Criação de políticas organizacionais com AWS Organizations - AWS Organizations
Crie uma política de backupCrie uma política de tagsCrie uma política de exclusão de serviços de IACrie uma política de controle de serviço (SCP)

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Criação de políticas organizacionais com AWS Organizations

Depois de habilitar as políticas para sua organização, você pode criar uma política.

Este tópico descreve como criar políticas com AWS Organizations. Uma política define os controles que você deseja aplicar a um grupo de Contas da AWS. AWS Organizations suporta políticas de gerenciamento e políticas de autorização.

Crie uma política de backup

Permissões mínimas

Para criar uma política de backup, você precisa de permissão para executar a seguinte ação:

  • organizations:CreatePolicy

AWS Management Console

Você pode criar uma política de backup no AWS Management Console em uma das duas formas:

  • Um editor visual que permite escolher opções e gerar o texto da JSON política para você.

  • Um editor de texto que permite que você mesmo crie diretamente o texto da JSON política.

O editor visual facilita o processo, mas limita sua flexibilidade. É uma ótima maneira de criar suas primeiras políticas e se sentir confortável ao usá-las. Depois de entender como elas funcionam e começarem a ser limitadas pelo que o editor visual fornece, você pode adicionar recursos avançados às suas políticas editando você mesmo o texto da JSON política. O editor visual usa apenas o operador de definição de valor @@assign e não fornece qualquer acesso aos operadores de controle subordinados. Você pode adicionar os operadores de controle secundário somente se editar manualmente o texto da JSON política.

Para criar uma política de backup

  1. Faça login no AWS Organizations console. Você deve entrar como IAM usuário, assumir uma IAM função ou entrar como usuário raiz (não recomendado) na conta de gerenciamento da organização.

  2. Na página Backup policies (Políticas de backup), escolha Create policy (Criar política).

  3. Na página Create policy (Criar política), insira um nome de política e uma descrição, opcional, para a política.

  4. (Opcional) você pode adicionar uma ou mais tags escolhendo Add tag (Adicionar tag) e inserindo uma chave e um valor opcional. Se deixar o valor em branco, ele é definido como uma sequência vazia, não null. É possível anexar até 50 tags a uma política. Para obter mais informações sobre marcação, consulte Tags AWS Organizations recursos.

  5. Você pode criar a política usando o Editor Visual, conforme descrito neste procedimento. Você também pode inserir ou colar o texto da política na JSONguia. Para obter informações sobre a sintaxe de política de backup, consulte Sintaxe e exemplos de políticas de backup.

    Se você optar por usar o Editor Visual, selecione as opções de backup apropriadas para seu cenário. Um plano de backup consiste em três partes. Para obter mais informações sobre esses elementos do plano de backup, consulte Criação de um plano de backup e Atribuição de recursos no AWS Backup Guia do desenvolvedor.

    1. Detalhes gerais do plano de backup

      • O Nome do plano de backup pode consistir apenas em caracteres alfanuméricos, hífen e sublinhados.

      • Você deve selecionar pelo menos uma Região do plano de backup na lista. O plano pode fazer backup de recursos somente nos selecionados Regiões da AWS.

    2. Uma ou mais regras de backup que especificam como e quando AWS Backup é operar. Cada regra de backup define os seguintes itens:

      • Uma programação que inclui a frequência do backup e a janela de tempo em que o backup pode ocorrer.

      • O nome do cofre de backup a ser usado. O nome do cofre de backup pode consistir apenas em caracteres alfanuméricos, hífen e sublinhados. O cofre de backup deve existir antes que o plano possa ser executado com êxito. Crie o cofre usando o AWS Backup console ou AWS CLI comandos.

      • (Opcional) Uma ou mais regras de cópia para região para também copiar o backup em cofres em outros Regiões da AWS.

      • Um ou mais pares de chave de tag e valor a serem anexados aos pontos de recuperação de backup criados sempre que esse plano de backup for executado.

      • Opções de ciclo de vida que especificam quando o backup faz a transição para o armazenamento frio e quando o backup expira.

      Escolha Add rule (Adicionar regra) para adicionar cada regra necessária ao plano.

      Para obter mais informações sobre regras de backup, consulte Regras de Backup no AWS Backup Guia do desenvolvedor.

    3. Uma atribuição de recursos que especifica quais recursos que AWS Backup deve continuar com esse plano. A atribuição é feita especificando pares de tags que AWS Backup usa para encontrar e combinar recursos

      • O nome da atribuição do recurso pode consistir apenas em caracteres alfanuméricos, hífen e sublinhados.

      • Especifique a IAMfunção para AWS Backup a ser usado para realizar o backup pelo nome.

        No console, você não especifica todo o Amazon Resource Name (ARN). Você deve incluir o nome da função e o prefixo que especifica o tipo de função. Os prefixos são tipicamente role ou service-role, e eles são separados do nome da função por uma barra ('/'). Por exemplo, você pode inserir role/MyRoleName ou service-role/MyManagedRoleName. Isso é convertido em completo ARN para você quando armazenado no subjacenteJSON.

        Importante

        A IAM função especificada já deve existir na conta à qual a política é aplicada. Caso contrário, o plano de backup pode iniciar com êxito trabalhos de backup, mas esses trabalhos de backup falharão.

      • Especifique uma ou mais chaves de tag de recurso e valores de tag para identificar os recursos dos quais você deseja que seja feito backup. Se houver mais de um valor de tag, separe-os com vírgulas.

      Selecione Add assignment (Adicionar atribuição) para adicionar cada atribuição de recurso configurada ao plano de backup.

      Para obter mais informações, consulte Atribuir recursos a um plano de Backup no AWS Backup Guia do desenvolvedor.

  6. Quando terminar de criar sua política, escolha Create policy (Criar política). A política aparecerá na lista de políticas de backup disponíveis.

AWS CLI & AWS SDKs
Para criar uma política de backup

Você pode usar um dos seguintes procedimentos para criar uma política de backup:

  • AWS CLI: política de criação

    Crie um plano de backup como JSON texto semelhante ao seguinte e armazene-o em um arquivo de texto. Para obter regras completas para a sintaxe, consulte Sintaxe e exemplos de políticas de backup.

    {
    "plans": {
        "PII_Backup_Plan": {
            "regions": { "@@assign": [ "ap-northeast-2", "us-east-1", "eu-north-1" ] },
            "rules": {
                "Hourly": {
                    "schedule_expression": { "@@assign": "cron(0 5/1 ? * * *)" },
                    "start_backup_window_minutes": { "@@assign": "480" },
                    "complete_backup_window_minutes": { "@@assign": "10080" },
                    "lifecycle": {
                        "move_to_cold_storage_after_days": { "@@assign": "180" },
                        "delete_after_days": { "@@assign": "270" }
                    },
                    "target_backup_vault_name": { "@@assign": "FortKnox" },
                    "copy_actions": {
                        "arn:aws:backup:us-east-1:$account:backup-vault:secondary-vault": {
                            "lifecycle": {
                                "move_to_cold_storage_after_days": { "@@assign": "10" },
                                "delete_after_days": { "@@assign": "100" }
                            }
                        }
                    }
                }
            },
            "selections": {
                "tags": {
                    "datatype": {
                        "iam_role_arn": { "@@assign": "arn:aws:iam::$account:role/MyIamRole" },
                        "tag_key": { "@@assign": "dataType" },
                        "tag_value": { "@@assign": [ "PII" ] }
                    }
                }
            }
        }
    }
}

    Esse plano de backup especifica que AWS O backup deve fazer backup de todos os recursos da área afetada Contas da AWS que estão no especificado Regiões da AWS e que têm a tag dataType com um valor dePII.

    Em seguida, importe o plano de backup do arquivo de JSON política para criar uma nova política de backup na organização. Observe o ID da política no final da política ARN na saída.

    $ aws organizations create-policy \
    --name "MyBackupPolicy" \
    --type BACKUP_POLICY \
    --description "My backup policy" \
    --content file://policy.json{
    "Policy": {
        "PolicySummary": {
            "Arn": "arn:aws:organizations::o-aa111bb222:policy/backup_policy/p-i9j8k7l6m5",
            "Description": "My backup policy",
            "Name": "MyBackupPolicy",
            "Type": "BACKUP_POLICY"
        }
        "Content": "...a condensed version of the JSON policy document you provided in the file...",
    }
}

  • AWS SDKs: CreatePolicy
O que fazer em seguida

Depois de criar uma política de backup, você pode colocar sua política em vigor. Para fazer isso, você pode anexar a política à raiz da organização, unidades organizacionais (OUs), Contas da AWS dentro da sua organização, ou uma combinação de todas elas.

Crie uma política de tags

Permissões mínimas

Para criar políticas de tag, você precisa de permissão para executar a seguinte ação:

  • organizations:CreatePolicy

Você pode criar uma política de tags no AWS Management Console em uma das duas formas:

  • Um editor visual que permite escolher opções e gerar o texto da JSON política para você.

  • Um editor de texto que permite que você mesmo crie diretamente o texto da JSON política.

O editor visual facilita o processo, mas limita sua flexibilidade. É uma ótima maneira de criar suas primeiras políticas e se sentir confortável ao usá-las. Depois de entender como elas funcionam e começarem a ser limitadas pelo que o editor visual fornece, você pode adicionar recursos avançados às suas políticas editando você mesmo o texto da JSON política. O editor visual usa apenas o operador de definição de valor @@assign e não fornece qualquer acesso aos operadores de controle subordinados. Você pode adicionar os operadores de controle secundário somente se editar manualmente o texto da JSON política.

AWS Management Console

Você pode criar uma política de tags no AWS Management Console em uma das duas formas:

  • Um editor visual que permite escolher opções e gerar o texto da JSON política para você.

  • Um editor de texto que permite que você mesmo crie diretamente o texto da JSON política.

O editor visual facilita o processo, mas limita sua flexibilidade. É uma ótima maneira de criar suas primeiras políticas e se sentir confortável ao usá-las. Depois de entender como elas funcionam e começarem a ser limitadas pelo que o editor visual fornece, você pode adicionar recursos avançados às suas políticas editando você mesmo o texto da JSON política. O editor visual usa apenas o operador de definição de valor @@assign e não fornece qualquer acesso aos operadores de controle subordinados. Você pode adicionar os operadores de controle secundário somente se editar manualmente o texto da JSON política.

Como criar uma política de tag

  1. Faça login no AWS Organizations console. Você deve entrar como IAM usuário, assumir uma IAM função ou entrar como usuário raiz (não recomendado) na conta de gerenciamento da organização.

  2. Na página Tag policies (Políticas de tag) escolha Create policy (Criar política).

  3. Na página Create policy (Criar política), insira um nome de política e uma descrição, opcional, para a política.

  4. (Opcional) Você pode adicionar uma ou mais tags ao próprio objeto política. Essas tags não fazem parte da política. Para fazer isso, escolha Add tag (Adicionar tag) e, em seguida, insira uma chave e um valor opcional. Se deixar o valor em branco, ele é definido como uma sequência vazia, não null. É possível anexar até 50 tags a uma política. Para obter mais informações, consulte Tags AWS Organizations recursos.

  5. Você pode criar a política de tags usando o Visual editor (Editor Visual) conforme descrito neste procedimento. Você também pode digitar ou colar uma política de tags na JSONguia. Para obter informações sobre sintaxe de política de tag, consulte Sintaxe de política de tag.

    Se você optar por usar o editor visual, especifique o seguinte:

  6. Em New tag Key 1 (Nova chave de tag 1), especifique o nome de uma chave de tag a ser adicionada.

  7. Para Opções de conformidade, você pode selecionar as seguintes opções:

    1. Use a capitalização que você especificou acima para a chave de tag — deixe essa opção desmarcada (o padrão) para especificar que a política de tag principal herdada, se houver, deve definir o tratamento de caso para a chave de tag.

      Habilite esta opção se quiser impor uma definição de maiúsculas e minúsculas para a chave de tag usando esta política. Se você selecionar essa opção, a diferenciação de maiúsculas e minúsculas especificada em Tag Key (Chave de tag) substituirá o tratamento de maiúsculas e minúsculas especificado em uma política superior.

      Se uma política superior não existir e você não habilitar essa opção, somente chaves de tag com todos os caracteres minúsculos serão consideradas compatíveis. Para obter mais informações sobre herança de políticas superiores, consulte Entendendo a herança da política de gerenciamento.

      dica

      Considere usar como guia a política de tags de exemplo mostrada em Exemplo 1: definir maiúsculas e minúsculas de chave de tag em toda a organização, na criação de uma política de tag que defina chaves de tag e o tratamento de maiúsculas e minúsculas. Anexe-a à raiz da organização. Posteriormente, você pode criar e anexar políticas de tags OUs ou contas adicionais para criar regras de marcação adicionais.

    2. Especificar valores permitidos para essa chave de tag — ative essa opção se quiser adicionar valores permitidos para essa chave de tag a quaisquer valores herdados de uma política principal.

      Por padrão, essa opção está desmarcada, o que significa que somente os valores herdados de uma política superior são considerados compatíveis. Se uma política pai não existir e você não especificar valores de tag, qualquer valor (incluindo nenhum valor) será considerado compatível.

      Para atualizar a lista de valores de tag aceitáveis, selecione Specify allowed values for this tag key (Especificar valores permitidos para esta chave de tag) e depois Specify values (Especificar valores). Quando solicitado, insira os novos valores e escolha Save changes (Salvar alterações).

  8. Em Tipos de recursos a serem aplicados, você pode selecionar Evitar operações não compatíveis para essa tag.

    Recomendamos que você deixe essa opção desmarcada (o padrão), a menos que tenha experiência com o uso de políticas de tags. Verifique se você revisou as recomendações em Noções básicas sobre a aplicação e teste cuidadosamente. Caso contrário, você pode impedir que os usuários nas contas da organização atribuam tags aos recursos necessários.

    Se você quiser impor compatibilidade com essa chave de tag, marque a caixa de seleção e selecione, Specify allowed values (Especificar valores permitidos). Quando solicitado, selecione os tipos de recursos a serem incluídos na política. Em seguida, escolha Salvar alterações.

    Importante

    Quando você seleciona essa opção, todas as operações que manipulam tags para recursos dos tipos especificados só serão bem-sucedidas se a operação resultar em tags compatíveis com a política.

  9. (Opcional) Para adicionar outra chave de tag a esta política de tag, escolha Add tag key (Adicionar chave de tag). Depois, execute as etapas de 6 a 9 para definir a chave de tag.

  10. Quando terminar de criar sua política de tags, escolha Save changes (Salvar alterações).

AWS CLI & AWS SDKs
Como criar uma política de tag

Você pode usar um dos seguintes procedimentos para criar uma política de tags:

  • AWS CLI: política de criação

    É possível usar qualquer editor de texto para criar a política de tag. Use a JSON sintaxe e salve a política de tags como um arquivo com qualquer nome e extensão em um local de sua escolha. As políticas de tag podem ter no máximo 2.500 caracteres, incluindo espaços. Para obter informações sobre sintaxe de política de tag, consulte Sintaxe de política de tag.

    Como criar uma política de tag

    1. Crie uma política de tag em um arquivo de texto semelhante ao seguinte:

      Conteúdo de testpolicy.json:

      {
    "tags": {
        "CostCenter": {
            "tag_key": {
                "@@assign": "CostCenter"
            }
        }
    }
}

      Esta política de tag define a chave de tag CostCenter. A tag pode aceitar qualquer valor ou nenhum valor. Uma política como essa significa que um recurso que tem a CostCenter tag anexada com ou sem um valor está em conformidade.

    2. Crie uma política que contenha o conteúdo da política do arquivo. O espaço em branco extra na saída foi truncado para facilitar a leitura.

      $ aws organizations create-policy \
    --name "MyTestTagPolicy" \
    --description "My Test policy" \
    --content file://testpolicy.json \
    --type TAG_POLICY
{
    "Policy": {
        "PolicySummary": {
            "Id": "p-a1b2c3d4e5",
            "Arn": "arn:aws:organizations::123456789012:policy/o-aa111bb222/tag_policy/p-a1b2c3d4e5",
            "Name": "MyTestTagPolicy",
            "Description": "My Test policy",
            "Type": "TAG_POLICY",
            "AwsManaged": false
        },
        "Content": "{\n\"tags\":{\n\"CostCenter\":{\n\"tag_key\":{\n\"@@assign\":\"CostCenter\"\n}\n}\n}\n}\n\n"
    }
}

  • AWS SDKs: CreatePolicy
O que fazer em seguida

Depois de criar uma política de tags, você pode colocar suas regras de atribuição de tags em vigor. Para fazer isso, anexe a política à raiz da organização, unidades organizacionais (OUs), Contas da AWS dentro da sua organização ou uma combinação de entidades organizacionais.

Crie uma política de exclusão de serviços de IA

Permissões mínimas

Para criar uma política de exclusão dos serviços de IA, você precisa de permissão para executar a seguinte ação:

  • organizations:CreatePolicy

AWS Management Console
Para criar uma política de exclusão dos serviços de IA

  1. Faça login no AWS Organizations console. Você deve entrar como IAM usuário, assumir uma IAM função ou entrar como usuário raiz (não recomendado) na conta de gerenciamento da organização.

  2. Na página AI services opt-out policies (Políticas de exclusão dos serviços de IA), escolha Create policy (Criar política).

  3. Na página Create new AI services opt-out policy (Criar nova política de exclusão dos serviços de IA), insira um nome da política e uma descrição da política, opcional.

  4. (Opcional) você pode adicionar uma ou mais tags escolhendo Add tag (Adicionar tag) e inserindo uma chave e um valor opcional. Se deixar o valor em branco, ele é definido como uma sequência vazia, não null. É possível anexar até 50 tags a uma política. Para obter mais informações, consulte Tags AWS Organizations recursos.

  5. Insira ou cole o texto da política na JSONguia. Para obter informações sobre a sintaxe das políticas de exclusão dos serviços de IA, consulte Sintaxe e exemplos de política de exclusão dos serviços de IA. Para obter exemplos de política que você pode usar como ponto de partida, consulte Exemplos de política de exclusão dos serviços de IA.

  6. Quando terminar de editar sua política, escolha Create policy (Criar política) no canto inferior direito da página.

AWS CLI & AWS SDKs
Para criar uma política de exclusão dos serviços de IA

Você pode usar um dos seguintes procedimentos para criar uma política de tags:

  • AWS CLI: política de criação

    1. Crie uma política de exclusão dos serviços de IA como a seguinte e armazene-a em um arquivo de texto. Observe que "optOut" e "optIn" diferenciam entre maiúsculas e minúsculas.

      {
    "services": {
        "default": {
            "opt_out_policy": {
                "@@assign": "optOut"
            }
        },
        "rekognition": {
            "opt_out_policy": {
                "@@assign": "optIn"
            }
        }
    }
}

      Esta política de exclusão dos serviços de IA especifica que todas as contas afetadas pela política sejam excluídas de todos os serviços de IA, exceto o Amazon Rekognition.

    2. Importe o arquivo de JSON política para criar uma nova política na organização. Neste exemplo, o JSON arquivo anterior foi nomeadopolicy.json.

      $ aws organizations create-policy \
    --type AISERVICES_OPT_OUT_POLICY \
    --name "MyTestPolicy" \
    --description "My test policy" \
    --content file://policy.json
{
    "Policy": {
        "Content": "{\"services\":{\"default\":{\"opt_out_policy\":{\"@@assign\":\"optOut\"}},\"rekognition\":{\"opt_out_policy\":{\"@@assign\":\"optIn\"}}}}",
        "PolicySummary": {
            "Id": "p-i9j8k7l6m5"
            "Arn": "arn:aws:organizations::o-aa111bb222:policy/aiservices_opt_out_policy/p-i9j8k7l6m5",
            "Description": "My test policy",
            "Name": "MyTestPolicy",
            "Type": "AISERVICES_OPT_OUT_POLICY"
        }
    }
}

  • AWS SDKs: CreatePolicy
O que fazer em seguida

Depois de criar uma política de exclusão dos serviços de IA, você pode colocar suas opções de exclusão em vigor. Para fazer isso, você pode anexar a política à raiz da organização, unidades organizacionais (OUs), Contas da AWS dentro da sua organização, ou uma combinação de todas elas.

Crie uma política de controle de serviço (SCP)

Permissões mínimas

Para criarSCPs, você precisa de permissão para executar a seguinte ação:

  • organizations:CreatePolicy

AWS Management Console
Para criar uma política de controle de serviço

  1. Faça login no AWS Organizations console. Você deve entrar como IAM usuário, assumir uma IAM função ou entrar como usuário raiz (não recomendado) na conta de gerenciamento da organização.

  2. Na página Service control policies (Políticas de controle de serviço), escolha Create policy (Criar política).

  3. Na página Create new service control policy (Criar nova política de controle de serviço), insira um nome de política e uma descrição da política opcional.

  4. (Opcional) Adicione uma ou mais tags escolhendo Add tag (Adicionar tag) e inserindo uma chave e um valor opcional. Se deixar o valor em branco, ele é definido como uma sequência vazia, não null. É possível anexar até 50 tags a uma política. Para obter mais informações, consulte Tags AWS Organizations recursos.

    nota

    Na maioria das etapas a seguir, discutimos o uso dos controles no lado direito do JSON editor para criar a política, elemento por elemento. Como alternativa, você pode, a qualquer momento, simplesmente inserir texto no JSON editor no lado esquerdo da janela. Você pode digitar diretamente, ou usar copiar e colar.

  5. Para criar a política, suas próximas etapas variam, dependendo de se você deseja adicionar uma instrução que nega ou permite o acesso. Para obter mais informações, consulte SCPavaliação. Se você usa Deny instruções, você tem controle adicional porque pode restringir o acesso a recursos específicos, definir condições para quando SCPs elas estão em vigor e usar o NotActionelemento. Para obter detalhes sobre sintaxe de, consulte SCPsintaxe.

    Para adicionar uma instrução que nega acesso:

    1. No painel direito Editar declaração do editor, em Adicionar ações, escolha um AWS serviço.

      Conforme você escolhe as opções à direita, o JSON editor atualiza para mostrar a JSON política correspondente à esquerda.

    2. Depois de selecionar um serviço, será aberta uma lista que contém as ações disponíveis para esse serviço. Você pode escolher All actions (Todas as ações) ou escolher uma ou mais ações individuais que você deseja negar.

      A opção à JSON esquerda é atualizada para incluir as ações que você selecionou.

      nota

      Se você selecionar uma ação individual e depois voltar e selecionar Todas as ações, a entrada esperada para servicename/* será adicionada àJSON, mas as ações individuais que você selecionou anteriormente serão deixadas no JSON e não removidas.

    3. Se desejar adicionar ações de serviços adicionais, você pode escolher All services (Todos os serviços) na parte superior da caixa Statement (Instrução) e repetir as duas etapas anteriores, conforme necessário.

    4. Especifique os recursos a serem incluídos na instrução.

      • Ao lado de Add a resource (Adicionar um recurso), escolha Add (Adicionar).

      • No diálogo Add resource (Adicionar recurso), escolha o serviço cujos recursos você deseja controlar na lista. Você pode selecionar apenas entre os serviços selecionados na etapa anterior.

      • Em Resource type (Tipo de recurso), escolha o tipo de recurso que você deseja controlar.

      • Por fim, preencha o Amazon Resource Name (ARN) em Recurso ARN para identificar o recurso específico ao qual você deseja controlar o acesso. Você deve substituir todos os espaços reservados que estão rodeados por chaves {}. Você pode especificar curingas (*) onde a ARN sintaxe desse tipo de recurso permitir. Consulte a documentação de um tipo de recurso específico para obter informações sobre onde você pode usar curingas.

      • Salve sua adição à política escolhendo Add resource (Adicionar recurso). O Resource elemento no JSON reflete suas adições ou alterações. O elemento do recurso é necessário.

      dica

      Se você quiser especificar todos os recursos para o serviço selecionado, escolha a opção Todos os recursos na lista ou edite a Resource instrução diretamente no JSON para ler"Resource":"*".

    5. (Opcional) Para especificar condições que limitam quando uma instrução de política está em vigor, ao lado de Add condition (Adicionar condição), escolha Add (Adicionar).

      • Chave de condição — Na lista, você pode escolher qualquer chave de condição que esteja disponível para todos AWS serviços (por exemplo,aws:SourceIp) ou uma chave específica de serviço para somente um dos serviços que você selecionou para essa declaração.

      • Qualifier (Qualificador) – (opcional) se você inserir vários valores para a condição (dependendo da chave de condição especificada), poderá especificar um qualificador para testar solicitações para os valores.

        • Default (Padrão) – testa um único valor na solicitação em relação ao valor da chave de condição na política. A condição retornará true se o valor da chave na solicitação corresponder ao valor na política. Se a política especificar mais de um valor, eles serão tratados como um teste "ou" e a condição retornará true se os valores da solicitação corresponderem a qualquer um dos valores de diretiva.

        • For any value in a request (Para qualquer valor de uma solicitação) – quando a solicitação pode ter vários valores, esta opção testa se pelo menos um dos valores da solicitação corresponde a pelo menos um dos valores da chave de condição na política. A condição retorna verdadeiro se qualquer um dos valores de chave na solicitação corresponder a algum dos valores da condição na política. A condição retornará "falso" se nenhuma chave corresponder ou se houver um conjunto de dados nulo.

        • For all values in a request (Para todos os valores em uma solicitação) – quando a solicitação pode ter vários valores, esta opção testa se todos os valores da solicitação correspondem ao valor da chave de condição na política. A condição retornará "verdadeiro" se cada valor de chave na solicitação corresponder a pelo menos um valor na política. Ela também retornará "verdadeiro" se não houver chaves na solicitação, ou se os valores de chave forem resolvidos para um conjunto de dados nulo, como uma string vazia.

      • Operator (Operador) – o operador especifica o tipo de comparação a ser feita. As opções apresentadas dependem do tipo de dados da chave de condição. Por exemplo, a chave de condição global aws:CurrentTime permite que você escolha entre qualquer um dos operadores de comparação de datas, ou Null, que você pode usar para testar se o valor está presente na solicitação.

        Para qualquer operador de condição, exceto o Null teste, você pode escolher a IfExistsopção.

      • Value (Valor) – (opcional) especifique um ou mais valores para os quais você deseja testar a solicitação.

      Escolha Adicionar condição.

      Para obter mais informações sobre chaves de condição, consulte Elementos de IAM JSON política: condição no Guia IAM do usuário.

    6. (Opcional) para usar o elemento NotAction para negar acesso a todas as ações, exceto as especificadas, substitua Action por NotAction no painel à esquerda, logo após o elemento "Effect": "Deny",. Para obter mais informações, consulte Elementos de IAM JSON política: NotAction no Guia IAM do usuário.

  6. Para adicionar uma instrução que permite acesso:

    1. No JSON editor à esquerda, altere a linha "Effect": "Deny" para"Effect": "Allow".

      Conforme você escolhe as opções à direita, o JSON editor atualiza para mostrar a JSON política correspondente à esquerda.

    2. Depois de selecionar um serviço, será aberta uma lista que contém as ações disponíveis para esse serviço. Você pode escolher All actions (Todas as ações) ou escolher uma ou mais ações individuais que você deseja permitir.

      A opção à JSON esquerda é atualizada para incluir as ações que você selecionou.

      nota

      Se você selecionar uma ação individual e depois voltar e selecionar Todas as ações, a entrada esperada para servicename/* será adicionada àJSON, mas as ações individuais que você selecionou anteriormente serão deixadas no JSON e não removidas.

    3. Se desejar adicionar ações de serviços adicionais, você pode escolher All services (Todos os serviços) na parte superior da caixa Statement (Instrução) e repetir as duas etapas anteriores, conforme necessário.

  7. (Opcional) Para adicionar outra instrução à política, escolha Add Statement (Adicionar instrução) e use o editor visual para criar a próxima instrução.

  8. Quando terminar de adicionar declarações, escolha Criar política para salvar as preenchidasSCP.

Seu novo SCP aparece na lista das políticas da organização. Agora você pode SCPanexar suas contas à raiz ou às contas. OUs

AWS CLI & AWS SDKs
Para criar uma política de controle de serviço

Você pode usar um dos seguintes comandos para criar umSCP:

  • AWS CLI: política de criação

    O exemplo a seguir pressupõe que você tenha um arquivo nomeado Deny-IAM.json com o texto da JSON política nele. Ele usa esse arquivo para criar uma nova política de controle de serviço.

    $ aws organizations create-policy \
    --content file://Deny-IAM.json \
    --description "Deny all IAM actions" \
    --name DenyIAMSCP \
    --type SERVICE_CONTROL_POLICY
{
    "Policy": {
        "PolicySummary": {
            "Id": "p-i9j8k7l6m5",
            "Arn": "arn:aws:organizations::123456789012:policy/o-aa111bb222/service_control_policy/p-i9j8k7l6m5",
            "Name": "DenyIAMSCP",
            "Description": "Deny all IAM actions",
            "Type": "SERVICE_CONTROL_POLICY",
            "AwsManaged": false
        },
         "Content": "{\"Version\":\"2012-10-17\",\"Statement\":[{\"Sid\":\"Statement1\",\"Effect\":\"Deny\",\"Action\":[\"iam:*\"],\"Resource\":[\"*\"]}]}"
    }
}

  • AWS SDKs: CreatePolicy
nota

SCPsnão entram em vigor na conta de gerenciamento e em algumas outras situações. Para obter mais informações, consulte Tarefas e entidades não restritas por SCPs.