar el valor en blanco lo establece en una cadena vacía; no es null. Puede adjuntar hasta 50 etiquetas a una política. Para obtener más información, consulte Recursos de etiquetado AWS Organizations.

    nota

    En la mayoría de los pasos siguientes, analizamos el uso de los controles de la parte derecha del JSON editor para crear la política, elemento por elemento. Como alternativa, en cualquier momento puedes simplemente introducir texto en el JSON editor de la parte izquierda de la ventana. Puede escribir directamente, o usar copiar y pegar.

  5. Para crear la política, los siguientes pasos varían en función de si desea agregar una instrucción que deniega el acceso o lo permite. Para obtener más información, consulte SCPevaluación. Si usa Deny declaraciones, tiene un control adicional porque puede restringir el acceso a recursos específicos, definir las condiciones para cuando SCPs estén en vigor y usar el NotActionelemento. Para obtener más detalles acerca de la sintaxis, consulte SCPsintaxis.

    Para agregar una instrucción que deniega el acceso:

    1. En el panel de edición de declaraciones de la derecha del editor, en Añadir acciones, selecciona un AWS servicio.

      Al seleccionar las opciones de la derecha, el JSON editor se actualiza para mostrar la JSON política correspondiente a la izquierda.

    2. Después de seleccionar un servicio, se abre una lista que contiene las acciones disponibles para ese servicio. Puede elegir Todas las acciones o elegir una o varias acciones individuales que desea denegar.

      El JSON de la izquierda se actualiza para incluir las acciones que has seleccionado.

      nota

      Si selecciona una acción individual y, a continuación, vuelve atrás y selecciona también Todas las acciones, servicename/* se añadirá a la entrada previstaJSON, pero las acciones individuales que haya seleccionado anteriormente se dejarán en la casilla JSON y no se eliminarán.

    3. Si desea agregar acciones de servicios adicionales, puede elegir Todos los servicios al principio del casillero de la Instrucción y, a continuación, repita los dos pasos anteriores según sea necesario.

    4. Especifique los recursos que hay que incluir en la instrucción.

      • Junto a Agregar un recurso, elija Agregar.

      • En el navegador Add resource (Agregar recurso), elija de la lista el servicio cuyos recursos desea controlar. Puede seleccionar entre solo los servicios que ha seleccionado en el paso anterior.

      • Bajo Tipo de recurso, elija el tipo de recurso que desea controlar.

      • Por último, complete el nombre del recurso de Amazon (ARN) en Resource ARN para identificar el recurso específico al que desea controlar el acceso. Debe reemplazar todos los marcadores de posición que estén rodeados de llaves {}. Puede especificar caracteres comodín (*) cuando lo permita la ARN sintaxis de ese tipo de recurso. Consulte la documentación de un tipo de recurso específico para obtener información sobre dónde puede usar comodines.

      • Guarde su adición a la política eligiendo Add resource (Agregar recurso). El Resource elemento incluido en JSON refleja las adiciones o cambios que se hayan realizado. El elemento de Recurso es obligatorio.

      sugerencia

      Si desea especificar todos los recursos para el servicio seleccionado, elija la opción Todos los recursos de la lista o edite la Resource declaración directamente en la JSON que desee leerla"Resource":"*".

    5. (Opcional) Para especificar las condiciones que determinan cuándo una declaración de política está en vigor, junto a Agregar condición, elija Agregar.

      • Clave de condición: de la lista, puede elegir cualquier clave de condición que esté disponible para todos los AWS servicios (por ejemplo,aws:SourceIp) o una clave específica del servicio para solo uno de los servicios que haya seleccionado para esta declaración.

      • Calificador— (Opcional) Si proporciona varios valores para la condición (dependiendo de la clave de condición especificada), puede especificar un Calificador para probar solicitudes con los valores.

        • Valor predeterminado: prueba un valor único de la solicitud con el valor de la clave de condición de la política. La condición es verdadera si el valor de la solicitud coincide con el valor de la política. Si la política especifica más de un valor, entonces se tratan como una prueba “o”, y la condición es verdadera si los valores de solicitud coinciden con cualquiera de los valores de la política.

        • Para cualquier valor en una solicitud — Cuando la solicitud puede tener varios valores, esta opción prueba si al menos uno de los valores de solicitud coincide con al menos uno de los valores clave de condición de la política. La condición devuelve true si alguno de los valores de clave de la solicitud coincide con alguno de los valores de condición de la política. Si no hay una clave coincidente o si hay un conjunto de datos es nulo, la condición devuelve "false".

        • Para todos los valores en una solicitud — Cuando la solicitud puede tener varios valores, esta opción prueba si todos de los valores de solicitud coinciden con un valor de clave de condición de la política. La condición devuelve true si cada valor de clave de la solicitud coincide con al menos un valor de la política. También devuelve true si no hay claves en la solicitud o si los valores de clave se resuelven en un conjunto de datos nulo, como una cadena vacía.

      • Operador — El operador especifica el tipo de comparación que se va a realizar. Las opciones que se presentan dependen del tipo de datos de la clave de condición. Por ejemplo, la clave de condición global aws:CurrentTime le permite elegir entre cualquiera de los operadores de comparación de fechas, o Null, que puede usar para probar si el valor está presente en la solicitud.

        Puede elegir la opción para cualquier operador de condición, excepto el IfExistsde Null prueba.

      • Valor — (Opcional) Especifique uno o varios valores para los que desea probar la solicitud.

      Elija Add condition.

      Para obtener más información sobre las claves de condición, consulte Elementos de IAM JSON política: condición en la Guía del IAM usuario.

    6. (Opcional) Para usar el elemento NotAction para denegar el acceso a todas las acciones excepto las especificadas, sustituya Action en el panel izquierdo con NotAction, justo después de "Effect": "Deny",. Para obtener más información, consulte Elementos IAM JSON de política: NotAction en la Guía del IAM usuario.

  6. Para agregar una instrucción que permita el acceso:

    1. En el JSON editor de la izquierda, cambie la línea "Effect": "Deny" a"Effect": "Allow".

      Al seleccionar las opciones de la derecha, el JSON editor se actualiza para mostrar la JSON política correspondiente a la izquierda.

    2. Después de seleccionar un servicio, se abre una lista que contiene las acciones disponibles para ese servicio. Puede elegir Todas las acciones o elija una o varias acciones individuales que desea permitir.

      El JSON de la izquierda se actualiza para incluir las acciones que has seleccionado.

      nota

      Si selecciona una acción individual y, a continuación, vuelve atrás y selecciona también Todas las acciones, servicename/* se añadirá a la entrada previstaJSON, pero las acciones individuales que haya seleccionado anteriormente se dejarán en la casilla JSON y no se eliminarán.

    3. Si desea agregar acciones de servicios adicionales, puede elegir Todos los servicios al principio del casillero de la Instrucción y, a continuación, repita los dos pasos anteriores según sea necesario.

  7. (Opcional) Para agregar otra instrucción a la política, elija Add statement (Añadir instrucción) y use el editor visual para crear la siguiente declaración.

  8. Cuando haya terminado de añadir las declaraciones, seleccione Crear política para guardar las completadasSCP.

La nueva SCP aparece en la lista de políticas de la organización. Ahora puedes adjuntar tus cuentas SCP a la raíz o a las cuentas. OUs

AWS CLI & AWS SDKs
Para crear una política de control de servicios

Puedes usar uno de los siguientes comandos para crear unaSCP:

  • AWS CLI: create-policy

    En el ejemplo siguiente se supone que tiene un archivo Deny-IAM.json con el nombre del texto de la JSON política. Utiliza ese archivo para crear una nueva política de control de servicios.

    $ aws organizations create-policy \
    --content file://Deny-IAM.json \
    --description "Deny all IAM actions" \
    --name DenyIAMSCP \
    --type SERVICE_CONTROL_POLICY
{
    "Policy": {
        "PolicySummary": {
            "Id": "p-i9j8k7l6m5",
            "Arn": "arn:aws:organizations::123456789012:policy/o-aa111bb222/service_control_policy/p-i9j8k7l6m5",
            "Name": "DenyIAMSCP",
            "Description": "Deny all IAM actions",
            "Type": "SERVICE_CONTROL_POLICY",
            "AwsManaged": false
        },
         "Content": "{\"Version\":\"2012-10-17\",\"Statement\":[{\"Sid\":\"Statement1\",\"Effect\":\"Deny\",\"Action\":[\"iam:*\"],\"Resource\":[\"*\"]}]}"
    }
}

  • AWS SDKs: CreatePolicy
nota

SCPsno surten efecto en la cuenta de administración ni en algunas otras situaciones. Para obtener más información, consulte Las tareas y entidades no están restringidas por SCPs.

Cree una política de copias de seguridad

Permisos mínimos

Para crear una política de copia de seguridad, necesita permiso para ejecutar la siguiente acción:

  • organizations:CreatePolicy

AWS Management Console

Puede crear una política de copias de AWS Management Console seguridad de dos maneras:

  • Un editor visual que le permite elegir opciones y genera el texto JSON de la política automáticamente.

  • Un editor de texto que le permite crear usted mismo directamente el texto JSON de la política.

El editor visual facilita el proceso, pero limita su flexibilidad. Es una excelente manera de crear sus primeras políticas y sentirse cómodo al usarlas. Una vez que comprenda cómo funcionan y haya empezado a verse limitado por lo que ofrece el editor visual, puede añadir funciones avanzadas a sus políticas editando usted mismo el texto de la JSON política. El editor visual utiliza solo el operador de configuración de valores @@assign y no proporciona ningún acceso a los operadores de control secundarios. Solo puede añadir los operadores de control infantil si edita manualmente el texto JSON de la política.

Para crear una política de backup

  1. Inicie sesión en la consola de AWS Organizations. Debe iniciar sesión como IAM usuario, asumir un IAM rol o iniciar sesión como usuario raíz (no se recomienda) en la cuenta de administración de la organización.

  2. En la página Backup policies (Políticas de copia de seguridad), seleccione Create policy (Crear política).

  3. En la página Create policy (Crear política), introduzca un Policy name (Nombre de política) y una Description (Descripción) opcional para la política.

  4. (Opcional) Puede agregar una o varias etiquetas a la política seleccionando Agregar etiqueta y a continuación, introduzca una clave y un valor opcional. Dejar el valor en blanco lo establece en una cadena vacía; no es null. Puede adjuntar hasta 50 etiquetas a una política. Para obtener más información acerca del etiquetado, consulte Recursos de etiquetado AWS Organizations.

  5. Puede crear la política mediante el Visual editor (Editor visual) como se describe en este procedimiento. También puedes introducir o pegar el texto de la política en la JSONpestaña. Para obtener información acerca de la sintaxis de las políticas de copia de seguridad, consulte Ejemplos y sintaxis de políticas de copia de seguridad.

    Si decide utilizar el Visual editor (Editor visual), seleccione las opciones de copia de seguridad adecuadas para su situación. Un plan de copia de seguridad consta de tres partes. Para obtener más información acerca de estos elementos del plan de copia de seguridad, consulte Crear un plan de copia de seguridad y Asignar recursos en la Guía del desarrollador AWS Backup .

    1. Detalles generales del plan de copia de seguridad

      • El nombre del plan de copia de seguridad puede constar únicamente de caracteres alfanuméricos, guiones y guiones bajos.

      • Debe seleccionar al menos una región del plan de copia de seguridad de la lista. El plan puede hacer copias de seguridad de los recursos solo en las áreas seleccionadas Regiones de AWS.

    2. Una o más reglas de copia de seguridad que especifican cómo y cuándo debe funcionar AWS Backup . Cada regla de copia de seguridad define los siguientes elementos:

      • Una programación que incluye la frecuencia de la copia de seguridad y la ventana de tiempo en la que se puede realizar la copia de seguridad.

      • El nombre del almacén de copia de seguridad que se va a utilizar. El nombre del almacén de copia de seguridad puede constar únicamente de caracteres alfanuméricos, guiones y guiones bajos. Debe haber un almacén de copia de seguridad para que el plan pueda ejecutarse correctamente. Cree el almacén mediante la AWS Backup consola o AWS CLI los comandos.

      • (Opcional) Una o varias reglas Copy to region (Copiar en región) para copiar también las copias de seguridad en almacenes de otras Regiones de AWS.

      • Uno o más pares de clave y valor de etiqueta para asociar a los puntos de recuperación de copia de seguridad creados cada vez que se ejecuta este plan de copia de seguridad.

      • Opciones de ciclo de vida que especifican cuándo pasa la copia de seguridad al almacenamiento en frío y cuándo caduca la copia de seguridad.

      Seleccionar Agregar regla para agregar cada regla que necesite al plan.

      Para obtener más información sobre las reglas de copia de seguridad, consulte las Reglas de copia de seguridad en la Guía para desarrolladores AWS Backup .

    3. Una asignación de recursos que especifica los recursos de los que AWS Backup debe realizar una copia de seguridad con este plan. La asignación se realiza especificando los pares de etiquetas que se AWS Backup utilizan para buscar y hacer coincidir los recursos

      • El nombre de la asignación de recursos puede constar únicamente de caracteres alfanuméricos, guiones y guiones bajos.

      • Especifique la IAMfunción que se AWS Backup va a utilizar para realizar la copia de seguridad por su nombre.

        En la consola, no se especifica todo el nombre del recurso de Amazon (ARN). Debe incluir tanto el nombre del rol como su prefijo, que especifica el tipo de rol. Los prefijos son típicamente role o service-role, y se separan del nombre del rol por una barra inclinada ('/'). Por ejemplo, puede escribir role/MyRoleName o service-role/MyManagedRoleName. Se convierte en un archivo completo ARN cuando se almacena en el archivo subyacenteJSON.

        importante

        El IAM rol especificado ya debe existir en la cuenta a la que se aplica la política. De lo contrario, el plan de copia de seguridad podrá iniciar correctamente trabajos de copia de seguridad, pero dichos trabajos de copia de seguridad fallarán.

      • Especifique una o más Clave de etiqueta de recursos y Valores de etiquetas para identificar los recursos de los que desea realizar una copia de seguridad. Si hay más de un valor de etiqueta, sepárelos con comas.

      Seleccionar Agregar una asignación para agregar cada asignación de recursos configurada al plan de copia de seguridad.

      Para obtener más información, consulte Asignar recursos a un plan de copia de seguridad en la Guía para desarrolladores AWS Backup .

  6. Cuando haya terminado de crear la política, elija Create policy (Crear política). La política aparece en la lista de políticas de copia de seguridad disponibles.

AWS CLI & AWS SDKs
Para crear una política de backup

Puede utilizar uno de los siguientes elementos para crear una política de copia de seguridad:

  • AWS CLI: create-policy

    Cree un plan de respaldo en forma de JSON texto similar al siguiente y guárdelo en un archivo de texto. Para obtener reglas completas para la sintaxis, consulte Ejemplos y sintaxis de políticas de copia de seguridad.

    {
    "plans": {
        "PII_Backup_Plan": {
            "regions": { "@@assign": [ "ap-northeast-2", "us-east-1", "eu-north-1" ] },
            "rules": {
                "Hourly": {
                    "schedule_expression": { "@@assign": "cron(0 5/1 ? * * *)" },
                    "start_backup_window_minutes": { "@@assign": "480" },
                    "complete_backup_window_minutes": { "@@assign": "10080" },
                    "lifecycle": {
                        "move_to_cold_storage_after_days": { "@@assign": "180" },
                        "delete_after_days": { "@@assign": "270" }
                    },
                    "target_backup_vault_name": { "@@assign": "FortKnox" },
                    "copy_actions": {
                        "arn:aws:backup:us-east-1:$account:backup-vault:secondary-vault": {
                            "lifecycle": {
                                "move_to_cold_storage_after_days": { "@@assign": "10" },
                                "delete_after_days": { "@@assign": "100" }
                            }
                        }
                    }
                }
            },
            "selections": {
                "tags": {
                    "datatype": {
                        "iam_role_arn": { "@@assign": "arn:aws:iam::$account:role/MyIamRole" },
                        "tag_key": { "@@assign": "dataType" },
                        "tag_value": { "@@assign": [ "PII" ] }
                    }
                }
            }
        }
    }
}

    Este plan de respaldo especifica que AWS Backup debe hacer una copia de seguridad de todos los recursos de los afectados Cuentas de AWS que estén en lo especificado Regiones de AWS y que tengan la etiqueta dataType con un valor dePII.

    A continuación, importe el plan de copia de seguridad del archivo de JSON políticas para crear una nueva política de copia de seguridad en la organización. Anote el identificador de la política al final de la política ARN en el resultado.

    $ aws organizations create-policy \
    --name "MyBackupPolicy" \
    --type BACKUP_POLICY \
    --description "My backup policy" \
    --content file://policy.json{
    "Policy": {
        "PolicySummary": {
            "Arn": "arn:aws:organizations::o-aa111bb222:policy/backup_policy/p-i9j8k7l6m5",
            "Description": "My backup policy",
            "Name": "MyBackupPolicy",
            "Type": "BACKUP_POLICY"
        }
        "Content": "...a condensed version of the JSON policy document you provided in the file...",
    }
}

  • AWS SDKs: CreatePolicy
Qué hacer a continuación

Cuando haya creado una política de copia de seguridad, puede hacerla efectiva. Para ello, puedes adjuntar la política a la raíz de la organización, a las unidades organizativas (OUs), Cuentas de AWS dentro de la organización o a una combinación de todas ellas.

Crea una política de etiquetas

Permisos mínimos

Para crear las políticas de etiquetas, necesita permiso para ejecutar la siguiente acción:

  • organizations:CreatePolicy

Puede crear una política de etiquetas AWS Management Console de dos maneras:

  • Un editor visual que te permite elegir opciones y genera el texto JSON de la política automáticamente.

  • Un editor de texto que le permite crear usted mismo directamente el texto JSON de la política.

El editor visual facilita el proceso, pero limita su flexibilidad. Es una excelente manera de crear sus primeras políticas y sentirse cómodo al usarlas. Una vez que comprenda cómo funcionan y haya empezado a verse limitado por lo que ofrece el editor visual, puede añadir funciones avanzadas a sus políticas editando usted mismo el texto de la JSON política. El editor visual utiliza solo el operador de configuración de valores @@assign y no proporciona ningún acceso a los operadores de control secundarios. Solo puede añadir los operadores de control infantil si edita manualmente el texto JSON de la política.

AWS Management Console

Puede crear una política de etiquetas AWS Management Console de dos maneras:

  • Un editor visual que te permite elegir opciones y genera el texto JSON de la política automáticamente.

  • Un editor de texto que le permite crear usted mismo directamente el texto JSON de la política.

El editor visual facilita el proceso, pero limita su flexibilidad. Es una excelente manera de crear sus primeras políticas y sentirse cómodo al usarlas. Una vez que comprenda cómo funcionan y haya empezado a verse limitado por lo que ofrece el editor visual, puede añadir funciones avanzadas a sus políticas editando usted mismo el texto de la JSON política. El editor visual utiliza solo el operador de configuración de valores @@assign y no proporciona ningún acceso a los operadores de control secundarios. Solo puede añadir los operadores de control infantil si edita manualmente el texto JSON de la política.

Para crear una política de etiquetas

  1. Inicie sesión en la consola de AWS Organizations. Debe iniciar sesión como IAM usuario, asumir un IAM rol o iniciar sesión como usuario raíz (no se recomienda) en la cuenta de administración de la organización.

  2. En la página Tag policies (Políticas de etiquetas), seleccione Create policy (Crear política).

  3. En la página Create policy (Crear política), introduzca un Policy name (Nombre de política) y una Description (Descripción) opcional para la política.

  4. (Opcional) Puede agregar una o varias etiquetas al objeto de la política en sí. Estas etiquetas no forman parte de la política. Para ello, elija Agregar etiqueta y, a continuación, ingrese una clave y un valor opcional. Dejar el valor en blanco lo establece en una cadena vacía; no es null. Puede adjuntar hasta 50 etiquetas a una política. Para obtener más información, consulte Recursos de etiquetado AWS Organizations.

  5. Puede crear la política de etiquetas mediante el Visual editor (Editor visual) como se describe en este procedimiento. También puedes escribir o pegar una política de etiquetas en la JSONpestaña. Para obtener información acerca de la sintaxis de políticas de etiquetas, consulte Sintaxis de la política de etiquetas.

    Si opta por utilizar el editor visual, especifique lo siguiente:

  6. En Nueva clave de etiqueta 1, especifique el nombre de la clave de etiqueta que desea agregar.

  7. Para las opciones de conformidad, puede seleccionar las siguientes opciones:

    1. Utilice las mayúsculas que especificó anteriormente para la clave de etiqueta; deje esta opción desactivada (es la predeterminada) para especificar que la política de etiquetas principal heredada, si existe alguna, debe definir el tratamiento de mayúsculas y minúsculas de la clave de etiqueta.

      Habilite esta opción si desea asignar un uso específico de las mayúsculas en la clave de etiqueta mediante esta política. Si selecciona esta opción, el uso de mayúsculas que haya especificado en Tag Key (Clave de etiqueta) anula el tratamiento de las mayúsculas y minúsculas especificado en una política principal heredada.

      Si no existe ninguna política principal y no se habilita esta opción, solo las claves de etiqueta con todos los caracteres en minúscula se consideran conformes. Para obtener más información acerca de la herencia de políticas principales, consulte Descripción de la herencia de políticas de administración.

      sugerencia

      Tenga en cuenta el uso de la política de etiquetas de ejemplo que se muestra en Ejemplo 1: Definir las mayúsculas y minúsculas de la clave de etiquetas en toda la organización como guía para crear una política de etiquetas que defina las claves de etiqueta y su tratamiento de las mayúsculas y minúsculas. Asóciela a la raíz de la organización. Más adelante, podrá crear y adjuntar políticas de etiquetado adicionales a nuestras OUs cuentas para crear reglas de etiquetado adicionales.

    2. Especifique los valores permitidos para esta clave de etiqueta: active esta opción si desea añadir los valores permitidos para esta clave de etiqueta a cualquier valor heredado de una política principal.

      De forma predeterminada, esta opción está desactivada, lo que significa que solo se consideran conformes esos valores definidos y heredados de una política principal. Si no existe ninguna política principal y no especifica valores de etiqueta, entonces cualquier valor (incluso la ausencia de valores) se considera conforme.

      Para actualizar la lista de valores de etiqueta aceptables, seleccione Specify allowed values for this tag key (Especificar los valores permitidos en esta clave de etiqueta) y, a continuación, elija Specify values (Especificar valores). Cuando se le soliciten, introduzca los nuevos valores (un valor por casillero) y elija Save changes (Guardar cambios).

  8. Para aplicar los tipos de recursos, puede seleccionar Impedir operaciones no conformes para esta etiqueta.

    Le recomendamos que deje esta opción desactivada (la opción predeterminada), a menos que tenga experiencia en el uso de políticas de etiquetas. Asegúrese de haber revisado las recomendaciones en Descripción de la aplicación de políticas y evaluar minuciosamente. De lo contrario, podría impedir que los usuarios de las cuentas de su organización etiqueten los recursos que necesiten.

    Si desea ejecutar la conformidad con esta clave de etiqueta, seleccione la casilla de verificación y, a continuación, Especificar los tipos de recursos. Cuando se le solicite, seleccione los tipos de recursos que desea incluir en la política. A continuación, elija Guardar cambios.

    importante

    Al seleccionar esta opción, cualquier operación que manipule etiquetas para recursos de los tipos especificados tendrá éxito solo si la operación da como resultado etiquetas que cumplan con la política.

  9. (Opcional) Para agregar otra clave de etiqueta a esta política de etiquetas, elija Add tag key (Agregar clave de etiqueta). A continuación, realice los pasos 6-9 para definir la clave de etiqueta.

  10. Cuando haya terminado de crear la política de etiquetas, elija Save changes (Guardar cambios).

AWS CLI & AWS SDKs
Para crear una política de etiquetas

Puede utilizar una de las siguientes opciones para crear una política de etiquetas:

  • AWS CLI: create-policy

    Puede utilizar cualquier editor de texto para crear una política de etiquetas. Utilice la JSON sintaxis y guarde la política de etiquetas como un archivo con cualquier nombre y extensión en la ubicación que desee. Las políticas de etiquetas pueden tener un máximo de 2500 caracteres, espacios incluidos. Para obtener información acerca de la sintaxis de políticas de etiquetas, consulte Sintaxis de la política de etiquetas.

    Para crear una política de etiquetas

    1. Cree una política de etiquetas en un archivo de texto que tenga un aspecto similar a la siguiente:

      Contenidos de testpolicy.json:

      {
    "tags": {
        "CostCenter": {
            "tag_key": {
                "@@assign": "CostCenter"
            }
        }
    }
}

      Esta política de etiquetas define la clave de la etiqueta CostCenter. La etiqueta puede aceptar cualquier valor o no tener ninguno. Una política como esta significa que un recurso que tenga la CostCenter etiqueta adjunta con o sin un valor es compatible.

    2. Cree una política que contenga el contenido de la política del archivo. Se ha truncado el espacio en blanco adicional en la salida para legibilidad.

      $ aws organizations create-policy \
    --name "MyTestTagPolicy" \
    --description "My Test policy" \
    --content file://testpolicy.json \
    --type TAG_POLICY
{
    "Policy": {
        "PolicySummary": {
            "Id": "p-a1b2c3d4e5",
            "Arn": "arn:aws:organizations::123456789012:policy/o-aa111bb222/tag_policy/p-a1b2c3d4e5",
            "Name": "MyTestTagPolicy",
            "Description": "My Test policy",
            "Type": "TAG_POLICY",
            "AwsManaged": false
        },
        "Content": "{\n\"tags\":{\n\"CostCenter\":{\n\"tag_key\":{\n\"@@assign\":\"CostCenter\"\n}\n}\n}\n}\n\n"
    }
}

  • AWS SDKs: CreatePolicy
Qué hacer a continuación

Después de crear una política de etiquetas, puede poner las reglas de etiquetado en vigor. Para ello, adjunta la política a la raíz de la organización, a las unidades organizativas (OUs), Cuentas de AWS dentro de la organización o a una combinación de entidades de la organización.

Crea una política de chatbot

Permisos mínimos

Para crear una política de chatbot, necesitas permiso para ejecutar la siguiente acción:

  • organizations:CreatePolicy

AWS Management Console

Puedes crear una política de chatbot de dos AWS Management Console maneras:

  • Un editor visual que te permite elegir opciones y genera el texto JSON de la política automáticamente.

  • Un editor de texto que le permite crear usted mismo directamente el texto JSON de la política.

El editor visual facilita el proceso, pero limita su flexibilidad. Es una excelente manera de crear sus primeras políticas y sentirse cómodo al usarlas. Una vez que comprenda cómo funcionan y haya empezado a verse limitado por lo que ofrece el editor visual, puede añadir funciones avanzadas a sus políticas editando usted mismo el texto de la JSON política. El editor visual utiliza solo el operador de configuración de valores @@assign y no proporciona ningún acceso a los operadores de control secundarios. Solo puede añadir los operadores de control infantil si edita manualmente el texto JSON de la política.

Para crear una política de chatbot

  1. Inicie sesión en la consola de AWS Organizations. Debes iniciar sesión como IAM usuario, asumir un IAM rol o iniciar sesión como usuario raíz (no se recomienda) en la cuenta de administración de la organización.

  2. En la página de políticas del Chatbot, selecciona Crear política.

  3. En la página Crear una nueva política de chatbot, introduce un nombre de política y una descripción de la política opcional.

  4. (Opcional) Puede agregar una o varias etiquetas a la política seleccionando Agregar etiqueta y a continuación, introduzca una clave y un valor opcional. Dejar el valor en blanco lo establece en una cadena vacía; no es null. Puede adjuntar hasta 50 etiquetas a una política. Para obtener más información, consulte Recursos de etiquetado AWS Organizations.

  5. Puede crear la política mediante el Visual editor (Editor visual) como se describe en este procedimiento. También puedes introducir o pegar el texto de la política en la JSONpestaña. Para obtener información sobre la sintaxis de las políticas de chatbots, consulteSintaxis y ejemplos de políticas de Chatbot.

    Si eliges usar el editor visual, configura tu política de chatbot especificando los controles de acceso para los clientes de chat.

    1. Elige una de las siguientes opciones para Configurar el acceso al cliente de chat de Amazon Chime

      • Denegar el acceso a Chime.

      • Permita el acceso a Chime.

    2. Seleccione una de las siguientes opciones para Configurar el acceso al cliente de chat de Microsoft Teams

      • Denegar el acceso a todos los equipos

      • Permita el acceso a todos los equipos

      • Restrinja el acceso a los equipos designados

    3. Elige una de las siguientes opciones para configurar el acceso al cliente de chat de Slack

      • Denega el acceso a todos los espacios de trabajo de Slack

      • Permita el acceso a todos los espacios de trabajo de Slack

      • Restringe el acceso a los espacios de trabajo de Slack con nombres específicos

      nota

      Además, puedes seleccionar Limitar el AWS Chatbot uso solo a los canales privados de Slack.

    4. Selecciona las siguientes opciones para Definir los tipos de IAM permisos

      • Habilitar el IAM rol a nivel de canal: todos los miembros del canal comparten permisos de IAM rol para ejecutar tareas en un canal. Un rol de canal es adecuado si los miembros del canal requieren los mismos permisos.

      • Habilitar el IAM rol a nivel de usuario: los miembros del canal deben elegir un rol de IAM usuario para realizar las acciones (se requiere acceso a la consola para elegir los roles). Los roles de usuario son adecuados si los miembros del canal requieren permisos diferentes y pueden elegir sus roles de usuario.

  6. Cuando haya terminado de crear la política, elija Create policy (Crear política). La política aparece en la lista de políticas de respaldo de los chatbots.

AWS CLI & AWS SDKs
Para crear una política de chatbot

Puedes usar una de las siguientes opciones para crear una política de chatbot:

  • AWS CLI: create-policy

    Puedes usar cualquier editor de texto para crear una política de chatbot. Usa la JSON sintaxis y guarda la política del chatbot como un archivo con cualquier nombre y extensión en la ubicación que elijas. ¿Las políticas de Chatbot pueden tener un máximo de? caracteres, incluidos los espacios. Para obtener información acerca de la sintaxis de políticas de etiquetas, consulte Sintaxis y ejemplos de políticas de Chatbot.

    Para crear una política de chatbot

    1. Crea una política de chatbot en un archivo de texto similar al siguiente:

      Contenidos de testpolicy.json:

      {
   "chatbot": {
      "platforms": {
         "slack": {
            "client": {
               "@@assign": "enabled"
            },
            "workspaces": {
               "@@assign": [
                  "Slack-Workspace-Id"
               ]
            },
            "default": {
               "supported_channel_types": {
                  "@@assign": [
                     "private"
                  ]
               }
            }
         },
         "microsoft_teams": {
            "client": {
               "@@assign": "disabled"
            }
         }
      }
   }
}

      Esta política de chatbot solo permite los canales privados de Slack en un espacio de trabajo específico, desactiva Microsoft Teams y admite todos los ajustes de roles.

    2. Cree una política que contenga el contenido de la política del archivo. Se ha truncado el espacio en blanco adicional en la salida para legibilidad.

      $ aws organizations create-policy \
    --name "MyTestTagPolicy" \
    --description "My Test policy" \
    --content file://testpolicy.json \
    --type TAG_POLICY
{
    "Policy": {
        "PolicySummary": {
            "Id": "p-a1b2c3d4e5",
            "Arn": "arn:aws:organizations::123456789012:policy/o-aa111bb222/chatbot_policy/p-a1b2c3d4e5",
            "Name": "MyTestChatbotPolicy",
            "Description": "My Test policy",
            "Type": "CHATBOT_POLICY",
            "AwsManaged": false
        },
        "Content": "{"chatbot":{"platforms":{"slack":{"client":{"@@assign":"enabled"},"workspaces":{"@@assign":["Slack-Workspace-Id"]},"supported_channel_types":{"@@assign":["private"]}},"microsoft_teams":{"client":{"@@assign":"disabled"}}}}}"
    }
}

  • AWS SDKs: CreatePolicy
Qué hacer a continuación

Una vez que hayas creado una política de chatbots, podrás poner en práctica tus opciones de exclusión. Para ello, puedes adjuntar la política a la raíz de la organización, a las unidades organizativas (OUs) de tu organización o a una combinación de todas ellas. Cuentas de AWS

Cree una política de exclusión de los servicios de IA

Permisos mínimos

Para crear una política de exclusión de servicios de IA, necesita permiso para ejecutar la siguiente acción:

  • organizations:CreatePolicy

AWS Management Console
Para crear una política de exclusión de servicios de IA

  1. Inicie sesión en la consola de AWS Organizations. Debe iniciar sesión como IAM usuario, asumir un IAM rol o iniciar sesión como usuario raíz (no se recomienda) en la cuenta de administración de la organización.

  2. En la página Políticas de exclusión de servicios de IA, seleccione Create policy (Crear política).

  3. En la página Crear nueva política de exclusión de servicios de IA, introduzca un Nombre de política y una Descripción opcional para la política.

  4. (Opcional) Puede agregar una o varias etiquetas a la política seleccionando Agregar etiqueta y a continuación, introduzca una clave y un valor opcional. Dejar el valor en blanco lo establece en una cadena vacía; no es null. Puede adjuntar hasta 50 etiquetas a una política. Para obtener más información, consulte Recursos de etiquetado AWS Organizations.

  5. Introduce o pega el texto de la política en la JSONpestaña. Para obtener información acerca de la sintaxis de política de exclusión de servicios de IA, consulte Sintaxis y ejemplos de políticas de exclusión de servicios de IA. Para ver las políticas de ejemplo que puede utilizar como punto de partida, consulte Ejemplos de políticas de exclusión de servicios de IA.

  6. Cuando haya terminado de editar la política, elija Crear política en la esquina inferior derecha de la página.

AWS CLI & AWS SDKs
Para crear una política de exclusión de servicios de IA

Puede utilizar una de las siguientes opciones para crear una política de etiquetas:

  • AWS CLI: create-policy

    1. Cree una política de exclusión de servicios de IA como la siguiente y guárdela en un archivo de texto. Tenga en cuenta que "optOut" y "optIn" distinguen entre mayúsculas y minúsculas.

      {
    "services": {
        "default": {
            "opt_out_policy": {
                "@@assign": "optOut"
            }
        },
        "rekognition": {
            "opt_out_policy": {
                "@@assign": "optIn"
            }
        }
    }
}

      Esta política de exclusión de servicios de IA especifica que todas las cuentas afectadas por la política se excluyen de todos los servicios de IA excepto Amazon Rekognition.

    2. Importe el archivo de JSON política para crear una nueva política en la organización. En este ejemplo, se asignó JSON un nombre al archivo anteriorpolicy.json.

      $ aws organizations create-policy \
    --type AISERVICES_OPT_OUT_POLICY \
    --name "MyTestPolicy" \
    --description "My test policy" \
    --content file://policy.json
{
    "Policy": {
        "Content": "{\"services\":{\"default\":{\"opt_out_policy\":{\"@@assign\":\"optOut\"}},\"rekognition\":{\"opt_out_policy\":{\"@@assign\":\"optIn\"}}}}",
        "PolicySummary": {
            "Id": "p-i9j8k7l6m5"
            "Arn": "arn:aws:organizations::o-aa111bb222:policy/aiservices_opt_out_policy/p-i9j8k7l6m5",
            "Description": "My test policy",
            "Name": "MyTestPolicy",
            "Type": "AISERVICES_OPT_OUT_POLICY"
        }
    }
}

  • AWS SDKs: CreatePolicy
Qué hacer a continuación

Cuando haya creado una política de exclusión de los servicios de IA, puede poner en práctica sus opciones de exclusión. Para ello, puedes adjuntar la política a la raíz de la organización, a las unidades organizativas (OUs), Cuentas de AWS dentro de la organización o a una combinación de todas ellas.