Operator pewarisan - AWS Organizations
Operator pengaturan nilaiOperator kontrol anak

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Operator pewarisan

Operator pewarisan mengontrol bagaimana warisan kebijakan dan kebijakan akun bergabung menjadi sebuah kebijakan efektif dari akun tersebut. Operator ini mencakup operator pengaturan nilai dan operator kontrol anak.

Bila Anda menggunakan editor visual dalam konsol AWS Organizations, Anda dapat menggunakan operator @@assign saja. Operator-operator lain dianggap sebagai fitur lanjutan. Untuk menggunakan operator yang lain, Anda harus secara manual menulis kebijakan JSON. Penulis kebijakan yang berpengalaman dapat menggunakan operator pewarisan untuk mengontrol nilai-nilai apa yang diterapkan pada kebijakan efektif dan membatasi perubahan apa yang dapat dibuat kebijakan anak.

Operator pengaturan nilai

Anda dapat menggunakan operator pengaturan nilai berikut untuk mengontrol bagaimana kebijakan Anda berinteraksi dengan kebijakan induknya:

  • @@assignMenimpa pengaturan kebijakan yang diwariskan dengan pengaturan yang ditentukan. Jika pengaturan yang ditentukan tidak diwariskan, operator ini menambahkannya ke kebijakan efektif. Operator ini dapat berlaku untuk pengaturan kebijakan apa pun dari jenis apa pun.

    • Untuk pengaturan bernilai tunggal, operator ini menggantikan nilai yang diwariskan dengan nilai yang ditentukan.

    • Untuk pengaturan multi-nilai (array JSON), operator ini menghapus nilai-nilai yang diwariskan dan menggantikannya dengan nilai-nilai yang ditentukan oleh kebijakan ini.

  • @@appendMenambahkan pengaturan yang ditentukan (tanpa menghapus apapun) ke pengaturan yang diwariskan. Jika pengaturan yang ditentukan tidak diwariskan, operator ini menambahkannya ke kebijakan efektif. Anda dapat menggunakan operator ini hanya dengan pengaturan multi-nilai.

    • Operator ini menambahkan nilai yang ditentukan untuk setiap nilai dalam array yang diwariskan.

  • @@removeMenghapus pengaturan warisan yang ditentukan dari kebijakan efektif, jika ada. Anda dapat menggunakan operator ini hanya dengan pengaturan multi-nilai.

    • Operator ini hanya menghapus nilai-nilai yang ditentukan dari array nilai yang diwarisi dari kebijakan induk. Nilai-nilai lain dapat tetap ada dalam array dan dapat diwariskan oleh kebijakan anak.

Operator kontrol anak

Menggunakan operator kontrol anak adalah opsional. Anda dapat menggunakan operator @@operators_allowed_for_child_policies untuk mengontrol pengaturan nilai kebijakan anak yang dapat digunakan. Anda dapat mengizinkan semua operator, beberapa operator tertentu, atau tidak ada operator yang diizinkan. Secara default, semua operator (@@all) diizinkan.

  • "@@operators_allowed_for_child_policies":["@@all"] — OU anak dan akun dapat menggunakan operator apa pun dalam kebijakan. Secara default, semua operator diizinkan dalam kebijakan anak.

  • "@@operators_allowed_for_child_policies":["@@assign", "@@append", "@@remove"] — OU anak dan akun hanya dapat menggunakan operator tertentu dalam kebijakan anak. Anda dapat menentukan satu atau beberapa operator pengaturan nilai pada operator kontrol anak ini.

  • "@@operators_allowed_for_child_policies":["@@none"] — OU anak dan akun tidak dapat menggunakan operator dalam kebijakan. Anda dapat menggunakan operator ini untuk secara efektif mengunci nilai-nilai yang didefinisikan dalam kebijakan induk sehingga kebijakan anak tidak dapat menambahkan, menambah, atau menghapus nilai-nilai tersebut.

catatan

Jika operator kontrol anak yang diwariskan membatasi penggunaan operator, Anda tidak dapat membalikkan aturan tersebut dalam kebijakan anak. Jika Anda menyertakan operator kontrol anak dalam kebijakan induk, maka mereka membatasi operator pengaturan nilai di semua kebijakan anak.