Crear políticas de la organización con AWS Organizations - AWS Organizations
Creación de una política de control de servicios (SCP)Cree una política de control de recursos (RCP)Cree una política declarativaCreación de una política de copia de seguridadCreación de una política de etiquetasCreación de una política de chatbotCreación de una política de exclusión de servicios de IA

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Crear políticas de la organización con AWS Organizations

Después de habilitar políticas para su organización, puede crear una política.

En este tema se describe cómo crear políticas con AWS Organizations. Una política define los controles que se desean aplicar a un grupo de Cuentas de AWS.

Creación de una política de control de servicios (SCP)

Permisos mínimos

Para SCPs crearlos, necesita permiso para ejecutar la siguiente acción:

  • organizations:CreatePolicy

AWS Management Console
Para crear una política de control de servicios

  1. Inicie sesión en la consola de AWS Organizations. Debe iniciar sesión como usuario de IAM, asumir un rol de IAM; o iniciar sesión como usuario raíz (no se recomienda) en la cuenta de administración de la organización.

  2. En la página Políticas de control de servicios, seleccione Crear política.

  3. En la página Create new service control policy (Crear política de control de servicios nueva), introduzca un Policy name (Nombre de política) y una Description (Descripción) opcional para la política.

  4. (Opcional) Agregue una o varias etiquetas seleccionando Añadir etiqueta y a continuación, introduzca una clave y un valor opcional. Dejar el valor en blanco lo establece en una cadena vacía; no es null. Puede adjuntar hasta 50 etiquetas a una política. Para obtener más información, consulte Recursos de etiquetado AWS Organizations.

    nota

    En la mayoría de los pasos que siguen, discutimos el uso de los controles en el lado derecho del editor JSON para construir la política, elemento por elemento. Alternativamente, puede, en cualquier momento, simplemente ingresar texto en el editor JSON en el lado izquierdo de la ventana. Puede escribir directamente, o usar copiar y pegar.

  5. Para crear la política, los siguientes pasos varían en función de si desea agregar una instrucción que deniega el acceso o lo permite. Para obtener más información, consulte Evaluación de SCP. Si utiliza Deny instrucciones, tiene un control adicional, ya que puede restringir el acceso a recursos específicos, definir las condiciones para su aplicación y utilizar el NotActionelemento. SCPs Para obtener más detalles acerca de la sintaxis, consulte Sintaxis de SCP.

    Para agregar una instrucción que deniega el acceso:

    1. En el panel de edición de declaraciones de la derecha del editor, en Añadir acciones, selecciona un AWS servicio.

      A medida que elige opciones a la derecha, el editor JSON se actualiza para mostrar la política de JSON correspondiente a la izquierda.

    2. Después de seleccionar un servicio, se abre una lista que contiene las acciones disponibles para ese servicio. Puede elegir Todas las acciones o elegir una o varias acciones individuales que desea denegar.

      El JSON de la izquierda se actualiza para incluir las acciones seleccionadas.

      nota

      Si selecciona una acción individual y, a continuación, también vuelve y también selecciona Todas las acciones, la entrada esperada para servicename:* se agrega al JSON, pero las acciones individuales que seleccionó anteriormente se dejan en el JSON y no se eliminan.

    3. Si desea agregar acciones de servicios adicionales, puede elegir Todos los servicios al principio del casillero de la Instrucción y, a continuación, repita los dos pasos anteriores según sea necesario.

    4. Especifique los recursos que hay que incluir en la instrucción.

      • Junto a Agregar un recurso, elija Agregar.

      • En el navegador Add resource (Agregar recurso), elija de la lista el servicio cuyos recursos desea controlar. Puede seleccionar entre solo los servicios que ha seleccionado en el paso anterior.

      • Bajo Tipo de recurso, elija el tipo de recurso que desea controlar.

      • Por último, complete el nombre de recurso de Amazon (ARN) en ARN de recurso para identificar el recurso específico al que desea controlar el acceso. Debe reemplazar todos los marcadores de posición que estén rodeados de llaves {}. Puede especificar comodines (*) donde la sintaxis ARN de ese tipo de recurso lo permite. Consulte la documentación de un tipo de recurso específico para obtener información sobre dónde puede usar comodines.

      • Guarde su adición a la política eligiendo Add resource (Agregar recurso). El elemento Resource en el JSON refleja sus adiciones o cambios. El elemento de Recurso es obligatorio.

      sugerencia

      Si desea especificar todos los recursos para el servicio seleccionado, elija la opción Todos los recursos en la lista, o edite la opción Resource directamente en el JSON para leer "Resource":"*".

    5. (Opcional) Para especificar las condiciones que determinan cuándo una declaración de política está en vigor, junto a Agregar condición, elija Agregar.

      • Clave de condición: de la lista, puede elegir cualquier clave de condición que esté disponible para todos los AWS servicios (por ejemploaws:SourceIp) o una clave específica para solo uno de los servicios que haya seleccionado para esta declaración.

      • Calificador: (opcional) Cuando la solicitud tiene más de un valor para una clave de contexto multivalor, puede especificar un calificador para probar las solicitudes con esos valores. Para obtener más información, consulte las claves de contexto de un solo valor frente a las de varios valores en la Guía del usuario de IAM. Para comprobar si una solicitud puede tener varios valores, consulte las claves de acciones, recursos y condición que aparecen Servicios de AWS en la Referencia de autorización de servicios.

        • Valor predeterminado: prueba un valor único de la solicitud con el valor de la clave de condición de la política. La condición es verdadera si el valor de la solicitud coincide con el valor de la política. Si la política especifica más de un valor, entonces se tratan como una prueba “o”, y la condición es verdadera si los valores de solicitud coinciden con cualquiera de los valores de la política.

        • Para cualquier valor en una solicitud — Cuando la solicitud puede tener varios valores, esta opción prueba si al menos uno de los valores de solicitud coincide con al menos uno de los valores clave de condición de la política. La condición devuelve true si alguno de los valores de clave de la solicitud coincide con alguno de los valores de condición de la política. Si no hay una clave coincidente o si hay un conjunto de datos es nulo, la condición devuelve "false".

        • Para todos los valores en una solicitud — Cuando la solicitud puede tener varios valores, esta opción prueba si todos de los valores de solicitud coinciden con un valor de clave de condición de la política. La condición devuelve true si cada valor de clave de la solicitud coincide con al menos un valor de la política. También devuelve true si no hay claves en la solicitud o si los valores de clave se resuelven en un conjunto de datos nulo, como una cadena vacía.

      • Operador — El operador especifica el tipo de comparación que se va a realizar. Las opciones que se presentan dependen del tipo de datos de la clave de condición. Por ejemplo, la clave de condición global aws:CurrentTime le permite elegir entre cualquiera de los operadores de comparación de fechas, o Null, que puede usar para probar si el valor está presente en la solicitud.

        Para cualquier operador de condiciones, excepto la Null prueba, puede elegir la IfExistsopción.

      • Valor — (Opcional) Especifique uno o varios valores para los que desea probar la solicitud.

      Elija Add condition.

      Para obtener más información acerca de las claves de condición, consulte Elementos de la política de JSON de IAM: Condición en la Guía del usuario de IAM.

  6. Para agregar una instrucción que permita el acceso:

    1. En el editor JSON de la izquierda, cambie la línea "Effect": "Deny" a "Effect": "Allow".

      A medida que elige opciones a la derecha, el editor JSON se actualiza para mostrar la política de JSON correspondiente a la izquierda.

    2. Después de seleccionar un servicio, se abre una lista que contiene las acciones disponibles para ese servicio. Puede elegir Todas las acciones o elija una o varias acciones individuales que desea permitir.

      El JSON de la izquierda se actualiza para incluir las acciones seleccionadas.

      nota

      Si selecciona una acción individual y, a continuación, también vuelve y también selecciona Todas las acciones, la entrada esperada para servicename:* se agrega al JSON, pero las acciones individuales que seleccionó anteriormente se dejan en el JSON y no se eliminan.

    3. Si desea agregar acciones de servicios adicionales, puede elegir Todos los servicios al principio del casillero de la Instrucción y, a continuación, repita los dos pasos anteriores según sea necesario.

  7. (Opcional) Para agregar otra instrucción a la política, elija Add statement (Añadir instrucción) y use el editor visual para crear la siguiente declaración.

  8. Cuando haya terminado de añadir instrucciones, elija Create policy (Crear política) para guardar la SCP.

Su nueva SCP aparecerá en la lista de políticas de la organización. Ahora puede adjuntar su SCP a la raíz o a las cuentas. OUs

AWS CLI & AWS SDKs
Para crear una política de control de servicios

Puede utilizar uno de los siguientes comandos para crear una SCP:

  • AWS CLI: create-policy

    En el ejemplo siguiente se presupone que dispone de un archivo denominado Deny-IAM.json con el texto de la política JSON. Utiliza ese archivo para crear una nueva política de control de servicios.

    $ aws organizations create-policy \
    --content file://Deny-IAM.json \
    --description "Deny all IAM actions" \
    --name DenyIAMSCP \
    --type SERVICE_CONTROL_POLICY
{
    "Policy": {
        "PolicySummary": {
            "Id": "p-i9j8k7l6m5",
            "Arn": "arn:aws:organizations::123456789012:policy/o-aa111bb222/service_control_policy/p-i9j8k7l6m5",
            "Name": "DenyIAMSCP",
            "Description": "Deny all IAM actions",
            "Type": "SERVICE_CONTROL_POLICY",
            "AwsManaged": false
        },
         "Content": "{\"Version\":\"2012-10-17\",\"Statement\":[{\"Sid\":\"Statement1\",\"Effect\":\"Deny\",\"Action\":[\"iam:*\"],\"Resource\":[\"*\"]}]}"
    }
}

  • AWS SDKs: CreatePolicy
nota

SCPs no surten efecto en la cuenta de administración ni en algunas otras situaciones. Para obtener más información, consulte Las tareas y entidades no están restringidas por SCPs.

Cree una política de control de recursos (RCP)

Permisos mínimos

Para RCPs crearla, necesita permiso para ejecutar la siguiente acción:

  • organizations:CreatePolicy

AWS Management Console
Para crear una política de control de recursos

  1. Inicie sesión en la consola de AWS Organizations. Debe iniciar sesión como usuario de IAM, asumir un rol de IAM; o iniciar sesión como usuario raíz (no se recomienda) en la cuenta de administración de la organización.

  2. En la página de la política de control de recursos, elija Crear política.

  3. En la página Crear una nueva política de control de recursos, introduzca un nombre de política y una descripción de la política opcional.

  4. (Opcional) Agregue una o varias etiquetas seleccionando Añadir etiqueta y a continuación, introduzca una clave y un valor opcional. Dejar el valor en blanco lo establece en una cadena vacía; no es null. Puede adjuntar hasta 50 etiquetas a una política. Para obtener más información, consulte Recursos de etiquetado AWS Organizations.

    nota

    En la mayoría de los pasos que siguen, discutimos el uso de los controles en el lado derecho del editor JSON para construir la política, elemento por elemento. Alternativamente, puede, en cualquier momento, simplemente ingresar texto en el editor JSON en el lado izquierdo de la ventana. Puede escribir directamente, o usar copiar y pegar.

  5. Para añadir una declaración:

    1. En el panel de edición de declaraciones derecho del editor, en Añadir acciones, selecciona un AWS servicio.

      A medida que elige opciones a la derecha, el editor JSON se actualiza para mostrar la política de JSON correspondiente a la izquierda.

    2. Después de seleccionar un servicio, se abre una lista que contiene las acciones disponibles para ese servicio. Puede elegir Todas las acciones o elegir una o varias acciones individuales que desea denegar.

      El JSON de la izquierda se actualiza para incluir las acciones seleccionadas.

      nota

      Si selecciona una acción individual y, a continuación, también vuelve y también selecciona Todas las acciones, la entrada esperada para servicename:* se agrega al JSON, pero las acciones individuales que seleccionó anteriormente se dejan en el JSON y no se eliminan.

    3. Si desea agregar acciones de servicios adicionales, puede elegir Todos los servicios al principio del casillero de la Instrucción y, a continuación, repita los dos pasos anteriores según sea necesario.

    4. Especifique los recursos que hay que incluir en la instrucción.

      • Junto a Agregar un recurso, elija Agregar.

      • En el navegador Add resource (Agregar recurso), elija de la lista el servicio cuyos recursos desea controlar. Puede seleccionar entre solo los servicios que ha seleccionado en el paso anterior.

      • Bajo Tipo de recurso, elija el tipo de recurso que desea controlar.

      • Complete el nombre del recurso de Amazon (ARN) en el ARN del recurso para identificar el recurso específico al que desea controlar el acceso. Debe reemplazar todos los marcadores de posición que estén rodeados de llaves {}. Puede especificar comodines (*) donde la sintaxis ARN de ese tipo de recurso lo permite. Consulte la documentación de un tipo de recurso específico para obtener información sobre dónde puede utilizar caracteres comodín.

      • Guarde su adición a la política eligiendo Add resource (Agregar recurso). El elemento Resource en el JSON refleja sus adiciones o cambios. El elemento de Recurso es obligatorio.

      sugerencia

      Si desea especificar todos los recursos para el servicio seleccionado, elija la opción Todos los recursos en la lista, o edite la opción Resource directamente en el JSON para leer "Resource":"*".

    5. (Opcional) Para especificar las condiciones que determinan cuándo una declaración de política está en vigor, junto a Agregar condición, elija Agregar.

      • Clave de condición: de la lista, puede elegir cualquier clave de condición que esté disponible para todos los AWS servicios (por ejemploaws:SourceIp) o una clave específica del servicio para solo uno de los servicios que haya seleccionado para esta declaración.

      • Calificador: (opcional) Cuando la solicitud tiene más de un valor para una clave de contexto multivalor, puede especificar un calificador para probar las solicitudes con esos valores. Para obtener más información, consulte las claves de contexto de un solo valor frente a las de varios valores en la Guía del usuario de IAM. Para comprobar si una solicitud puede tener varios valores, consulte las claves de acciones, recursos y condición que aparecen Servicios de AWS en la Referencia de autorización de servicios.

        • Valor predeterminado: prueba un valor único de la solicitud con el valor de la clave de condición de la política. La condición es verdadera si el valor de la solicitud coincide con el valor de la política. Si la política especifica más de un valor, entonces se tratan como una prueba “o”, y la condición es verdadera si los valores de solicitud coinciden con cualquiera de los valores de la política.

        • Para cualquier valor en una solicitud — Cuando la solicitud puede tener varios valores, esta opción prueba si al menos uno de los valores de solicitud coincide con al menos uno de los valores clave de condición de la política. La condición devuelve true si alguno de los valores de clave de la solicitud coincide con alguno de los valores de condición de la política. Si no hay una clave coincidente o si hay un conjunto de datos es nulo, la condición devuelve "false".

        • Para todos los valores en una solicitud — Cuando la solicitud puede tener varios valores, esta opción prueba si todos de los valores de solicitud coinciden con un valor de clave de condición de la política. La condición devuelve true si cada valor de clave de la solicitud coincide con al menos un valor de la política. También devuelve true si no hay claves en la solicitud o si los valores de clave se resuelven en un conjunto de datos nulo, como una cadena vacía.

      • Operador — El operador especifica el tipo de comparación que se va a realizar. Las opciones que se presentan dependen del tipo de datos de la clave de condición. Por ejemplo, la clave de condición global aws:CurrentTime le permite elegir entre cualquiera de los operadores de comparación de fechas, o Null, que puede usar para probar si el valor está presente en la solicitud.

        Para cualquier operador de condiciones, excepto la Null prueba, puede elegir la IfExistsopción.

      • Valor — (Opcional) Especifique uno o varios valores para los que desea probar la solicitud.

      Elija Add condition.

      Para obtener más información acerca de las claves de condición, consulte Elementos de la política de JSON de IAM: Condición en la Guía del usuario de IAM.

    6. (Opcional) Para usar el elemento NotAction para denegar el acceso a todas las acciones excepto las especificadas, sustituya Action en el panel izquierdo con NotAction, justo después de "Effect": "Deny",. Para obtener más información, consulte Elementos de la política JSON de IAM: NotAction en la Guía del usuario de IAM.

  6. (Opcional) Para agregar otra instrucción a la política, elija Add statement (Añadir instrucción) y use el editor visual para crear la siguiente declaración.

  7. Cuando haya terminado de añadir declaraciones, seleccione Crear política para guardar el RCP completo.

Tu nuevo RCP aparece en la lista de políticas de la organización. Ahora puede adjuntar su RCP a la raíz o a las OUs cuentas.

AWS CLI & AWS SDKs
Para crear una política de control de recursos

Puede usar uno de los siguientes comandos para crear un RCP:

  • AWS CLI: create-policy

    En el ejemplo siguiente se presupone que dispone de un archivo denominado Deny-IAM.json con el texto de la política JSON. Utiliza ese archivo para crear una nueva política de control de recursos.

    $ aws organizations create-policy \
    --content file://Deny-IAM.json \
    --description "Deny all IAM actions" \
    --name DenyIAMRCP \
    --type RESOURCE_CONTROL_POLICY
{
    "Policy": {
        "PolicySummary": {
            "Id": "p-i9j8k7l6m5",
            "Arn": "arn:aws:organizations::123456789012:policy/o-aa111bb222/resource_control_policy/p-i9j8k7l6m5",
            "Name": "DenyIAMRCP",
            "Description": "Deny all IAM actions",
            "Type": "RESOURCE_CONTROL_POLICY",
            "AwsManaged": false
        },
         "Content": "{\"Version\":\"2012-10-17\",\"Statement\":[{\"Sid\":\"Statement1\",\"Effect\":\"Deny\",\"Action\":[\"iam:*\"],\"Resource\":[\"*\"]}]}"
    }
}

  • AWS SDKs: CreatePolicy
nota

RCPs no surten efecto en la cuenta de administración ni en algunas otras situaciones. Para obtener más información, consulte Los recursos y las entidades no están restringidos por RCPs.

Cree una política declarativa

Permisos mínimos

Para crear una política declarativa, necesita permiso para ejecutar la siguiente acción:

  • organizations:CreatePolicy

AWS Management Console
Para crear una política declarativa

  1. Inicie sesión en la consola de AWS Organizations. Debe iniciar sesión como usuario de IAM, asumir un rol de IAM; o iniciar sesión como usuario raíz (no se recomienda) en la cuenta de administración de la organización.

  2. En la página Políticas declarativas, elija Crear política.

  3. En la EC2página Crear una nueva política declarativa para, introduzca un nombre de política y una descripción de la política opcional.

  4. (Opcional) Puede agregar una o varias etiquetas a la política seleccionando Agregar etiqueta y a continuación, introduzca una clave y un valor opcional. Dejar el valor en blanco lo establece en una cadena vacía; no es null. Puede adjuntar hasta 50 etiquetas a una política. Para obtener más información, consulte Recursos de etiquetado AWS Organizations.

  5. Puede crear la política mediante el Visual editor (Editor visual) como se describe en este procedimiento. También puede ingresar o pegar texto de política en la pestaña JSON. Para obtener información sobre la sintaxis de la política declarativa, consulte. Sintaxis y ejemplos de políticas declarativas

    Si decide utilizar el editor visual, seleccione el atributo de servicio que desee incluir en la política declarativa. Para obtener más información, consulte Soportado Servicios de AWS y atributos.

  6. Elija Añadir atributo de servicio y configure el atributo según sus especificaciones. Para obtener información más detallada sobre cada efecto, consulteSintaxis y ejemplos de políticas declarativas.

  7. Cuando haya terminado de editar la política, elija Crear política en la esquina inferior derecha de la página.

AWS CLI & AWS SDKs
Para crear una política declarativa

Puede usar una de las siguientes opciones para crear una política declarativa:

  • AWS CLI: create-policy

    1. Cree una política declarativa como la siguiente y guárdela en un archivo de texto.

      {
    "ec2_attributes": {
        "image_block_public_access": {
            "state": {
                "@@assign": "block_new_sharing"
            }
        }
    }
}

      Esta política declarativa especifica que todas las cuentas afectadas por la política deben estar configuradas para que las nuevas Amazon Machine Images (AMIs) no se puedan compartir públicamente. Para obtener información sobre la sintaxis de la política declarativa, consulte. Sintaxis y ejemplos de políticas declarativas

    2. Importe el archivo de política JSON para crear una nueva política en la organización. En este ejemplo, el archivo JSON anterior se denominó policy.json.

      $ aws organizations create-policy \
    --type DECLARATIVE_POLICY_EC2 \
    --name "MyTestPolicy" \
    --description "My test policy" \
    --content file://policy.json
{
    "Policy": {
        "Content": "{"ec2_attributes":{"image_block_public_access":{"state":{"@@assign":"block_new_sharing"}}}}".
        "PolicySummary": {
            "Id": "p-i9j8k7l6m5"
            "Arn": "arn:aws:organizations::o-aa111bb222:policy/declarative_policy_ec2/p-i9j8k7l6m5",
            "Description": "My test policy",
            "Name": "MyTestPolicy",
            "Type": "DECLARATIVE_POLICY_EC2"
        }
    }
}

  • AWS SDKs: CreatePolicy
Qué hacer a continuación

Tras crear una política declarativa, evalúe si está lista mediante el informe de estado de la cuenta. A continuación, puede hacer cumplir sus configuraciones de referencia. Para ello, puedes adjuntar la política a la raíz de la organización, a las unidades organizativas (OUs), Cuentas de AWS dentro de la organización o a una combinación de todas ellas.

Creación de una política de copia de seguridad

Permisos mínimos

Para crear una política de copia de seguridad, necesita permiso para ejecutar la siguiente acción:

  • organizations:CreatePolicy

AWS Management Console

Puedes crear una política de copias de AWS Management Console seguridad de dos maneras:

  • Un editor visual que le permite elegir opciones y generar el texto de la política JSON automáticamente.

  • Un editor de texto que le permite crear directamente el texto de la política JSON usted mismo.

El editor visual facilita el proceso, pero limita su flexibilidad. Es una excelente manera de crear sus primeras políticas y sentirse cómodo al usarlas. Cuando comprenda cómo funcionan y haya comenzado a verse limitado por lo que ofrece el editor visual, puede añadir características avanzadas a sus políticas editando el texto de la política JSON usted mismo. El editor visual utiliza solo el operador de configuración de valores @@assign y no proporciona ningún acceso a los operadores de control secundarios. Solo puede agregar los operadores de control infantil si edita manualmente el texto de la política JSON.

Para crear una política de backup

  1. Inicie sesión en la consola de AWS Organizations. Debe iniciar sesión como usuario de IAM, asumir un rol de IAM; o iniciar sesión como usuario raíz (no se recomienda) en la cuenta de administración de la organización.

  2. En la página Backup policies (Políticas de copia de seguridad), seleccione Create policy (Crear política).

  3. En la página Create policy (Crear política), introduzca un Policy name (Nombre de política) y una Description (Descripción) opcional para la política.

  4. (Opcional) Puede agregar una o varias etiquetas a la política seleccionando Agregar etiqueta y a continuación, introduzca una clave y un valor opcional. Dejar el valor en blanco lo establece en una cadena vacía; no es null. Puede adjuntar hasta 50 etiquetas a una política. Para obtener más información acerca del etiquetado, consulte Recursos de etiquetado AWS Organizations.

  5. Puede crear la política mediante el Visual editor (Editor visual) como se describe en este procedimiento. También puede ingresar o pegar texto de política en la pestaña JSON. Para obtener información acerca de la sintaxis de las políticas de copia de seguridad, consulte Ejemplos y sintaxis de políticas de copia de seguridad.

    Si decide utilizar el Visual editor (Editor visual), seleccione las opciones de copia de seguridad adecuadas para su situación. Un plan de copia de seguridad consta de tres partes. Para obtener más información acerca de estos elementos del plan de copia de seguridad, consulte Crear un plan de copia de seguridad y Asignar recursos en la Guía del desarrollador AWS Backup .

    1. Detalles generales del plan de copia de seguridad

      • El nombre del plan de copia de seguridad puede constar únicamente de caracteres alfanuméricos, guiones y guiones bajos.

      • Debe seleccionar al menos una región del plan de copia de seguridad de la lista. El plan puede hacer copias de seguridad de los recursos solo en los lugares seleccionados Regiones de AWS.

    2. Una o más reglas de copia de seguridad que especifican cómo y cuándo debe funcionar AWS Backup . Cada regla de copia de seguridad define los siguientes elementos:

      • Una programación que incluye la frecuencia de la copia de seguridad y la ventana de tiempo en la que se puede realizar la copia de seguridad.

      • El nombre del almacén de copia de seguridad que se va a utilizar. El nombre del almacén de copia de seguridad puede constar únicamente de caracteres alfanuméricos, guiones y guiones bajos. Debe haber un almacén de copia de seguridad para que el plan pueda ejecutarse correctamente. Cree el almacén mediante la AWS Backup consola o AWS CLI los comandos.

      • (Opcional) Una o varias reglas Copy to region (Copiar en región) para copiar también las copias de seguridad en almacenes de otras Regiones de AWS.

      • Uno o más pares de clave y valor de etiqueta para asociar a los puntos de recuperación de copia de seguridad creados cada vez que se ejecuta este plan de copia de seguridad.

      • Opciones de ciclo de vida que especifican cuándo pasa la copia de seguridad al almacenamiento en frío y cuándo caduca la copia de seguridad.

      Seleccionar Agregar regla para agregar cada regla que necesite al plan.

      Para obtener más información sobre las reglas de copia de seguridad, consulte las Reglas de copia de seguridad en la Guía para desarrolladores AWS Backup .

    3. Una asignación de recursos que especifica los recursos de los que AWS Backup debe realizar una copia de seguridad con este plan. La asignación se realiza especificando los pares de etiquetas que se AWS Backup utilizan para buscar y hacer coincidir los recursos

      • El nombre de la asignación de recursos puede constar únicamente de caracteres alfanuméricos, guiones y guiones bajos.

      • Especifique el rol de IAM que AWS Backup utilizará para realizar la copia de seguridad por su nombre.

        En la consola, no especifique todo el Nombre de recurso de Amazon (ARN). Debe incluir tanto el nombre del rol como su prefijo, que especifica el tipo de rol. Los prefijos son típicamente role o service-role, y se separan del nombre del rol por una barra inclinada ('/'). Por ejemplo, puede escribir role/MyRoleName o service-role/MyManagedRoleName. Esto se convierte en un ARN completo para usted cuando se almacena en el JSON subyacente.

        importante

        El rol de IAM especificado ya debe existir en la cuenta a la que se aplica la política. De lo contrario, el plan de copia de seguridad podrá iniciar correctamente trabajos de copia de seguridad, pero dichos trabajos de copia de seguridad fallarán.

      • Especifique una o más Clave de etiqueta de recursos y Valores de etiquetas para identificar los recursos de los que desea realizar una copia de seguridad. Si hay más de un valor de etiqueta, sepárelos con comas.

      Seleccionar Agregar una asignación para agregar cada asignación de recursos configurada al plan de copia de seguridad.

      Para obtener más información, consulte Asignar recursos a un plan de copia de seguridad en la Guía para desarrolladores AWS Backup .

  6. Cuando haya terminado de crear la política, elija Create policy (Crear política). La política aparece en la lista de políticas de copia de seguridad disponibles.

AWS CLI & AWS SDKs
Para crear una política de backup

Puede utilizar uno de los siguientes elementos para crear una política de copia de seguridad:

  • AWS CLI: create-policy

    Cree un plan de copia de seguridad como texto JSON similar al siguiente y guárdela en un archivo de texto. Para obtener reglas completas para la sintaxis, consulte Ejemplos y sintaxis de políticas de copia de seguridad.

    {
    "plans": {
        "PII_Backup_Plan": {
            "regions": { "@@assign": [ "ap-northeast-2", "us-east-1", "eu-north-1" ] },
            "rules": {
                "Hourly": {
                    "schedule_expression": { "@@assign": "cron(0 5/1 ? * * *)" },
                    "start_backup_window_minutes": { "@@assign": "480" },
                    "complete_backup_window_minutes": { "@@assign": "10080" },
                    "lifecycle": {
                        "move_to_cold_storage_after_days": { "@@assign": "180" },
                        "delete_after_days": { "@@assign": "270" }
                    },
                    "target_backup_vault_name": { "@@assign": "FortKnox" },
                    "copy_actions": {
                        "arn:aws:backup:us-east-1:$account:backup-vault:secondary-vault": {
                            "lifecycle": {
                                "move_to_cold_storage_after_days": { "@@assign": "10" },
                                "delete_after_days": { "@@assign": "100" }
                            }
                        }
                    }
                }
            },
            "selections": {
                "tags": {
                    "datatype": {
                        "iam_role_arn": { "@@assign": "arn:aws:iam::$account:role/MyIamRole" },
                        "tag_key": { "@@assign": "dataType" },
                        "tag_value": { "@@assign": [ "PII" ] }
                    }
                }
            }
        }
    }
}

    Este plan de respaldo especifica que AWS Backup debe hacer una copia de seguridad de todos los recursos de los afectados Cuentas de AWS que se encuentran en el especificado Regiones de AWS y que tienen la etiqueta dataType con un valor dePII.

    A continuación, importe el archivo de política JSON del plan de copia de seguridad para crear una nueva política de copia de seguridad en la organización. Anote el ID de política que viene al final del ARN de política en el resultado.

    $ aws organizations create-policy \
    --name "MyBackupPolicy" \
    --type BACKUP_POLICY \
    --description "My backup policy" \
    --content file://policy.json{
    "Policy": {
        "PolicySummary": {
            "Arn": "arn:aws:organizations::o-aa111bb222:policy/backup_policy/p-i9j8k7l6m5",
            "Description": "My backup policy",
            "Name": "MyBackupPolicy",
            "Type": "BACKUP_POLICY"
        }
        "Content": "...a condensed version of the JSON policy document you provided in the file...",
    }
}

  • AWS SDKs: CreatePolicy

Creación de una política de etiquetas

Permisos mínimos

Para crear las políticas de etiquetas, necesita permiso para ejecutar la siguiente acción:

  • organizations:CreatePolicy

Puede crear una política de etiquetas AWS Management Console de dos maneras:

  • Un editor visual que le permite elegir opciones y generar el texto de la política JSON automáticamente.

  • Un editor de texto que le permite crear directamente el texto de la política JSON usted mismo.

El editor visual facilita el proceso, pero limita su flexibilidad. Es una excelente manera de crear sus primeras políticas y sentirse cómodo al usarlas. Cuando comprenda cómo funcionan y haya comenzado a verse limitado por lo que ofrece el editor visual, puede añadir características avanzadas a sus políticas editando el texto de la política JSON usted mismo. El editor visual utiliza solo el operador de configuración de valores @@assign y no proporciona ningún acceso a los operadores de control secundarios. Solo puede agregar los operadores de control infantil si edita manualmente el texto de la política JSON.

AWS Management Console

Puede crear una política de etiquetas AWS Management Console de dos maneras:

  • Un editor visual que le permite elegir opciones y generar el texto de la política JSON automáticamente.

  • Un editor de texto que le permite crear directamente el texto de la política JSON usted mismo.

El editor visual facilita el proceso, pero limita su flexibilidad. Es una excelente manera de crear sus primeras políticas y sentirse cómodo al usarlas. Cuando comprenda cómo funcionan y haya comenzado a verse limitado por lo que ofrece el editor visual, puede añadir características avanzadas a sus políticas editando el texto de la política JSON usted mismo. El editor visual utiliza solo el operador de configuración de valores @@assign y no proporciona ningún acceso a los operadores de control secundarios. Solo puede agregar los operadores de control infantil si edita manualmente el texto de la política JSON.

Para crear una política de etiquetas

  1. Inicie sesión en la consola de AWS Organizations. Debe iniciar sesión como usuario de IAM, asumir un rol de IAM; o iniciar sesión como usuario raíz (no se recomienda) en la cuenta de administración de la organización.

  2. En la página Tag policies (Políticas de etiquetas), seleccione Create policy (Crear política).

  3. En la página Create policy (Crear política), introduzca un Policy name (Nombre de política) y una Description (Descripción) opcional para la política.

  4. (Opcional) Puede agregar una o varias etiquetas al objeto de la política en sí. Estas etiquetas no forman parte de la política. Para ello, elija Agregar etiqueta y, a continuación, ingrese una clave y un valor opcional. Dejar el valor en blanco lo establece en una cadena vacía; no es null. Puede adjuntar hasta 50 etiquetas a una política. Para obtener más información, consulte Recursos de etiquetado AWS Organizations.

  5. Puede crear la política de etiquetas mediante el Visual editor (Editor visual) como se describe en este procedimiento. También puede escribir o pegar una política de etiquetas en la pestaña JSON. Para obtener información acerca de la sintaxis de políticas de etiquetas, consulte Sintaxis de la política de etiquetas.

    Si decide utilizar el editor visual, especifique lo siguiente:

  6. En Nueva clave de etiqueta 1, especifique el nombre de la clave de etiqueta que desea agregar.

  7. En Opciones de cumplimiento, puede seleccionar las siguientes opciones:

    1. Use las mayúsculas que especificó anteriormente para la clave de la etiqueta: deje esta opción desactivada (la opción predeterminada) para especificar que la política de etiquetas principal heredada, si existiera, debe definir el tratamiento de las mayúsculas y minúsculas en la clave de etiqueta.

      Habilite esta opción si desea asignar un uso específico de las mayúsculas en la clave de etiqueta mediante esta política. Si selecciona esta opción, el uso de mayúsculas que haya especificado en Tag Key (Clave de etiqueta) anula el tratamiento de las mayúsculas y minúsculas especificado en una política principal heredada.

      Si no existe ninguna política principal y no se habilita esta opción, solo las claves de etiqueta con todos los caracteres en minúscula se consideran conformes. Para obtener más información acerca de la herencia de políticas principales, consulte Descripción de la herencia de políticas de administración.

      sugerencia

      Tenga en cuenta el uso de la política de etiquetas de ejemplo que se muestra en Ejemplo 1: Definir las mayúsculas y minúsculas de la clave de etiquetas en toda la organización como guía para crear una política de etiquetas que defina las claves de etiqueta y su tratamiento de las mayúsculas y minúsculas. Asóciela a la raíz de la organización. Más adelante, puede crear y adjuntar políticas de etiquetas adicionales a OUs nuestras cuentas para crear reglas de etiquetado adicionales.

    2. Especifique los valores permitidos para la clave de esta etiqueta: habilite esta opción si desea agregar valores permitidos a esta clave de etiqueta a cualquier valor heredado de una política principal.

      De forma predeterminada, esta opción está desactivada, lo que significa que solo se consideran conformes esos valores definidos y heredados de una política principal. Si no existe ninguna política principal y no especifica valores de etiqueta, entonces cualquier valor (incluso la ausencia de valores) se considera conforme.

      Para actualizar la lista de valores de etiqueta aceptables, seleccione Specify allowed values for this tag key (Especificar los valores permitidos en esta clave de etiqueta) y, a continuación, elija Specify values (Especificar valores). Cuando se le soliciten, introduzca los nuevos valores (un valor por casillero) y elija Save changes (Guardar cambios).

  8. En Tipos de recursos que aplicar, puede seleccionar Evitar las operaciones no conformes para esta etiqueta.

    Recomendamos que deje esta opción desactivada (la opción predeterminada) a menos que tenga experiencia con el uso de políticas de etiquetas. Asegúrese de haber revisado las recomendaciones en Descripción de la aplicación de políticas y evaluar minuciosamente. De lo contrario, podría impedir que los usuarios de las cuentas de su organización etiqueten los recursos que necesiten.

    Si desea ejecutar la conformidad con esta clave de etiqueta, seleccione la casilla de verificación y, a continuación, Especificar los tipos de recursos. Cuando se le solicite, seleccione los tipos de recursos que desea incluir en la política. A continuación, elija Guardar cambios.

    importante

    Al seleccionar esta opción, cualquier operación que manipule etiquetas para recursos de los tipos especificados tendrá éxito solo si la operación da como resultado etiquetas que cumplan con la política.

  9. (Opcional) Para agregar otra clave de etiqueta a esta política de etiquetas, elija Add tag key (Agregar clave de etiqueta). A continuación, realice los pasos 6-9 para definir la clave de etiqueta.

  10. Cuando haya terminado de crear la política de etiquetas, elija Save changes (Guardar cambios).

AWS CLI & AWS SDKs
Para crear una política de etiquetas

Puede utilizar una de las siguientes opciones para crear una política de etiquetas:

  • AWS CLI: create-policy

    Puede utilizar cualquier editor de texto para crear una política de etiquetas. Utilice la sintaxis de JSON y guarde la política de etiquetas como un archivo con cualquier nombre y extensión en una ubicación que desee. Las políticas de etiquetas pueden tener un máximo de 2500 caracteres, espacios incluidos. Para obtener información acerca de la sintaxis de políticas de etiquetas, consulte Sintaxis de la política de etiquetas.

    Para crear una política de etiquetas

    1. Cree una política de etiquetas en un archivo de texto que tenga un aspecto similar a la siguiente:

      Contenido de testpolicy.json:

      {
    "tags": {
        "CostCenter": {
            "tag_key": {
                "@@assign": "CostCenter"
            }
        }
    }
}

      Esta política de etiquetas define la clave de la etiqueta CostCenter. La etiqueta puede aceptar cualquier valor o no tener ninguno. Una política como esta significa que un recurso al que se le ha adjuntado la CostCenter etiqueta con o sin un valor es compatible.

    2. Cree una política que contenga el contenido de la política del archivo. Se ha truncado el espacio en blanco adicional en la salida para legibilidad.

      $ aws organizations create-policy \
    --name "MyTestTagPolicy" \
    --description "My Test policy" \
    --content file://testpolicy.json \
    --type TAG_POLICY
{
    "Policy": {
        "PolicySummary": {
            "Id": "p-a1b2c3d4e5",
            "Arn": "arn:aws:organizations::123456789012:policy/o-aa111bb222/tag_policy/p-a1b2c3d4e5",
            "Name": "MyTestTagPolicy",
            "Description": "My Test policy",
            "Type": "TAG_POLICY",
            "AwsManaged": false
        },
        "Content": "{\n\"tags\":{\n\"CostCenter\":{\n\"tag_key\":{\n\"@@assign\":\"CostCenter\"\n}\n}\n}\n}\n\n"
    }
}

  • AWS SDKs: CreatePolicy

Creación de una política de chatbot

Permisos mínimos

Para crear una política de chatbot, necesita permiso para poner en marcha la siguiente acción:

  • organizations:CreatePolicy

AWS Management Console

Puedes crear una política de chatbot AWS Management Console de dos maneras:

  • Un editor visual que le permite elegir opciones y generar el texto de la política JSON automáticamente.

  • Un editor de texto que le permite crear directamente el texto de la política JSON usted mismo.

El editor visual facilita el proceso, pero limita su flexibilidad. Es una excelente manera de crear sus primeras políticas y sentirse cómodo al usarlas. Cuando comprenda cómo funcionan y haya comenzado a verse limitado por lo que ofrece el editor visual, puede añadir características avanzadas a sus políticas editando el texto de la política JSON usted mismo. El editor visual utiliza solo el operador de configuración de valores @@assign y no proporciona ningún acceso a los operadores de control secundarios. Solo puede agregar los operadores de control infantil si edita manualmente el texto de la política JSON.

Para crear una política de chatbot

  1. Inicie sesión en la consola de AWS Organizations. Debe iniciar sesión como usuario de IAM, asumir un rol de IAM; o iniciar sesión como usuario raíz (no se recomienda) en la cuenta de administración de la organización.

  2. En la página Políticas de chatbot, seleccione Crear una política.

  3. En la página Crear una nueva política de chatbot, ingrese un Nombre de política y una Descripción opcional para la política.

  4. (Opcional) Puede agregar una o varias etiquetas a la política seleccionando Agregar etiqueta y a continuación, introduzca una clave y un valor opcional. Dejar el valor en blanco lo establece en una cadena vacía; no es null. Puede adjuntar hasta 50 etiquetas a una política. Para obtener más información, consulte Recursos de etiquetado AWS Organizations.

  5. Puede crear la política mediante el Visual editor (Editor visual) como se describe en este procedimiento. También puede ingresar o pegar texto de política en la pestaña JSON. Para obtener información acerca de la sintaxis de políticas de chatbot, consulte Ejemplos y sintaxis de políticas de chatbots.

    Si elige usar el editor visual, configure su política de chatbot especificando los controles de acceso para los clientes de chat.

    1. Elija una de las siguientes opciones en Configurar el acceso al cliente de chat de Amazon Chime

      • Denegar el acceso a Chime.

      • Permitir el acceso a Chime.

    2. Seleccione una de las siguientes opciones en Configurar el acceso al cliente de chat de Microsoft Teams

      • Denegar el acceso a todos los equipos

      • Permitir el acceso a todos los usuarios

      • Restringir el acceso a equipos concretos

    3. Elija una de las siguientes opciones en Configurar el acceso al cliente de chat de Slack

      • Denegar el acceso a todos los espacios de trabajo de Slack

      • Permitir el acceso a todos los espacios de trabajo de Slack

      • Restringir el acceso a espacios de trabajo de Slack concretos

      nota

      Además, puedes seleccionar Limitar el AWS Chatbot uso solo a los canales privados de Slack.

    4. Seleccione las siguientes opciones en Definir los tipos de permisos de IAM

      • Habilitar el rol de IAM de canal: todos los miembros del canal comparten los permisos del rol de IAM para poner en marcha tareas en un canal. Un rol de canal es adecuado si los miembros del canal requieren los mismos permisos.

      • Habilitar el rol de IAM de usuario: los miembros del canal deben elegir un rol de usuario de IAM para llevar a cabo las acciones (es necesario acceder a la consola para elegir los roles). Los roles de usuario son adecuados si los miembros del canal requieren permisos diferentes y pueden elegir sus roles de usuario.

  6. Cuando haya terminado de crear la política, elija Create policy (Crear política). La política aparece en la lista de políticas de copia de seguridad de chatbot.

AWS CLI & AWS SDKs
Para crear una política de chatbot

Puede utilizar una de las siguientes opciones para crear una política de chatbot:

  • AWS CLI: create-policy

    Puede utilizar cualquier editor de texto para crear una política de chatbot. Utilice la sintaxis de JSON y guarde la política de chatbot como un archivo con cualquier nombre y extensión en una ubicación que desee. Las políticas de chatbot pueden tener un máximo de ? caracteres, espacios incluidos. Para obtener información acerca de la sintaxis de políticas de etiquetas, consulte Ejemplos y sintaxis de políticas de chatbots.

    Para crear una política de chatbot

    1. Cree una política de chatbot en un archivo de texto que tenga un aspecto similar al siguiente:

      Contenido de testpolicy.json:

      {
   "chatbot": {
      "platforms": {
         "slack": {
            "client": {
               "@@assign": "enabled"
            },
            "workspaces": {
               "@@assign": [
                  "Slack-Workspace-Id"
               ]
            },
            "default": {
               "supported_channel_types": {
                  "@@assign": [
                     "private"
                  ]
               }
            }
         },
         "microsoft_teams": {
            "client": {
               "@@assign": "disabled"
            }
         }
      }
   }
}

      Esta política de chatbot solo permite los canales privados de Slack en un espacio de trabajo específico, desactiva Microsoft Teams y admite todos los ajustes de roles.

    2. Cree una política que contenga el contenido de la política del archivo. Se ha truncado el espacio en blanco adicional en la salida para legibilidad.

      $ aws organizations create-policy \
    --name "MyTestChatbotPolicy" \
    --description "My Test policy" \
    --content file://testpolicy.json \
    --type CHATBOT_POLICY
{
    "Policy": {
        "PolicySummary": {
            "Id": "p-a1b2c3d4e5",
            "Arn": "arn:aws:organizations::123456789012:policy/o-aa111bb222/chatbot_policy/p-a1b2c3d4e5",
            "Name": "MyTestChatbotPolicy",
            "Description": "My Test policy",
            "Type": "CHATBOT_POLICY",
            "AwsManaged": false
        },
        "Content": "{"chatbot":{"platforms":{"slack":{"client":{"@@assign":"enabled"},"workspaces":{"@@assign":["Slack-Workspace-Id"]},"supported_channel_types":{"@@assign":["private"]}},"microsoft_teams":{"client":{"@@assign":"disabled"}}}}}"
    }
}

  • AWS SDKs: CreatePolicy

Creación de una política de exclusión de servicios de IA

Permisos mínimos

Para crear una política de exclusión de servicios de IA, necesita permiso para ejecutar la siguiente acción:

  • organizations:CreatePolicy

AWS Management Console
Para crear una política de exclusión de servicios de IA

  1. Inicie sesión en la consola de AWS Organizations. Debe iniciar sesión como usuario de IAM, asumir un rol de IAM; o iniciar sesión como usuario raíz (no se recomienda) en la cuenta de administración de la organización.

  2. En la página Políticas de exclusión de servicios de IA, seleccione Create policy (Crear política).

  3. En la página Crear nueva política de exclusión de servicios de IA, introduzca un Nombre de política y una Descripción opcional para la política.

  4. (Opcional) Puede agregar una o varias etiquetas a la política seleccionando Agregar etiqueta y a continuación, introduzca una clave y un valor opcional. Dejar el valor en blanco lo establece en una cadena vacía; no es null. Puede adjuntar hasta 50 etiquetas a una política. Para obtener más información, consulte Recursos de etiquetado AWS Organizations.

  5. Ingrese o pegue el texto de la política en la pestaña JSON. Para obtener información acerca de la sintaxis de política de exclusión de servicios de IA, consulte Sintaxis y ejemplos de políticas de exclusión de servicios de IA. Para ver las políticas de ejemplo que puede utilizar como punto de partida, consulte Ejemplos de políticas de exclusión de servicios de IA.

  6. Cuando haya terminado de editar la política, elija Crear política en la esquina inferior derecha de la página.

AWS CLI & AWS SDKs
Para crear una política de exclusión de servicios de IA

Puede utilizar una de las siguientes opciones para crear una política de etiquetas:

  • AWS CLI: create-policy

    1. Cree una política de exclusión de servicios de IA como la siguiente y guárdela en un archivo de texto. Tenga en cuenta que "optOut" y "optIn" distinguen entre mayúsculas y minúsculas.

      {
    "services": {
        "default": {
            "opt_out_policy": {
                "@@assign": "optOut"
            }
        },
        "rekognition": {
            "opt_out_policy": {
                "@@assign": "optIn"
            }
        }
    }
}

      Esta política de exclusión de servicios de IA especifica que todas las cuentas afectadas por la política se excluyen de todos los servicios de IA excepto Amazon Rekognition.

    2. Importe el archivo de política JSON para crear una nueva política en la organización. En este ejemplo, el archivo JSON anterior se denominó policy.json.

      $ aws organizations create-policy \
    --type AISERVICES_OPT_OUT_POLICY \
    --name "MyTestPolicy" \
    --description "My test policy" \
    --content file://policy.json
{
    "Policy": {
        "Content": "{\"services\":{\"default\":{\"opt_out_policy\":{\"@@assign\":\"optOut\"}},\"rekognition\":{\"opt_out_policy\":{\"@@assign\":\"optIn\"}}}}",
        "PolicySummary": {
            "Id": "p-i9j8k7l6m5"
            "Arn": "arn:aws:organizations::o-aa111bb222:policy/aiservices_opt_out_policy/p-i9j8k7l6m5",
            "Description": "My test policy",
            "Name": "MyTestPolicy",
            "Type": "AISERVICES_OPT_OUT_POLICY"
        }
    }
}

  • AWS SDKs: CreatePolicy