Operatori di ereditarietà

Gli operatori di ereditarietà controllano il modo in cui le policy ereditate e le policy dell'account si uniscono nella policy operativa dell'account. Tali operatori comprendono gli operatori di impostazione del valore e gli operatori del controllo degli elementi figlio.

Quando si utilizza l'editor visivo nella console AWS Organizations, è possibile usare solo l'operatore @@assign. Altri operatori costituiscono una funzionalità avanzata. Per utilizzare gli altri operatori, è necessario creare manualmente la policy JSON. Gli autori esperti di policy possono utilizzare gli operatori di ereditarietà per controllare quali valori vengono applicati alla policy operativa e limitare le modifiche che le policy figlio possono apportare.

Operatori di impostazione del valore

È possibile utilizzare gli operatori di impostazione del valore per controllare il modo in cui la policy interagisce con le policy padre:

• @@assign - Sovrascrive le impostazioni delle policy ereditate con le impostazioni specificate. Se l'impostazione specificata non è ereditata, questo operatore la aggiunge alla policy operativa. Questo operatore può essere applicato a un'impostazione di policy di qualsiasi tipo.

  • Per le impostazioni a valore singolo, questo operatore sostituisce il valore ereditato con il valore specificato.

  • Per le impostazioni con più valori (array JSON), questo operatore rimuove eventuali valori ereditati e li sostituisce con i valori specificati da questa policy.

• @@append - Aggiunge le impostazioni specificate (senza rimuoverne nessuna) a quelle ereditate. Se l'impostazione specificata non è ereditata, questo operatore la aggiunge alla policy operativa. Puoi utilizzare questo operatore solo con impostazioni con più valori.

  • Questo operatore aggiunge i valori specificati a qualsiasi valore nell'array ereditato.

• @@remove - Rimuove le impostazioni ereditate specificate dalla policy effettiva, se esistono. Puoi utilizzare questo operatore solo con impostazioni con più valori.

  • Questo operatore rimuove solo i valori specificati dall'array di valori ereditati dalle policy padre. Altri valori possono continuare a esistere nell'array e possono essere ereditati dalle policy figlio.

Operatori di controllo figlio

L'utilizzo degli operatori di controllo figlio è facoltativo. È possibile utilizzare l'operatore @@operators_allowed_for_child_policies per controllare quali operatori di impostazione del valore possono utilizzare le policy di tag figlio. Puoi consentire tutti gli operatori, alcuni operatori specifici o nessun operatore. Per impostazione predefinita, tutti gli operatori (@@all) sono consentiti.

• "@@operators_allowed_for_child_policies":["@@all"] - Le unità organizzative e gli account figli possono usare qualsiasi operatore nelle policy. Per impostazione predefinita, tutti gli operatori sono consentiti nelle policy figlio.

• "@@operators_allowed_for_child_policies":["@@assign", "@@append", "@@remove"] - Le unità organizzative e gli account figli possono usare solo gli operatori specificati nelle policy figlio. Puoi specificare uno o più operatori di impostazione del valore in questo operatore di controllo figlio.

• "@@operators_allowed_for_child_policies":["@@none"] - Le unità organizzative e gli account figli non possono usare operatori nelle policy. Puoi utilizzare questo operatore per bloccare efficacemente i valori definiti in una policy padre in modo che le policy figlio non possano aggiungere, integrare o rimuovere tali valori.

Nota

Se un operatore di controllo figlio ereditato limita l'utilizzo di un operatore, non è possibile invertire tale regola in una policy figlio. Se includi operatori di controllo figlio in una policy padre, essi limitano gli operatori di impostazione del valore in tutti le policy figlio.