Sintaxe e exemplos de política de exclusão dos serviços de IA - AWS Organizations

Sintaxe e exemplos de política de exclusão dos serviços de IA

Este tópico descreve a sintaxe da política de exclusão de serviços de Inteligência Artificial (IA) e fornece exemplos.

Sintaxe para políticas de exclusão dos serviços de IA

Uma política de exclusão dos serviços de IA é um arquivo de texto sem formatação estruturado de acordo com as regras de JSON. A sintaxe para políticas de exclusão dos serviços de IA segue a sintaxe para os tipos de política de gerenciamento. Para ver uma discussão completa sobre essa sintaxe, consulte Sintaxe de política e herança para tipos de política de gerenciamento. Este tópico se concentra na aplicação dessa sintaxe geral aos requisitos específicos do tipo de política de exclusão dos serviços de IA.

Importante

O uso de maiúsculas e minúsculas nos valores discutidos nesta seção é importante. Insira os valores com letras maiúsculas e minúsculas, conforme mostrado neste tópico. As políticas não funcionam se você usar maiúsculas e minúsculas não previstas.

A política a seguir mostra a sintaxe básica de política de exclusão dos serviços de IA. Se este exemplo fosse anexado diretamente a uma conta, essa conta seria explicitamente excluída de um serviço e incluída em outro. Outros serviços podem ser incluídos ou excluídos por políticas herdadas de níveis mais altos (UO ou políticas-raiz).

{ "services": { "rekognition": { "opt_out_policy": { "@@assign": "optOut" } }, "lex": { "opt_out_policy": { "@@assign": "optIn" } } } }

Imagine o seguinte exemplo de política anexada à raiz da organização. Ele define como padrão que a organização opte pela exclusão de todos os serviços de IA. Isso inclui automaticamente quaisquer serviços de IA que não sejam explicitamente definidos como exceções de algum outro modo, incluindo quaisquer serviços de IA que a AWS possa vir a implantar no futuro. Você pode anexar políticas subordinadas a UOs ou diretamente a contas para substituir essa configuração para qualquer serviço de IA, exceto o Amazon Comprehend. A segunda entrada no exemplo a seguir usa @@operators_allowed_for_child_policies definido como none para evitar que seja substituído. A terceira entrada no exemplo faz uma exceção em toda a organização para o Amazon Rekognition. Ela opta por esse serviço para toda a organização, mas a política permite que políticas subordinadas prevaleçam quando apropriado.

{ "services": { "default": { "opt_out_policy": { "@@assign": "optOut" } }, "comprehend": { "opt_out_policy": { "@@operators_allowed_for_child_policies": ["@@none"], "@@assign": "optOut" } }, "rekognition": { "opt_out_policy": { "@@assign": "optIn" } } } }

A sintaxe da política de exclusão dos serviços de IA inclui os seguintes elementos:

  • O elemento services. Uma política de exclusão dos serviços de IA é identificada por esse nome fixo como o elemento mais externo que contém JSON.

    Uma política de exclusão dos serviços de IA pode ter uma ou mais instruções sob o elemento services. Cada instrução contém os seguintes elementos:

    • Uma chave de nome de serviço que identifica um serviço de IA da AWS. Estes são nomes de chave válidos para esse campo:

      • default – representa todos os serviços de IA disponíveis no momento e inclui implícita e automaticamente quaisquer serviços de IA que possam ser vir a ser adicionados no futuro.

      • codeguruprofiler

      • codewhisperer

      • comprehend

      • connectamd

      • connectoptimization

      • contactlens

      • frauddetector

      • guardduty

      • lex

      • polly

      • rekognition

      • textract

      • transcribe

      • translate

      Cada instrução de política identificada por uma chave de nome de serviço pode conter os seguintes elementos:

      • A chave de opt_out_policy. Essa chave deve estar presente. Esta é a única chave que você pode colocar sob uma chave de nome de serviço.

        A chave opt_out_policy pode conter apenas o operador @@assign com um dos seguintes valores:

        • optOut – você opta por não ter conteúdo utilizado para o serviço de IA especificado.

        • optIn – você opta por ter o conteúdo utilizado para o serviço de IA especificado.

          Observações
          • Não é possível usar os operadores de herança @@append e @@remove em políticas de exclusão dos serviços de IA.

          • Não é possível usar o operador @@enforced_for em políticas de exclusão dos serviços de IA.

    • Em qualquer nível, você pode especificar o operador @@operators_allowed_for_child_policies para controlar o que as políticas subordinadas podem fazer para substituir as configurações impostas pelas políticas superiores. Você pode especificar um dos seguintes valores:

      • @@assign – as políticas subordinadas desta política podem usar o operador @@assign para substituir o valor herdado por um valor diferente.

      • @@none – as políticas subordinadas desta política não podem alterar o valor.

      O comportamento de @@operators_allowed_for_child_policies depende de onde você o coloca. Você pode usar os seguintes locais:

      • Sob a chave services – controla se uma política subordinada pode adicionar ou alterar a lista de serviços na política em vigor.

      • Sob a chave para um serviço de IA específico ou a chave default - controla se uma política subordinada pode adicionar ou alterar a lista de chaves sob esta entrada específica.

      • Sob a chave opt_out_policies para um serviço específico – controla se uma política subordinada pode alterar apenas a configuração para este serviço específico.

Exemplos de política de exclusão dos serviços de IA

As políticas de exemplo a seguir são apenas para fins informativos.

Exemplo 1: Excluir todos os serviços de IA para todas as contas da organização

O exemplo a seguir mostra uma política que você pode anexar à raiz de sua organização para excluir os serviços de IA para as contas de sua organização.

dica

Se você copiar o exemplo a seguir usando o botão copiar no canto superior direito do exemplo, a cópia não incluirá os números de linha. Ele está pronto para colar.

| { | "services": { [1] | "@@operators_allowed_for_child_policies": ["@@none"], | "default": { [2] | "@@operators_allowed_for_child_policies": ["@@none"], | "opt_out_policy": { [3] | "@@operators_allowed_for_child_policies": ["@@none"], | "@@assign": "optOut" | } | } | } | }
  • [1] – O "@@operators_allowed_for_child_policies": ["@@none"] que está sob services impede que qualquer política subordinada adicione quaisquer novas secções para serviços individuais, exceto a seção default que já está lá. Default é o espaço reservado que representa "todos os serviços de IA".

  • [2] – O "@@operators_allowed_for_child_policies": ["@@none"] que está sob default impede que qualquer política subordinada adicione quaisquer novas secções, exceto a seção opt_out_policy que já está lá.

  • [3] – O "@@operators_allowed_for_child_policies": ["@@none"] que está sob opt_out_policy impede que as políticas subordinadas alterem o valor da configuração de optOut ou adicionem quaisquer configurações adicionais.

Exemplo 2: Definir uma configuração padrão da organização para todos os serviços, mas permitir que políticas subordinadas substituam a configuração para serviços individuais

O exemplo de política a seguir define um padrão, que abrange toda a organização, para todos os serviços de IA. O valor de default impede que uma política subordinada altere o valor de optOut para o serviço default, o espaço reservado para todos os serviços de IA. Se esta política for aplicada como uma política superior anexando-a à raiz ou a uma UO, as políticas subordinadas ainda poderão alterar a definição de opção de exclusão para serviços individuais, como mostrado na segunda política.

  • Como não há "@@operators_allowed_for_child_policies": ["@@none"] sob a chave services, as políticas subordinadas podem adicionar novas secções para serviços individuais.

  • O "@@operators_allowed_for_child_policies": ["@@none"] que está sob default impede que qualquer política subordinada adicione quaisquer novas secções, exceto a seção opt_out_policy que já está lá.

  • O "@@operators_allowed_for_child_policies": ["@@none"] que está sob opt_out_policy impede que as políticas subordinadas alterem o valor da configuração de optOut ou adicionem quaisquer configurações adicionais.

Política superior de exclusão dos serviços de IA da raiz da organização

{ "services": { "default": { "@@operators_allowed_for_child_policies": ["@@none"], "opt_out_policy": { "@@operators_allowed_for_child_policies": ["@@none"], "@@assign": "optOut" } } } }

A política do exemplo a seguir pressupõe que a política do exemplo anterior esteja anexada à raiz da organização ou a uma UO superior, e que você anexe esse exemplo a uma conta afetada pela política superior. Ela substitui a configuração padrão de opção por exclusão e opta explicitamente pela inclusão apenas para o serviço Amazon Lex.

Política subordinada de exclusão dos serviços de IA

{ "services": { "lex": { "opt_out_policy": { "@@assign": "optIn" } } } }

A política em vigor resultante para a Conta da AWS é que a conta opta pela inclusão apenas para o Amazon Lex, e opta pela exclusão para todos os outros serviços de IA da AWS por causa da configuração da opção por exclusão default herdada da política superior.

Exemplo 3: Definir uma política de exclusão dos serviços de IA em toda a organização para um único serviço

O exemplo a seguir mostra uma política de exclusão dos serviços de IA que define uma configuração de optOut para um único serviço de IA. Se esta política for anexada à raiz da organização, impedirá que qualquer política subordinada substitua a configuração de optOut para esse serviço específico. Outros serviços não são tratados por esta política, mas podem ser afetados por políticas subordinadas em outras UOs ou contas.

{ "services": { "rekognition": { "opt_out_policy": { "@@assign": "optOut", "@@operators_allowed_for_child_policies": ["@@none"] } } } }