Operadores de herencia
Los operadores de herencia controlan cómo se fusionan las políticas heredadas y las políticas de la cuenta con la política de etiquetas en vigor de la cuenta. Estos operadores incluyen operadores de configuración de valores y operadores de control secundarios.
Cuando se utiliza el editor visual en la consola de AWS Organizations, solo se puede utilizar el operador de @@assign
. Se considera que los otros operadores son una característica avanzada. Para utilizar el resto operadores, debe crear manualmente la política JSON. Los autores de políticas con experiencia pueden utilizar los operadores de herencia para controlar qué valores de etiqueta se aplican a la política en vigor y limitar los cambios que pueden realizar las políticas secundarias.
Operadores de configuración de valores
Puede utilizar los operadores de configuración de valores para controlar cómo interactúa la política con sus políticas principales:
-
@@assign
– Sobreescribe cualquier configuración de política heredada con la configuración especificada. Si la configuración especificada no se hereda, este operador la agrega a la política en vigor. Este operador se puede aplicar a cualquier configuración de política de cualquier tipo.-
Para la configuración de un solo valor, este operador reemplaza el valor heredado por el valor especificado.
-
Para configuraciones de valores múltiples (matrices JSON), este operador elimina los valores heredados y los reemplaza con los valores especificados por esta política.
-
-
@@append
– Agrega la configuración especificada (sin quitar ninguna) a los heredados. Si la configuración especificada no se hereda, este operador la agrega a la política en vigor. Puede utilizar este operador solo con configuraciones de varios valores.-
Este operador agrega los valores especificados a cualquier valor de la matriz heredada.
-
-
@@remove
– Elimina las configuraciones heredadas especificadas de la política efectiva, si existen. Puede utilizar este operador solo con configuraciones de varios valores.-
Este operador quita solo los valores especificados de la matriz de valores heredados de las políticas principales. Otros valores pueden continuar existiendo en la matriz y pueden ser heredados por las políticas secundarias.
-
Operadores de control secundarios
El uso de operadores de control secundarios es opcional. Puede utilizar el operador @@operators_allowed_for_child_policies
para controlar qué operadores de configuración de valores pueden utilizar las políticas secundarias. Puede permitir todos los operadores, algunos operadores específicos o ningún operador. De forma predeterminada, todos los operadores (@@all
) están permitidos.
-
"@@operators_allowed_for_child_policies"
:["@@all"]
— Las unidades organizativas secundarias y las cuentas pueden utilizar cualquier operador en las políticas. De forma predeterminada, todos los operadores están permitidos en las políticas secundarias. -
"@@operators_allowed_for_child_policies"
:["@@assign", "@@append", "@@remove"]
- Las unidades organizativas secundarias y las cuentas solo pueden utilizar los operadores especificados en las políticas secundarias. Puede especificar uno o más operadores de configuración de valores en este operador de control secundario. -
"@@operators_allowed_for_child_policies"
:["@@none"]
— Las unidades organizativas secundarias y las cuentas no pueden utilizar operadores en las políticas. Puede usar este operador para bloquear eficazmente los valores definidos en una política principal de modo que las políticas secundarias no puedan agregar, anexar o quitar esos valores.
nota
Si un operador de control secundario heredado limita el uso de un operador, no puede revertir esa regla en una política secundaria. Si incluye operadores de control secundarios en una política principal, limitan los operadores de configuración de valores en todas las políticas secundarias.