Creazione, aggiornamento ed eliminazione delle policy di rifiuto dei servizi di IA

In questo argomento:

• Dopo avere abilitato le policy di rifiuto dei servizi di IA per l'organizzazione, puoi creare una policy.

• Quando i requisiti di rifiuto cambiano, puoi aggiornare una policy esistente.

• Quando una policy non è più necessaria, dopo averla scollegata da tutte le unità organizzative (UO) e da tutti gli account la puoi eliminare.

Creazione di una policy di rifiuto dei servizi di IA

Autorizzazioni minime

Per creare una policy di rifiuto dei servizi di IA, è necessaria l'autorizzazione per eseguire l'operazione seguente:

• organizations:CreatePolicy

AWS Management Console

Per creare una policy di rifiuto dei servizi di IA

1. Accedi alla console AWS Organizations. È necessario accedere come utente IAM, assumere un ruolo IAM o accedere come utente root (non consigliato) nell'account di gestione dell'organizzazione.

2. Nella pagina AI services opt-out policies (Policy di rifiuto dei servizi di IA), scegli Create policy (Crea policy).

3. Nella pagina Create new AI services opt-out policy (Crea nuova policy di rifiuto dei servizi di IA, inserisci un Nome policy e facoltativamente una Descrizione per la policy.

4. (Facoltativo) Per aggiungere uno o più tag alla policy, scegli Add tag (Aggiungi tag) e quindi inserisci una chiave e un valore facoltativo. Lasciando vuoto il valore, questo viene impostato su una stringa vuota; non è null. Puoi associare fino a 50 tag a una policy. Per ulteriori informazioni, consulta Tagging delle risorse AWS Organizations.

5. Inserisci o incolla il testo della policy nella scheda JSON. Per informazioni sulla sintassi della policy di rifiuto dei servizi di IA, consulta Sintassi ed esempi di policy di rifiuto dei servizi di IA. Per esempi di policy che puoi utilizzare come punto di partenza, consulta Esempi di policy di rifiuto dei servizi di IA.

6. Al termine delle modifica della policy, seleziona Create policy (Crea policy nell'angolo in basso a destra della pagina.

AWS CLI & AWS SDKs

Per creare una policy di rifiuto dei servizi di IA

Puoi utilizzare una delle seguenti opzioni per creare una policy di tag:

• AWS CLI: create-policy

  1. Crea una policy di rifiuto dei servizi di IA come la seguente e archiviala in un file di testo. Nota: "optOut" e "optIn" fanno distinzione tra lettere maiuscole e minuscole.

     {
         "services": {
             "default": {
                 "opt_out_policy": {
                     "@@assign": "optOut"
                 }
             },
             "rekognition": {
                 "opt_out_policy": {
                     "@@assign": "optIn"
                 }
             }
         }
     }

     Questa policy di rifiuto dei servizi di IA specifica che tutti gli account interessati dalla policy sono esclusi da tutti i servizi di IA, ad eccezione di Amazon Rekognition.

  2. Importa il file di policy JSON per creare una nuova policy nell'organizzazione. In questo esempio, il file JSON precedente è stato denominato policy.json.

     $ aws organizations create-policy \
         --type AISERVICES_OPT_OUT_POLICY \
         --name "MyTestPolicy" \
         --description "My test policy" \
         --content file://policy.json
     {
         "Policy": {
             "Content": "{\"services\":{\"default\":{\"opt_out_policy\":{\"@@assign\":\"optOut\"}},\"rekognition\":{\"opt_out_policy\":{\"@@assign\":\"optIn\"}}}}",
             "PolicySummary": {
                 "Id": "p-i9j8k7l6m5"
                 "Arn": "arn:aws:organizations::o-aa111bb222:policy/aiservices_opt_out_policy/p-i9j8k7l6m5",
                 "Description": "My test policy",
                 "Name": "MyTestPolicy",
                 "Type": "AISERVICES_OPT_OUT_POLICY"
             }
         }
     }

• AWS SDK: CreatePolicy

Cosa fare in seguito

Dopo avere creato una policy di rifiuto dei servizi di IA, puoi applicare le scelte di rifiuto. A tale scopo, puoi collegare la policy alla radice dell'organizzazione, alle unità organizzative (OU), Account AWS all'interno dell'organizzazione o a una combinazione di tutti questi elementi.

Aggiornamento di una policy di rifiuto dei servizi di IA

Autorizzazioni minime

Per aggiornare una policy di rifiuto dei servizi di IA, è necessario disporre dell'autorizzazione per le seguenti operazioni:

• organizations:UpdatePolicy con un elemento Resource nella stessa istruzione di policy che includa l'ARN della policy specificata (oppure "*")

• organizations:DescribePolicy con un elemento Resource nella stessa istruzione di policy che includa l'Amazon Resource Name (ARN) della policy specificata (oppure "*")

AWS Management Console

Per aggiornare una policy di rifiuto dei servizi di IA

1. Accedi alla console AWS Organizations. È necessario accedere come utente IAM, assumere un ruolo IAM o accedere come utente root (non consigliato) nell'account di gestione dell'organizzazione.

2. Nella pagina AI services opt-out policies (Policy di rifiuto dei servizi di IA), scegli il nome della policy che vuoi aggiornare.

3. Nella pagina dei dettagli della policy, seleziona Edit policy (Modifica policy).

4. È possibile inserire un nuovo Policy name (Nome policy), una nuova Policy description (Descrizione della policy) o modificare il testo della policy JSON. Per informazioni sulla sintassi della policy di rifiuto dei servizi di IA, consulta Sintassi ed esempi di policy di rifiuto dei servizi di IA. Per esempi di policy che puoi utilizzare come punto di partenza, consulta Esempi di policy di rifiuto dei servizi di IA.

5. Al termine dell'aggiornamento della policy, scegliere Salva modifiche.

AWS CLI & AWS SDKs

Per aggiornare una policy

Per aggiornare una policy, puoi utilizzare una delle seguenti opzioni:

• AWS CLI: update-policy

  Nell'esempio seguente viene rinominata una policy di rifiuto dei servizi di IA.

  $ aws organizations update-policy \
      --policy-id p-i9j8k7l6m5 \
      --name "Renamed policy"
  {
      "Policy": {
          "PolicySummary": {
              "Id": "p-i9j8k7l6m5",
              "Arn": "arn:aws:organizations::123456789012:policy/o-aa111bb222/aiservices_opt_out_policy/p-i9j8k7l6m5",
              "Name": "Renamed policy",
              "Type": "AISERVICES_OPT_OUT_POLICY",
              "AwsManaged": false
          },
          "Content": "{\"services\":{\"default\":{\"opt_out_policy\":   ....TRUNCATED FOR BREVITY...   :{\"@@assign\":\"optIn\"}}}}"
      }
  }

  Nell'esempio seguente viene aggiunta o modificata la descrizione di una policy di rifiuto dei servizi di IA.

  $ aws organizations update-policy \
      --policy-id p-i9j8k7l6m5 \
      --description "My new description"
  {
      "Policy": {
          "PolicySummary": {
              "Id": "p-i9j8k7l6m5",
              "Arn": "arn:aws:organizations::123456789012:policy/o-aa111bb222/aiservices_opt_out_policy/p-i9j8k7l6m5",
              "Name": "Renamed policy",
              "Description": "My new description",
              "Type": "AISERVICES_OPT_OUT_POLICY",
              "AwsManaged": false
          },
          "Content": "{\"services\":{\"default\":{\"opt_out_policy\":   ....TRUNCATED FOR BREVITY...   :{\"@@assign\":\"optIn\"}}}}"
      }
  }

  Nell'esempio seguente viene modificato il documento della policy JSON collegato a una policy di rifiuto dei servizi di IA. In questo esempio, il contenuto viene preso da un file denominato policy.json con il testo seguente:

  {
      "services": {
          "default": {
              "opt_out_policy": {
                  "@@assign": "optOut"
              }
          },
          "comprehend": {
              "opt_out_policy": {
                  "@@operators_allowed_for_child_policies": ["@@none"],
                  "@@assign": "optOut"
              }
          },
          "rekognition": {
              "opt_out_policy": {
                  "@@assign": "optIn"
              }
          }
      }
  }

  $ aws organizations update-policy \
      --policy-id p-i9j8k7l6m5 \
      --content file://policy.json
  {
      "Policy": {
          "PolicySummary": {
              "Id": "p-i9j8k7l6m5",
              "Arn": "arn:aws:organizations::123456789012:policy/o-aa111bb222/aiservices_opt_out_policy/p-i9j8k7l6m5",
              "Name": "Renamed policy",
              "Description": "My new description",
              "Type": "AISERVICES_OPT_OUT_POLICY",
              "AwsManaged": false
          },
           "Content": "{\n\"services\": {\n\"default\": {\n\"   ....TRUNCATED FOR BREVITY....    ": \"optIn\"\n}\n}\n}\n}\n"}
  }

• AWS SDK: UpdatePolicy

Modifica dei tag collegati a una policy di rifiuto dei servizi di IA

Quando effettui l'accesso all'account di gestione della tua organizzazione, puoi aggiungere o rimuovere i tag associati a una policy di rifiuto dei servizi di IA. Per ulteriori informazioni sull'assegnazione di tag, consulta Tagging delle risorse AWS Organizations.

Autorizzazioni minime

Per modificare i tag associati a una policy di rifiuto dei servizi di IA nella tua organizzazione AWS , è necessario disporre delle seguenti autorizzazioni:

• organizations:DescribeOrganization - Obbligatorio solo quando si utilizza la console Organizations

• organizations:DescribePolicy - Obbligatorio solo quando si utilizza la console Organizations

• organizations:TagResource

• organizations:UntagResource

AWS Management Console

Per modificare i tag collegati a una policy di rifiuto dei servizi di IA

1. Accedi alla console AWS Organizations. È necessario accedere come utente IAM, assumere un ruolo IAM o accedere come utente root (non consigliato) nell'account di gestione dell'organizzazione.

2. Nella pagina AI services opt-out policies (Policy di rifiuto dei servizi di IA), scegli il nome della policy con i tag che vuoi modificare.

3. Nella pagina dei dettagli della policy, scegli la scheda Tags, quindi scegli Manage tags (Gestisci tag).

4. In questa pagina puoi eseguire le seguenti operazioni:

   • Modifica il valore di un tag inserendo un nuovo valore rispetto a quello precedente. Non è possibile modificare la chiave. Per cambiare una chiave, devi eliminare il tag con la vecchia chiave e aggiungere un tag con la nuova chiave.

   • Rimuovi eventuali tag esistenti scegliendo Remove (Rimuovi).

   • Aggiungi una nuova coppia chiave e valore di tag. Scegli Add tag (Aggiungi tag), quindi inserisci il nuovo nome della chiave e il valore facoltativo nelle caselle fornite. Se lasci vuota la casella Value (Valore), il valore è una stringa vuota; non è null.

5. Scegli Save changes (Salva le modifiche) dopo avere apportato tutte le aggiunte, le rimozioni e le modifiche opportune.

AWS CLI & AWS SDKs

Per modificare i tag collegati a una policy di rifiuto dei servizi di IA

Per modificare i tag collegati a una policy di rifiuto dei servizi di IA puoi utilizzare uno dei seguenti comandi:

• AWS CLI: tag-resource e untag-resource

• AWS SDK: e TagResourceUntagResource

Eliminazione di una policy di rifiuto dei servizi di IA

Quando effettui l'accesso all'account di gestione della tua organizzazione, puoi eliminare una policy di cui non hai più bisogno nella tua organizzazione.

Prima di poter eliminare una policy, devi distaccarla da tutte le entità collegate.

Autorizzazioni minime

Per eliminare una policy, è necessaria l'autorizzazione per la seguente operazione:

• organizations:DescribePolicy (solo console - per passare alla policy)

• organizations:DeletePolicy

AWS Management Console

Per eliminare una policy di rifiuto dei servizi di IA

1. Accedi alla console AWS Organizations. È necessario accedere come utente IAM, assumere un ruolo IAM o accedere come utente root (non consigliato) nell'account di gestione dell'organizzazione.

2. Nella pagina AI services opt-out policies (Policy di rifiuto dei servizi di IA), scegli il nome della policy che vuoi eliminare.

3. È necessario che la policy da scollegare venga prima eliminata da tutti i root, le UO e gli account. Seleziona la scheda Targets (Destinazioni), scegli il pulsante di opzione accanto a ciascun root, UO o account visualizzato nell'elenco Targets e scegli Detach (Scollega). Nella finestra di dialogo di conferma, scegli Detach (Scollega). Ripeti finché non hai rimosso tutti i target.

4. Nella parte superiore della pagina, seleziona Delete (Elimina).

5. Nella finestra di dialogo di conferma, inserisci il nome della policy, quindi scegli Delete (Elimina).

AWS CLI & SDK AWS

Per eliminare una politica di disattivazione dei servizi AI

I seguenti esempi di codice mostrano come utilizzareDeletePolicy.

.NET

AWS SDK for .NET

Nota

C'è altro da fare GitHub. Trova l'esempio completo e scopri di più sulla configurazione e l'esecuzione nel Repository di esempi di codice AWS.

    using System;
    using System.Threading.Tasks;
    using Amazon.Organizations;
    using Amazon.Organizations.Model;

    /// <summary>
    /// Deletes an existing AWS Organizations policy.
    /// </summary>
    public class DeletePolicy
    {
        /// <summary>
        /// Initializes the Organizations client object and then uses it to
        /// delete the policy with the specified policyId.
        /// </summary>
        public static async Task Main()
        {
            // Create the client object using the default account.
            IAmazonOrganizations client = new AmazonOrganizationsClient();

            var policyId = "p-00000000";

            var request = new DeletePolicyRequest
            {
                PolicyId = policyId,
            };

            var response = await client.DeletePolicyAsync(request);

            if (response.HttpStatusCode == System.Net.HttpStatusCode.OK)
            {
                Console.WriteLine($"Successfully deleted Policy: {policyId}.");
            }
            else
            {
                Console.WriteLine($"Could not delete Policy: {policyId}.");
            }
        }
    }

• Per i dettagli sull'API, consulta la DeletePolicysezione AWS SDK for .NET API Reference.

CLI

AWS CLI

Per eliminare una politica

L'esempio seguente mostra come eliminare una politica da un'organizzazione. L'esempio presuppone che in precedenza sia stata scollegata la politica da tutte le entità:

aws organizations delete-policy --policy-id p-examplepolicyid111

• Per i dettagli sull'API, consulta AWS CLI Command DeletePolicyReference.

Python

SDK per Python (Boto3)

Nota

C'è altro su GitHub. Trova l'esempio completo e scopri di più sulla configurazione e l'esecuzione nel Repository di esempi di codice AWS.

def delete_policy(policy_id, orgs_client):
    """
    Deletes a policy.

    :param policy_id: The ID of the policy to delete.
    :param orgs_client: The Boto3 Organizations client.
    """
    try:
        orgs_client.delete_policy(PolicyId=policy_id)
        logger.info("Deleted policy %s.", policy_id)
    except ClientError:
        logger.exception("Couldn't delete policy %s.", policy_id)
        raise

• Per i dettagli sull'API, consulta DeletePolicy AWSSDK for Python (Boto3) API Reference.