Afficher les politiques de gestion efficaces - AWS Organizations

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Afficher les politiques de gestion efficaces

Déterminez la politique de gestion efficace pour un compte au sein de votre organisation.

Qu'est-ce qu'une politique de gestion efficace ?

La politique effective spécifie les règles finales qui s'appliquent à et Compte AWS pour un type de stratégie de gestion. Il s'agit de l'agrégation d'une politique de gestion dont le compte hérite, ainsi que de toutes les politiques relatives à ce type de stratégie de gestion directement associées au compte. Lorsque vous associez une politique de gestion à la racine de l'organisation, elle s'applique à tous les comptes de votre organisation. Lorsque vous associez une politique de gestion à une unité organisationnelle (UO), elle s'applique à tous OUs les comptes appartenant à l'UO. Lorsque vous associez une politique de gestion directement à un compte, elle ne s'applique qu'à celui-ci Compte AWS.

Pour de plus amples informations sur la façon dont les politiques de désactivation des services IA se combinent pour former politique effective finale, consultez Fonctionnement de l'héritage des politiques de gestion.

Exemple de politique de sauvegarde

La politique de sauvegarde attachée à la racine de l'organisation peut spécifier que tous les comptes de l'organisation sauvegardent toutes les tables Amazon DynamoDB avec une fréquence de sauvegarde par défaut d'une fois par semaine. Une politique de sauvegarde séparée directement attachée à un compte membre contenant des informations critiques dans une table peut remplacer la fréquence par une valeur d'une fois par jour. La combinaison de ces politiques de sauvegarde constitue la politique de sauvegarde effective. Cette politique de sauvegarde effective est déterminée individuellement pour chaque compte de l'organisation. Le résultat de cet exemple est que tous les comptes de l'organisation sauvegardent leurs tables DynamoDB une fois par semaine, à l'exception d'un compte qui les sauvegarde chaque jour.

Exemple de politique en matière de balises

La politique de balises attachée à la racine de l'organisation peut définir une CostCenter balise avec quatre valeurs conformes. Une autre politique de balises attachée au compte peut limiter la clé CostCenter à seulement deux des quatre valeurs conformes. La combinaison de ces politiques de balises constitue la politique de balises effective. Au final, seules deux des quatre valeurs de balise conformes définies dans la politique de balises attachée à la racine de l'organisation sont conformes pour le compte.

Exemple de politique de Chatbot

AWS Chatbot réévaluera toutes les AWS Chatbot configurations créées précédemment par rapport aux politiques de chatbot en vigueur et refusera toute action précédemment autorisée si elle est conforme aux paramètres autorisés et aux garde-fous de la politique en vigueur. La politique en vigueur pour un compte membre définit les paramètres et les garde-fous autorisés. Par exemple, si une politique de chatbot interdisant l'accès aux chaînes publiques Slack est appliquée à un compte membre, les AWS Chatbot configurations existantes pour les chaînes publiques Slack dans le compte membre seront désactivées. Le Chatbot n'enverra pas de notifications et les membres de la chaîne ne pourront exécuter aucune tâche sur le canal bloqué. La AWS Chatbot console marquera les chaînes concernées comme étant désactivées avec un message d'erreur approprié à côté.

Exemple de désabonnement aux services d'IA

La politique de désactivation des services d'intelligence artificielle attachée à la racine de l'organisation peut spécifier que tous les comptes de l'organisation refusent l'utilisation du contenu par tous les services d'apprentissage AWS automatique. Une politique distincte de désactivation des services IA attachée directement à un compte membre spécifie qu'il accepte l'utilisation du contenu uniquement pour Amazon Rekognition. La combinaison de ces politiques de désactivation des services IA constitue la politique effective de désactivation des services IA. Il en résulte que tous les comptes de l'organisation sont désactivés Services AWS, à l'exception d'un compte qui souscrit à Amazon Rekognition.

Comment consulter la politique de gestion efficace

Vous pouvez consulter la politique effective d'un type de politique de gestion pour un compte à partir du AWS Management Console AWS API, ou AWS Command Line Interface.

Autorisations minimales

Pour consulter la politique effective d'un type de stratégie de gestion pour un compte, vous devez être autorisé à exécuter les actions suivantes :

  • organizations:DescribeEffectivePolicy

  • organizations:DescribeOrganization — requis uniquement si vous utilisez la console Organizations

AWS Management Console
Pour consulter la politique effective d'un type de politique de gestion pour un compte
  1. Connectez-vous à la console AWS Organizations. Vous devez vous connecter en tant qu'IAMutilisateur, assumer un IAM rôle ou vous connecter en tant qu'utilisateur root (ce n'est pas recommandé) dans le compte de gestion de l'organisation.

  2. Sur la Comptes AWSpage, choisissez le nom du compte pour lequel vous souhaitez consulter la politique effective. Vous devrez peut-être développer OUs (choisir le Gray cloud icon representing cloud computing or storage services. ) pour trouver le compte que vous souhaitez.

  3. Dans l'onglet Stratégies, choisissez le type de stratégie de gestion pour lequel vous souhaitez afficher la politique effective.

  4. Choisissez Afficher la politique effective pour cela Compte AWS.

    La console affiche la politique effective appliquée au compte spécifié.

    Note

    Vous ne pouvez pas copier-coller une politique efficace et l'JSONutiliser comme une autre politique sans modifications importantes. Les documents de politique doivent inclure les opérateurs d'héritage qui spécifient comment chaque paramètre est fusionné dans la politique effective finale.

AWS CLI & AWS SDKs
Pour consulter la politique effective d'un type de politique de gestion pour un compte

Vous pouvez utiliser l'une des méthodes suivantes pour afficher la politique effective :

  • AWS CLI: describe-effective-policy

    L'exemple suivant illustre la politique effective de désactivation des services IA pour un compte.

    $ aws organizations describe-effective-policy \ --policy-type AISERVICES_OPT_OUT_POLICY \ --target-id 123456789012 { "EffectivePolicy": { "PolicyContent": "{\"services\":{\"comprehend\":{\"opt_out_policy\":\"optOut\"}, ....TRUNCATED FOR BREVITY.... "opt_out_policy\":\"optIn\"}}}", "LastUpdatedTimestamp": "2020-12-09T12:58:53.548000-08:00", "TargetId": "123456789012", "PolicyType": "AISERVICES_OPT_OUT_POLICY" } }
  • AWS SDKs: DescribeEffectivePolicy