Criação de políticas organizacionais com AWS Organizations - AWS Organizations
Criar uma política de controle de serviços (SCP)Crie uma política de controle de recursos (RCP)Crie uma política declarativaCriar uma política de backupCriar uma política de tagsCrie uma política de aplicativos de bate-papoCriar uma política de recusa de serviços de IA

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Criação de políticas organizacionais com AWS Organizations

Depois de habilitar políticas para sua organização, você pode criar uma política.

Este tópico descreve como criar políticas com AWS Organizations. Uma política define os controles que você deseja aplicar a um grupo de Contas da AWS.

Criar uma política de controle de serviços (SCP)

Permissões mínimas

Para criar SCPs, você precisa de permissão para executar a seguinte ação:

  • organizations:CreatePolicy

AWS Management Console
Para criar uma política de controle de serviço

  1. Faça login no console do AWS Organizations. Você deve fazer login como um usuário do IAM, assumir uma função do IAM ou fazer login como usuário-raiz (não recomendado) na conta de gerenciamento da organização.

  2. Na página Service control policies (Políticas de controle de serviço), escolha Create policy (Criar política).

  3. Na página Create new service control policy (Criar nova política de controle de serviço), insira um nome de política e uma descrição da política opcional.

  4. (Opcional) Adicione uma ou mais tags escolhendo Add tag (Adicionar tag) e inserindo uma chave e um valor opcional. Se deixar o valor em branco, ele é definido como uma sequência vazia, não null. É possível anexar até 50 tags a uma política. Para obter mais informações, consulte Recursos de marcação AWS Organizations.

    nota

    Na maioria das etapas a seguir, discutimos o uso dos controles no lado direito do editor JSON para construir a política, elemento por elemento. Como alternativa, você pode, a qualquer momento, simplesmente inserir texto no editor JSON no lado esquerdo da janela. Você pode digitar diretamente, ou usar copiar e colar.

  5. Para criar a política, suas próximas etapas variam, dependendo de se você deseja adicionar uma instrução que nega ou permite o acesso. Para obter mais informações, consulte Avaliação do SCP. Se você usa Deny instruções, você tem controle adicional porque pode restringir o acesso a recursos específicos, definir condições para quando SCPs elas estão em vigor e usar o NotActionelemento. Para obter detalhes sobre sintaxe de, consulte Sintaxe de SCP.

    Para adicionar uma instrução que nega acesso:

    1. No painel direito Editar declaração do editor, em Adicionar ações, escolha um AWS serviço.

      À medida que você escolher opções à direita, o editor JSON é atualizado para mostrar a política JSON correspondente à esquerda.

    2. Depois de selecionar um serviço, será aberta uma lista que contém as ações disponíveis para esse serviço. Você pode escolher All actions (Todas as ações) ou escolher uma ou mais ações individuais que você deseja negar.

      O JSON à esquerda é atualizado para incluir as ações selecionadas.

      nota

      Se você selecionar uma ação individual e, em seguida, voltar e também selecionar All actions (Todas as ações), a entrada esperada para servicename:* é adicionada ao JSON, mas as ações individuais selecionadas anteriormente são deixadas no JSON e não são removidas.

    3. Se desejar adicionar ações de serviços adicionais, você pode escolher All services (Todos os serviços) na parte superior da caixa Statement (Instrução) e repetir as duas etapas anteriores, conforme necessário.

    4. Especifique os recursos a serem incluídos na instrução.

      • Ao lado de Add a resource (Adicionar um recurso), escolha Add (Adicionar).

      • No diálogo Add resource (Adicionar recurso), escolha o serviço cujos recursos você deseja controlar na lista. Você pode selecionar apenas entre os serviços selecionados na etapa anterior.

      • Em Resource type (Tipo de recurso), escolha o tipo de recurso que você deseja controlar.

      • Finalmente, preencha o nome do recurso da Amazon (ARN) emResource ARN (ARN do recurso) para identificar o recurso específico ao qual você deseja controlar o acesso. Você deve substituir todos os espaços reservados que estão rodeados por chaves {}. Você pode especificar curingas (*) onde a sintaxe ARN desse tipo de recurso permitir. Consulte a documentação de um tipo de recurso específico para obter informações sobre onde você pode usar curingas.

      • Salve sua adição à política escolhendo Add resource (Adicionar recurso). O elemento Resource no JSON reflete suas adições ou alterações. O elemento do recurso é necessário.

      dica

      Se você desejar especificar todos os recursos para o serviço selecionado, escolha a opção All resources (Todos os recursos) na lista ou edite a instrução Resource diretamente no JSON para ler "Resource":"*".

    5. (Opcional) Para especificar condições que limitam quando uma instrução de política está em vigor, ao lado de Add condition (Adicionar condição), escolha Add (Adicionar).

      • Chave de condição — Na lista, você pode escolher qualquer chave de condição que esteja disponível para todos os AWS serviços (por exemplo,aws:SourceIp) ou uma chave específica de serviço para somente um dos serviços que você selecionou para essa declaração.

      • Qualificador — (Opcional) Quando a solicitação tem mais de um valor para uma chave de contexto de vários valores, você pode especificar um qualificador para testar as solicitações em relação aos valores. Para obter mais informações, consulte Chaves de contexto de valor único versus de valores múltiplos no Guia do usuário do IAM. Para verificar se uma solicitação pode ter vários valores, consulte as Ações, recursos e chaves de condição Serviços da AWS na Referência de autorização de serviço.

        • Default (Padrão) – testa um único valor na solicitação em relação ao valor da chave de condição na política. A condição retornará true se o valor da chave na solicitação corresponder ao valor na política. Se a política especificar mais de um valor, eles serão tratados como um teste "ou" e a condição retornará true se os valores da solicitação corresponderem a qualquer um dos valores de diretiva.

        • For any value in a request (Para qualquer valor de uma solicitação) – quando a solicitação pode ter vários valores, esta opção testa se pelo menos um dos valores da solicitação corresponde a pelo menos um dos valores da chave de condição na política. A condição retorna verdadeiro se qualquer um dos valores de chave na solicitação corresponder a algum dos valores da condição na política. A condição retornará "falso" se nenhuma chave corresponder ou se houver um conjunto de dados nulo.

        • For all values in a request (Para todos os valores em uma solicitação) – quando a solicitação pode ter vários valores, esta opção testa se todos os valores da solicitação correspondem ao valor da chave de condição na política. A condição retornará "verdadeiro" se cada valor de chave na solicitação corresponder a pelo menos um valor na política. Ela também retornará "verdadeiro" se não houver chaves na solicitação, ou se os valores de chave forem resolvidos para um conjunto de dados nulo, como uma string vazia.

      • Operator (Operador) – o operador especifica o tipo de comparação a ser feita. As opções apresentadas dependem do tipo de dados da chave de condição. Por exemplo, a chave de condição global aws:CurrentTime permite que você escolha entre qualquer um dos operadores de comparação de datas, ou Null, que você pode usar para testar se o valor está presente na solicitação.

        Para qualquer operador de condição, exceto o Null teste, você pode escolher a IfExistsopção.

      • Value (Valor) – (opcional) especifique um ou mais valores para os quais você deseja testar a solicitação.

      Escolha Adicionar condição.

      Para obter mais informações sobre o uso de chaves de condição, consulte Elementos de política JSON do IAM: condição no Guia do usuário do IAM.

  6. Para adicionar uma instrução que permite acesso:

    1. No editor JSON à esquerda, altere a linha "Effect": "Deny" para "Effect": "Allow".

      À medida que você escolher opções à direita, o editor JSON é atualizado para mostrar a política JSON correspondente à esquerda.

    2. Depois de selecionar um serviço, será aberta uma lista que contém as ações disponíveis para esse serviço. Você pode escolher All actions (Todas as ações) ou escolher uma ou mais ações individuais que você deseja permitir.

      O JSON à esquerda é atualizado para incluir as ações selecionadas.

      nota

      Se você selecionar uma ação individual e, em seguida, voltar e também selecionar All actions (Todas as ações), a entrada esperada para servicename:* é adicionada ao JSON, mas as ações individuais selecionadas anteriormente são deixadas no JSON e não são removidas.

    3. Se desejar adicionar ações de serviços adicionais, você pode escolher All services (Todos os serviços) na parte superior da caixa Statement (Instrução) e repetir as duas etapas anteriores, conforme necessário.

  7. (Opcional) Para adicionar outra instrução à política, escolha Add Statement (Adicionar instrução) e use o editor visual para criar a próxima instrução.

  8. Ao concluir a adição de instruções, escolha Create policy (Criar política) para salvar a SCP concluída.

A nova SCP aparece na lista das políticas da organização. Agora você pode anexar seu SCP à raiz OUs, ou contas.

AWS CLI & AWS SDKs
Para criar uma política de controle de serviço

Você pode usar um dos seguintes comandos para criar uma SCP:

  • AWS CLI: create-policy

    O exemplo a seguir pressupõe que você tenha um arquivo chamado Deny-IAM.json com o texto da política JSON nele. Ele usa esse arquivo para criar uma nova política de controle de serviço.

    $ aws organizations create-policy \
    --content file://Deny-IAM.json \
    --description "Deny all IAM actions" \
    --name DenyIAMSCP \
    --type SERVICE_CONTROL_POLICY
{
    "Policy": {
        "PolicySummary": {
            "Id": "p-i9j8k7l6m5",
            "Arn": "arn:aws:organizations::123456789012:policy/o-aa111bb222/service_control_policy/p-i9j8k7l6m5",
            "Name": "DenyIAMSCP",
            "Description": "Deny all IAM actions",
            "Type": "SERVICE_CONTROL_POLICY",
            "AwsManaged": false
        },
         "Content": "{\"Version\":\"2012-10-17\",\"Statement\":[{\"Sid\":\"Statement1\",\"Effect\":\"Deny\",\"Action\":[\"iam:*\"],\"Resource\":[\"*\"]}]}"
    }
}

  • AWS SDKs: CreatePolicy
nota

SCPs não têm efeito na conta de gerenciamento e em algumas outras situações. Para obter mais informações, consulte Tarefas e entidades não restritas por SCPs.

Crie uma política de controle de recursos (RCP)

Permissões mínimas

Para criar RCPs, você precisa de permissão para executar a seguinte ação:

  • organizations:CreatePolicy

AWS Management Console
Para criar uma política de controle de recursos

  1. Faça login no console do AWS Organizations. Você deve fazer login como um usuário do IAM, assumir uma função do IAM ou fazer login como usuário-raiz (não recomendado) na conta de gerenciamento da organização.

  2. Na página Política de controle de recursos, escolha Criar política.

  3. Na página Criar nova política de controle de recursos, insira um nome da política e uma descrição opcional da política.

  4. (Opcional) Adicione uma ou mais tags escolhendo Add tag (Adicionar tag) e inserindo uma chave e um valor opcional. Se deixar o valor em branco, ele é definido como uma sequência vazia, não null. É possível anexar até 50 tags a uma política. Para obter mais informações, consulte Recursos de marcação AWS Organizations.

    nota

    Na maioria das etapas a seguir, discutimos o uso dos controles no lado direito do editor JSON para construir a política, elemento por elemento. Como alternativa, você pode, a qualquer momento, simplesmente inserir texto no editor JSON no lado esquerdo da janela. Você pode digitar diretamente, ou usar copiar e colar.

  5. Para adicionar uma declaração:

    1. No painel direito Editar declaração do editor, em Adicionar ações, escolha um AWS serviço.

      À medida que você escolher opções à direita, o editor JSON é atualizado para mostrar a política JSON correspondente à esquerda.

    2. Depois de selecionar um serviço, será aberta uma lista que contém as ações disponíveis para esse serviço. Você pode escolher All actions (Todas as ações) ou escolher uma ou mais ações individuais que você deseja negar.

      O JSON à esquerda é atualizado para incluir as ações selecionadas.

      nota

      Se você selecionar uma ação individual e, em seguida, voltar e também selecionar All actions (Todas as ações), a entrada esperada para servicename:* é adicionada ao JSON, mas as ações individuais selecionadas anteriormente são deixadas no JSON e não são removidas.

    3. Se desejar adicionar ações de serviços adicionais, você pode escolher All services (Todos os serviços) na parte superior da caixa Statement (Instrução) e repetir as duas etapas anteriores, conforme necessário.

    4. Especifique os recursos a serem incluídos na instrução.

      • Ao lado de Add a resource (Adicionar um recurso), escolha Add (Adicionar).

      • No diálogo Add resource (Adicionar recurso), escolha o serviço cujos recursos você deseja controlar na lista. Você pode selecionar apenas entre os serviços selecionados na etapa anterior.

      • Em Resource type (Tipo de recurso), escolha o tipo de recurso que você deseja controlar.

      • Preencha o Nome de recurso da Amazon (ARN) no ARN do recurso para identificar o recurso específico ao qual você deseja controlar o acesso. Você deve substituir todos os espaços reservados que estão rodeados por chaves {}. Você pode especificar curingas (*) onde a sintaxe ARN desse tipo de recurso permitir. Consulte a documentação de um tipo de recurso específico para obter informações sobre onde você pode usar curingas.

      • Salve sua adição à política escolhendo Add resource (Adicionar recurso). O elemento Resource no JSON reflete suas adições ou alterações. O elemento do recurso é necessário.

      dica

      Se você desejar especificar todos os recursos para o serviço selecionado, escolha a opção All resources (Todos os recursos) na lista ou edite a instrução Resource diretamente no JSON para ler "Resource":"*".

    5. (Opcional) Para especificar condições que limitam quando uma instrução de política está em vigor, ao lado de Add condition (Adicionar condição), escolha Add (Adicionar).

      • Chave de condição — Na lista, você pode escolher qualquer chave de condição que esteja disponível para todos os AWS serviços (por exemplo,aws:SourceIp) ou uma chave específica de serviço para somente um dos serviços que você selecionou para essa declaração.

      • Qualificador — (Opcional) Quando a solicitação tem mais de um valor para uma chave de contexto de vários valores, você pode especificar um qualificador para testar as solicitações em relação aos valores. Para obter mais informações, consulte Chaves de contexto de valor único versus de valores múltiplos no Guia do usuário do IAM. Para verificar se uma solicitação pode ter vários valores, consulte as Ações, recursos e chaves de condição Serviços da AWS na Referência de autorização de serviço.

        • Default (Padrão) – testa um único valor na solicitação em relação ao valor da chave de condição na política. A condição retornará true se o valor da chave na solicitação corresponder ao valor na política. Se a política especificar mais de um valor, eles serão tratados como um teste "ou" e a condição retornará true se os valores da solicitação corresponderem a qualquer um dos valores de diretiva.

        • For any value in a request (Para qualquer valor de uma solicitação) – quando a solicitação pode ter vários valores, esta opção testa se pelo menos um dos valores da solicitação corresponde a pelo menos um dos valores da chave de condição na política. A condição retorna verdadeiro se qualquer um dos valores de chave na solicitação corresponder a algum dos valores da condição na política. A condição retornará "falso" se nenhuma chave corresponder ou se houver um conjunto de dados nulo.

        • For all values in a request (Para todos os valores em uma solicitação) – quando a solicitação pode ter vários valores, esta opção testa se todos os valores da solicitação correspondem ao valor da chave de condição na política. A condição retornará "verdadeiro" se cada valor de chave na solicitação corresponder a pelo menos um valor na política. Ela também retornará "verdadeiro" se não houver chaves na solicitação, ou se os valores de chave forem resolvidos para um conjunto de dados nulo, como uma string vazia.

      • Operator (Operador) – o operador especifica o tipo de comparação a ser feita. As opções apresentadas dependem do tipo de dados da chave de condição. Por exemplo, a chave de condição global aws:CurrentTime permite que você escolha entre qualquer um dos operadores de comparação de datas, ou Null, que você pode usar para testar se o valor está presente na solicitação.

        Para qualquer operador de condição, exceto o Null teste, você pode escolher a IfExistsopção.

      • Value (Valor) – (opcional) especifique um ou mais valores para os quais você deseja testar a solicitação.

      Escolha Adicionar condição.

      Para obter mais informações sobre o uso de chaves de condição, consulte Elementos de política JSON do IAM: condição no Guia do usuário do IAM.

    6. (Opcional) para usar o elemento NotAction para negar acesso a todas as ações, exceto as especificadas, substitua Action por NotAction no painel à esquerda, logo após o elemento "Effect": "Deny",. Para obter mais informações, consulte Elementos de política JSON do IAM: NotAction no Guia do usuário do IAM.

  6. (Opcional) Para adicionar outra instrução à política, escolha Add Statement (Adicionar instrução) e use o editor visual para criar a próxima instrução.

  7. Quando terminar de adicionar instruções, escolha Criar política para salvar o RCP concluído.

Seu novo RCP aparece na lista das políticas da organização. Agora você pode anexar seu RCP à raiz OUs, ou contas.

AWS CLI & AWS SDKs
Para criar uma política de controle de recursos

Você pode usar um dos seguintes comandos para criar um RCP:

  • AWS CLI: create-policy

    O exemplo a seguir pressupõe que você tenha um arquivo chamado Deny-IAM.json com o texto da política JSON nele. Ele usa esse arquivo para criar uma nova política de controle de recursos.

    $ aws organizations create-policy \
    --content file://Deny-IAM.json \
    --description "Deny all IAM actions" \
    --name DenyIAMRCP \
    --type RESOURCE_CONTROL_POLICY
{
    "Policy": {
        "PolicySummary": {
            "Id": "p-i9j8k7l6m5",
            "Arn": "arn:aws:organizations::123456789012:policy/o-aa111bb222/resource_control_policy/p-i9j8k7l6m5",
            "Name": "DenyIAMRCP",
            "Description": "Deny all IAM actions",
            "Type": "RESOURCE_CONTROL_POLICY",
            "AwsManaged": false
        },
         "Content": "{\"Version\":\"2012-10-17\",\"Statement\":[{\"Sid\":\"Statement1\",\"Effect\":\"Deny\",\"Action\":[\"iam:*\"],\"Resource\":[\"*\"]}]}"
    }
}

  • AWS SDKs: CreatePolicy
nota

RCPs não têm efeito na conta de gerenciamento e em algumas outras situações. Para obter mais informações, consulte Recursos e entidades não restritos por RCPs.

Crie uma política declarativa

Permissões mínimas

Para criar uma política declarativa, você precisa de permissão para executar a seguinte ação:

  • organizations:CreatePolicy

AWS Management Console
Para criar uma política declarativa

  1. Faça login no console do AWS Organizations. Você deve fazer login como um usuário do IAM, assumir uma função do IAM ou fazer login como usuário-raiz (não recomendado) na conta de gerenciamento da organização.

  2. Na página Políticas declarativas, escolha Criar política.

  3. Na EC2página Criar nova política declarativa para, insira um nome da política e uma descrição opcional da política.

  4. (Opcional) você pode adicionar uma ou mais tags escolhendo Add tag (Adicionar tag) e inserindo uma chave e um valor opcional. Se deixar o valor em branco, ele é definido como uma sequência vazia, não null. É possível anexar até 50 tags a uma política. Para obter mais informações, consulte Recursos de marcação AWS Organizations.

  5. Você pode criar a política usando o Editor Visual, conforme descrito neste procedimento. Você também pode inserir ou colar texto de política na guia JSON . Para obter informações sobre a sintaxe da política declarativa, consulte. Sintaxe e exemplos de políticas declarativas

    Se você optar por usar o editor visual, selecione o atributo de serviço que deseja incluir na sua política declarativa. Para obter mais informações, consulte Suporte Serviços da AWS e atributos.

  6. Escolha Adicionar atributo de serviço e configure o atributo de acordo com suas especificações. Para obter informações mais detalhadas sobre cada efeito, consulteSintaxe e exemplos de políticas declarativas.

  7. Quando terminar de editar sua política, escolha Create policy (Criar política) no canto inferior direito da página.

AWS CLI & AWS SDKs
Para criar uma política declarativa

Você pode usar uma das opções a seguir para criar uma política declarativa:

  • AWS CLI: create-policy

    1. Crie uma política declarativa como a seguinte e armazene-a em um arquivo de texto.

      {
    "ec2_attributes": {
        "image_block_public_access": {
            "state": {
                "@@assign": "block_new_sharing"
            }
        }
    }
}

      Essa política declarativa especifica que todas as contas afetadas pela política devem ser configuradas para que as novas Amazon Machine Images (AMIs) não possam ser compartilhadas publicamente. Para obter informações sobre a sintaxe da política declarativa, consulte. Sintaxe e exemplos de políticas declarativas

    2. Importe o arquivo de política JSON para criar uma nova política na organização. Neste exemplo, o arquivo JSON anterior foi chamado de policy.json.

      $ aws organizations create-policy \
    --type DECLARATIVE_POLICY_EC2 \
    --name "MyTestPolicy" \
    --description "My test policy" \
    --content file://policy.json
{
    "Policy": {
        "Content": "{"ec2_attributes":{"image_block_public_access":{"state":{"@@assign":"block_new_sharing"}}}}".
        "PolicySummary": {
            "Id": "p-i9j8k7l6m5"
            "Arn": "arn:aws:organizations::o-aa111bb222:policy/declarative_policy_ec2/p-i9j8k7l6m5",
            "Description": "My test policy",
            "Name": "MyTestPolicy",
            "Type": "DECLARATIVE_POLICY_EC2"
        }
    }
}

  • AWS SDKs: CreatePolicy
O que fazer em seguida

Depois de criar uma política declarativa, avalie a prontidão usando o relatório de status da conta. Em seguida, você pode aplicar suas configurações básicas. Para fazer isso, você pode anexar a política à raiz da organização, às unidades organizacionais (OUs), Contas da AWS dentro da sua organização ou a uma combinação de todas elas.

Criar uma política de backup

Permissões mínimas

Para criar uma política de backup, você precisa de permissão para executar a seguinte ação:

  • organizations:CreatePolicy

AWS Management Console

Você pode criar uma política de backup AWS Management Console de duas maneiras:

  • Um editor visual que permite escolher opções e gera o texto da política JSON para você.

  • Um editor de texto que permite que você mesmo crie diretamente o texto da política JSON.

O editor visual facilita o processo, mas limita sua flexibilidade. É uma ótima maneira de criar suas primeiras políticas e se sentir confortável ao usá-las. Depois de entender como elas funcionam e de começar a ser limitado pelo que o editor visual fornece, você poderá adicionar recursos avançados às suas políticas editando você mesmo o texto da política JSON. O editor visual usa apenas o operador de definição de valor @@assign e não fornece qualquer acesso aos operadores de controle subordinados. Você só pode adicioná-los se editar manualmente o texto de política JSON.

Para criar uma política de backup

  1. Faça login no console do AWS Organizations. Você deve fazer login como um usuário do IAM, assumir uma função do IAM ou fazer login como usuário-raiz (não recomendado) na conta de gerenciamento da organização.

  2. Na página Backup policies (Políticas de backup), escolha Create policy (Criar política).

  3. Na página Create policy (Criar política), insira um nome de política e uma descrição, opcional, para a política.

  4. (Opcional) você pode adicionar uma ou mais tags escolhendo Add tag (Adicionar tag) e inserindo uma chave e um valor opcional. Se deixar o valor em branco, ele é definido como uma sequência vazia, não null. É possível anexar até 50 tags a uma política. Para obter mais informações sobre marcação, consulte Recursos de marcação AWS Organizations.

  5. Você pode criar a política usando o Editor Visual, conforme descrito neste procedimento. Você também pode inserir ou colar texto de política na guia JSON . Para obter informações sobre a sintaxe de política de backup, consulte Sintaxe e exemplos de políticas de backup.

    Se você optar por usar o Editor Visual, selecione as opções de backup apropriadas para seu cenário. Um plano de backup consiste em três partes. Para obter mais informações sobre esses elementos do plano de backup, consulte Criação de um plano de backup e Atribuição de recursos no Guia do desenvolvedor do AWS Backup .

    1. Detalhes gerais do plano de backup

      • O Nome do plano de backup pode consistir apenas em caracteres alfanuméricos, hífen e sublinhados.

      • Você deve selecionar pelo menos uma Região do plano de backup na lista. O plano pode fazer backup de recursos somente nos selecionados Regiões da AWS.

    2. Uma ou mais regras de backup que especificam como e quando o AWS Backup deve operar. Cada regra de backup define os seguintes itens:

      • Uma programação que inclui a frequência do backup e a janela de tempo em que o backup pode ocorrer.

      • O nome do cofre de backup a ser usado. O nome do cofre de backup pode consistir apenas em caracteres alfanuméricos, hífen e sublinhados. O cofre de backup deve existir antes que o plano possa ser executado com êxito. Crie o cofre usando o AWS Backup console ou os AWS CLI comandos.

      • (Opcional) Uma ou mais regras de Copiar para região também copiam o backup para cofres em outras Regiões da AWS.

      • Um ou mais pares de chave de tag e valor a serem anexados aos pontos de recuperação de backup criados sempre que esse plano de backup for executado.

      • Opções de ciclo de vida que especificam quando o backup faz a transição para o armazenamento frio e quando o backup expira.

      Escolha Add rule (Adicionar regra) para adicionar cada regra necessária ao plano.

      Para obter mais informações sobre backup, consulte Regras de backup no Guia do desenvolvedor do AWS Backup .

    3. Uma atribuição de recurso que especifica os recursos dos quais o AWS Backup deve fazer backup com este plano. A atribuição é feita especificando pares de tags AWS Backup usados para encontrar e combinar recursos.

      • O nome da atribuição do recurso pode consistir apenas em caracteres alfanuméricos, hífen e sublinhados.

      • Especifique a função do IAM a ser usada pelo AWS Backup para executar o backup pelo nome.

        No console, você não especifica o nome do recurso da Amazon (ARN) inteiro. Você deve incluir o nome da função e o prefixo que especifica o tipo de função. Os prefixos são tipicamente role ou service-role, e eles são separados do nome da função por uma barra ('/'). Por exemplo, você pode inserir role/MyRoleName ou service-role/MyManagedRoleName. Isso é convertido em um ARN completo para você quando armazenado no JSON subjacente.

        Importante

        A função do IAM especificada já deve existir na conta à qual a política é aplicada. Caso contrário, o plano de backup pode iniciar com êxito trabalhos de backup, mas esses trabalhos de backup falharão.

      • Especifique uma ou mais chaves de tag de recurso e valores de tag para identificar os recursos dos quais você deseja que seja feito backup. Se houver mais de um valor de tag, separe-os com vírgulas.

      Selecione Add assignment (Adicionar atribuição) para adicionar cada atribuição de recurso configurada ao plano de backup.

      Para obter mais informações, consulte Atribuir recursos a um plano de backup no Guia do desenvolvedor do AWS Backup .

  6. Quando terminar de criar sua política, escolha Create policy (Criar política). A política aparecerá na lista de políticas de backup disponíveis.

AWS CLI & AWS SDKs
Para criar uma política de backup

Você pode usar um dos seguintes procedimentos para criar uma política de backup:

  • AWS CLI: create-policy

    Crie um plano de backup como texto JSON semelhante ao seguinte e armazene-o em um arquivo de texto. Para obter regras completas para a sintaxe, consulte Sintaxe e exemplos de políticas de backup.

    {
    "plans": {
        "PII_Backup_Plan": {
            "regions": { "@@assign": [ "ap-northeast-2", "us-east-1", "eu-north-1" ] },
            "rules": {
                "Hourly": {
                    "schedule_expression": { "@@assign": "cron(0 5/1 ? * * *)" },
                    "start_backup_window_minutes": { "@@assign": "480" },
                    "complete_backup_window_minutes": { "@@assign": "10080" },
                    "lifecycle": {
                        "move_to_cold_storage_after_days": { "@@assign": "180" },
                        "delete_after_days": { "@@assign": "270" }
                    },
                    "target_backup_vault_name": { "@@assign": "FortKnox" },
                    "copy_actions": {
                        "arn:aws:backup:us-east-1:$account:backup-vault:secondary-vault": {
                            "lifecycle": {
                                "move_to_cold_storage_after_days": { "@@assign": "10" },
                                "delete_after_days": { "@@assign": "100" }
                            }
                        }
                    }
                }
            },
            "selections": {
                "tags": {
                    "datatype": {
                        "iam_role_arn": { "@@assign": "arn:aws:iam::$account:role/MyIamRole" },
                        "tag_key": { "@@assign": "dataType" },
                        "tag_value": { "@@assign": [ "PII" ] }
                    }
                }
            }
        }
    }
}

    Esse plano de backup especifica que o AWS Backup deve fazer backup de todos os recursos dos afetados Contas da AWS que estão no especificado Regiões da AWS e que têm a tag dataType com um valor dePII.

    Em seguida, importe o plano de backup do arquivo de política JSON para criar uma nova política na organização. Observe o ID da política no final do ARN da política na saída.

    $ aws organizations create-policy \
    --name "MyBackupPolicy" \
    --type BACKUP_POLICY \
    --description "My backup policy" \
    --content file://policy.json{
    "Policy": {
        "PolicySummary": {
            "Arn": "arn:aws:organizations::o-aa111bb222:policy/backup_policy/p-i9j8k7l6m5",
            "Description": "My backup policy",
            "Name": "MyBackupPolicy",
            "Type": "BACKUP_POLICY"
        }
        "Content": "...a condensed version of the JSON policy document you provided in the file...",
    }
}

  • AWS SDKs: CreatePolicy

Criar uma política de tags

Permissões mínimas

Para criar políticas de tag, você precisa de permissão para executar a seguinte ação:

  • organizations:CreatePolicy

Você pode criar uma política de tags AWS Management Console de duas maneiras:

  • Um editor visual que permite escolher opções e gera o texto da política JSON para você.

  • Um editor de texto que permite que você mesmo crie diretamente o texto da política JSON.

O editor visual facilita o processo, mas limita sua flexibilidade. É uma ótima maneira de criar suas primeiras políticas e se sentir confortável ao usá-las. Depois de entender como elas funcionam e de começar a ser limitado pelo que o editor visual fornece, você poderá adicionar recursos avançados às suas políticas editando você mesmo o texto da política JSON. O editor visual usa apenas o operador de definição de valor @@assign e não fornece qualquer acesso aos operadores de controle subordinados. Você só pode adicioná-los se editar manualmente o texto de política JSON.

AWS Management Console

Você pode criar uma política de tags AWS Management Console de duas maneiras:

  • Um editor visual que permite escolher opções e gera o texto da política JSON para você.

  • Um editor de texto que permite que você mesmo crie diretamente o texto da política JSON.

O editor visual facilita o processo, mas limita sua flexibilidade. É uma ótima maneira de criar suas primeiras políticas e se sentir confortável ao usá-las. Depois de entender como elas funcionam e de começar a ser limitado pelo que o editor visual fornece, você poderá adicionar recursos avançados às suas políticas editando você mesmo o texto da política JSON. O editor visual usa apenas o operador de definição de valor @@assign e não fornece qualquer acesso aos operadores de controle subordinados. Você só pode adicioná-los se editar manualmente o texto de política JSON.

Como criar uma política de tag

  1. Faça login no console do AWS Organizations. Você deve fazer login como um usuário do IAM, assumir uma função do IAM ou fazer login como usuário-raiz (não recomendado) na conta de gerenciamento da organização.

  2. Na página Tag policies (Políticas de tag) escolha Create policy (Criar política).

  3. Na página Create policy (Criar política), insira um nome de política e uma descrição, opcional, para a política.

  4. (Opcional) Você pode adicionar uma ou mais tags ao próprio objeto política. Essas tags não fazem parte da política. Para fazer isso, escolha Add tag (Adicionar tag) e, em seguida, insira uma chave e um valor opcional. Se deixar o valor em branco, ele é definido como uma sequência vazia, não null. É possível anexar até 50 tags a uma política. Para obter mais informações, consulte Recursos de marcação AWS Organizations.

  5. Você pode criar a política de tags usando o Visual editor (Editor Visual) conforme descrito neste procedimento. Você também pode digitar ou colar uma política de tag na guia JSON. Para obter informações sobre sintaxe de política de tag, consulte Sintaxe de política de tag.

    Se você optar por usar o Editor visual, especifique o seguinte:

  6. Em New tag Key 1 (Nova chave de tag 1), especifique o nome de uma chave de tag a ser adicionada.

  7. Em Compliance Options, você pode selecionar as seguintes opções:

    1. Use the capitalization that you've specified above for the tag key: deixe esta opção desmarcada (o padrão) para especificar que a política de tag pai herdada, caso exista, deve definir o tratamento de maiúsculas e minúsculas para a chave de tag.

      Habilite esta opção se quiser impor uma definição de maiúsculas e minúsculas para a chave de tag usando esta política. Se você selecionar essa opção, a diferenciação de maiúsculas e minúsculas especificada em Tag Key (Chave de tag) substituirá o tratamento de maiúsculas e minúsculas especificado em uma política superior.

      Se uma política superior não existir e você não habilitar essa opção, somente chaves de tag com todos os caracteres minúsculos serão consideradas compatíveis. Para obter mais informações sobre herança de políticas superiores, consulte Entendendo a herança da política de gerenciamento.

      dica

      Considere usar como guia a política de tags de exemplo mostrada em Exemplo 1: definir maiúsculas e minúsculas de chave de tag em toda a organização, na criação de uma política de tag que defina chaves de tag e o tratamento de maiúsculas e minúsculas. Anexe-a à raiz da organização. Posteriormente, você pode criar e anexar políticas de tags OUs ou contas adicionais para criar regras de marcação adicionais.

    2. Specify allowed values for this tag key: habilite esta opção se quiser adicionar valores permitidos para esta chave de tag a quaisquer valores herdados de uma política pai.

      Por padrão, essa opção está desmarcada, o que significa que somente os valores herdados de uma política superior são considerados compatíveis. Se uma política pai não existir e você não especificar valores de tag, qualquer valor (incluindo nenhum valor) será considerado compatível.

      Para atualizar a lista de valores de tag aceitáveis, selecione Specify allowed values for this tag key (Especificar valores permitidos para esta chave de tag) e depois Specify values (Especificar valores). Quando solicitado, insira os novos valores e escolha Save changes (Salvar alterações).

  8. Em Resource types to enforce, você pode selecionar Prevent noncompliant operations for this tag.

    Recomendamos deixar esta opção desmarcada (o padrão), a menos que você tenha experiência com o uso de políticas de tag. Verifique se você revisou as recomendações em Noções básicas sobre a aplicação e teste cuidadosamente. Caso contrário, você pode impedir que os usuários nas contas da organização atribuam tags aos recursos necessários.

    Se você quiser impor compatibilidade com essa chave de tag, marque a caixa de seleção e selecione, Specify allowed values (Especificar valores permitidos). Quando solicitado, selecione os tipos de recursos a serem incluídos na política. Em seguida, escolha Salvar alterações.

    Importante

    Quando você seleciona essa opção, todas as operações que manipulam tags para recursos dos tipos especificados só serão bem-sucedidas se a operação resultar em tags compatíveis com a política.

  9. (Opcional) Para adicionar outra chave de tag a esta política de tag, escolha Add tag key (Adicionar chave de tag). Depois, execute as etapas de 6 a 9 para definir a chave de tag.

  10. Quando terminar de criar sua política de tags, escolha Save changes (Salvar alterações).

AWS CLI & AWS SDKs
Como criar uma política de tag

Você pode usar um dos seguintes procedimentos para criar uma política de tags:

  • AWS CLI: create-policy

    É possível usar qualquer editor de texto para criar a política de tag. Use a sintaxe JSON e salve a política de tag como um arquivo com qualquer nome e extensão em um local de sua escolha. As políticas de tag podem ter no máximo 2.500 caracteres, incluindo espaços. Para obter informações sobre sintaxe de política de tag, consulte Sintaxe de política de tag.

    Como criar uma política de tag

    1. Crie uma política de tag em um arquivo de texto semelhante ao seguinte:

      Conteúdo de testpolicy.json:

      {
    "tags": {
        "CostCenter": {
            "tag_key": {
                "@@assign": "CostCenter"
            }
        }
    }
}

      Esta política de tag define a chave de tag CostCenter. A tag pode aceitar qualquer valor ou nenhum valor. Uma política como essa significa que um recurso que tem a CostCenter tag anexada com ou sem um valor está em conformidade.

    2. Crie uma política que contenha o conteúdo da política do arquivo. O espaço em branco extra na saída foi truncado para facilitar a leitura.

      $ aws organizations create-policy \
    --name "MyTestTagPolicy" \
    --description "My Test policy" \
    --content file://testpolicy.json \
    --type TAG_POLICY
{
    "Policy": {
        "PolicySummary": {
            "Id": "p-a1b2c3d4e5",
            "Arn": "arn:aws:organizations::123456789012:policy/o-aa111bb222/tag_policy/p-a1b2c3d4e5",
            "Name": "MyTestTagPolicy",
            "Description": "My Test policy",
            "Type": "TAG_POLICY",
            "AwsManaged": false
        },
        "Content": "{\n\"tags\":{\n\"CostCenter\":{\n\"tag_key\":{\n\"@@assign\":\"CostCenter\"\n}\n}\n}\n}\n\n"
    }
}

  • AWS SDKs: CreatePolicy

Crie uma política de aplicativos de bate-papo

Permissões mínimas

Para criar uma política de aplicativos de bate-papo, você precisa de permissão para executar a seguinte ação:

  • organizations:CreatePolicy

AWS Management Console

Você pode criar uma política de aplicativos de AWS Management Console bate-papo de duas maneiras:

  • Um editor visual que permite escolher opções e gera o texto da política JSON para você.

  • Um editor de texto que permite que você mesmo crie diretamente o texto da política JSON.

O editor visual facilita o processo, mas limita sua flexibilidade. É uma ótima maneira de criar suas primeiras políticas e se sentir confortável ao usá-las. Depois de entender como elas funcionam e de começar a ser limitado pelo que o editor visual fornece, você poderá adicionar recursos avançados às suas políticas editando você mesmo o texto da política JSON. O editor visual usa apenas o operador de definição de valor @@assign e não fornece qualquer acesso aos operadores de controle subordinados. Você só pode adicioná-los se editar manualmente o texto de política JSON.

Para criar uma política de aplicativos de bate-papo

  1. Faça login no console do AWS Organizations. Você deve fazer login como um usuário do IAM, assumir uma função do IAM ou fazer login como usuário-raiz (não recomendado) na conta de gerenciamento da organização.

  2. Na página Chatbot policies, escolha Create policy.

  3. Na página de política Criar novos aplicativos de bate-papo, insira o nome da política e uma descrição opcional da política.

  4. (Opcional) você pode adicionar uma ou mais tags escolhendo Add tag (Adicionar tag) e inserindo uma chave e um valor opcional. Se deixar o valor em branco, ele é definido como uma sequência vazia, não null. É possível anexar até 50 tags a uma política. Para obter mais informações, consulte Recursos de marcação AWS Organizations.

  5. Você pode criar a política usando o Editor Visual, conforme descrito neste procedimento. Você também pode inserir ou colar texto de política na guia JSON . Para obter informações sobre a sintaxe da política de aplicativos de bate-papo, consulteSintaxe e exemplos de políticas de aplicativos de bate-papo.

    Se você optar por usar o editor visual, configure sua política de aplicativos de bate-papo especificando controles de acesso para clientes de bate-papo.

    1. Escolha uma das seguintes opções para Set Amazon Chime chat client access

      • Negar o acesso ao Chime.

      • Permitir o acesso ao Chime.

    2. Escolha uma das seguintes opções para Set Microsoft Teams chat client access

      • Negar acesso a tudo do Teams

      • Permitir acesso a tudo do Teams

      • Restringir acesso a Teams específicos

    3. Escolha uma das seguintes opções para Set Slack chat client access

      • Negar acesso a todos os espaços de trabalho do Slack

      • Permitir acesso a todos os espaços de trabalho do Slack

      • Restringir acesso a espaços de trabalho do Slack específicos

      nota

      Além disso, você pode selecionar Limitar o uso de aplicativos de bate-papo do Amazon Q Developer somente a canais privados do Slack.

    4. Selecione as seguintes opções para Set IAM permissions types

      • Enable Channel level IAM role: todos os membros do canal compartilham as permissões do perfil do IAM para executar tarefas em um canal. Um perfil de canal será apropriado se os membros do canal precisarem das mesmas permissões.

      • Enable User level IAM role: os membros do canal devem escolher um perfil de usuário do IAM para realizar ações (requer acesso ao console para escolher os perfis). Perfis de usuário serão apropriados se os membros do canal precisarem de permissões diferentes e puderem escolher seus perfis de usuário.

  6. Quando terminar de criar sua política, escolha Create policy (Criar política). A política aparecerá na lista de políticas de backup de chatbot.

AWS CLI & AWS SDKs
Para criar uma política de aplicativos de bate-papo

Você pode usar uma das opções a seguir para criar uma política de aplicativos de bate-papo:

  • AWS CLI: create-policy

    Você pode usar qualquer editor de texto para criar uma política de aplicativos de bate-papo. Use a sintaxe JSON e salve a política de aplicativos de bate-papo como um arquivo com qualquer nome e extensão em um local de sua escolha. As políticas de aplicativos de bate-papo podem ter no máximo? caracteres, incluindo espaços. Para obter informações sobre sintaxe de política de tag, consulte Sintaxe e exemplos de políticas de aplicativos de bate-papo.

    Para criar uma política de aplicativos de bate-papo

    1. Crie uma política de aplicativos de bate-papo em um arquivo de texto semelhante ao seguinte:

      Conteúdo de testpolicy.json:

      {
   "chatbot": {
      "platforms": {
         "slack": {
            "client": {
               "@@assign": "enabled"
            },
            "workspaces": {
               "@@assign": [
                  "Slack-Workspace-Id"
               ]
            },
            "default": {
               "supported_channel_types": {
                  "@@assign": [
                     "private"
                  ]
               }
            }
         },
         "microsoft_teams": {
            "client": {
               "@@assign": "disabled"
            }
         }
      }
   }
}

      Essa política de aplicativos de bate-papo permite apenas canais privados do Slack em um espaço de trabalho específico, desativa o Microsoft Teams e oferece suporte a todas as configurações de função.

    2. Crie uma política que contenha o conteúdo da política do arquivo. O espaço em branco extra na saída foi truncado para facilitar a leitura.

      $ aws organizations create-policy \
    --name "MyTestChatbotPolicy" \
    --description "My Test policy" \
    --content file://testpolicy.json \
    --type CHATBOT_POLICY
{
    "Policy": {
        "PolicySummary": {
            "Id": "p-a1b2c3d4e5",
            "Arn": "arn:aws:organizations::123456789012:policy/o-aa111bb222/chatbot_policy/p-a1b2c3d4e5",
            "Name": "MyTestChatApplicationsPolicy",
            "Description": "My Test policy",
            "Type": "CHATBOT_POLICY",
            "AwsManaged": false
        },
        "Content": "{"chatbot":{"platforms":{"slack":{"client":{"@@assign":"enabled"},"workspaces":{"@@assign":["Slack-Workspace-Id"]},"supported_channel_types":{"@@assign":["private"]}},"microsoft_teams":{"client":{"@@assign":"disabled"}}}}}"
    }
}

  • AWS SDKs: CreatePolicy

Criar uma política de recusa de serviços de IA

Permissões mínimas

Para criar uma política de exclusão dos serviços de IA, você precisa de permissão para executar a seguinte ação:

  • organizations:CreatePolicy

AWS Management Console
Para criar uma política de exclusão dos serviços de IA

  1. Faça login no console do AWS Organizations. Você deve fazer login como um usuário do IAM, assumir uma função do IAM ou fazer login como usuário-raiz (não recomendado) na conta de gerenciamento da organização.

  2. Na página AI services opt-out policies (Políticas de exclusão dos serviços de IA), escolha Create policy (Criar política).

  3. Na página Create new AI services opt-out policy (Criar nova política de exclusão dos serviços de IA), insira um nome da política e uma descrição da política, opcional.

  4. (Opcional) você pode adicionar uma ou mais tags escolhendo Add tag (Adicionar tag) e inserindo uma chave e um valor opcional. Se deixar o valor em branco, ele é definido como uma sequência vazia, não null. É possível anexar até 50 tags a uma política. Para obter mais informações, consulte Recursos de marcação AWS Organizations.

  5. Insira ou cole o texto da política na guia JSON. Para obter informações sobre a sintaxe das políticas de exclusão dos serviços de IA, consulte Sintaxe e exemplos de política de exclusão dos serviços de IA. Para obter exemplos de política que você pode usar como ponto de partida, consulte Exemplos de política de exclusão dos serviços de IA.

  6. Quando terminar de editar sua política, escolha Create policy (Criar política) no canto inferior direito da página.

AWS CLI & AWS SDKs
Para criar uma política de exclusão dos serviços de IA

Você pode usar um dos seguintes procedimentos para criar uma política de tags:

  • AWS CLI: create-policy

    1. Crie uma política de exclusão dos serviços de IA como a seguinte e armazene-a em um arquivo de texto. Observe que "optOut" e "optIn" diferenciam entre maiúsculas e minúsculas.

      {
    "services": {
        "default": {
            "opt_out_policy": {
                "@@assign": "optOut"
            }
        },
        "rekognition": {
            "opt_out_policy": {
                "@@assign": "optIn"
            }
        }
    }
}

      Esta política de exclusão dos serviços de IA especifica que todas as contas afetadas pela política sejam excluídas de todos os serviços de IA, exceto o Amazon Rekognition.

    2. Importe o arquivo de política JSON para criar uma nova política na organização. Neste exemplo, o arquivo JSON anterior foi chamado de policy.json.

      $ aws organizations create-policy \
    --type AISERVICES_OPT_OUT_POLICY \
    --name "MyTestPolicy" \
    --description "My test policy" \
    --content file://policy.json
{
    "Policy": {
        "Content": "{\"services\":{\"default\":{\"opt_out_policy\":{\"@@assign\":\"optOut\"}},\"rekognition\":{\"opt_out_policy\":{\"@@assign\":\"optIn\"}}}}",
        "PolicySummary": {
            "Id": "p-i9j8k7l6m5"
            "Arn": "arn:aws:organizations::o-aa111bb222:policy/aiservices_opt_out_policy/p-i9j8k7l6m5",
            "Description": "My test policy",
            "Name": "MyTestPolicy",
            "Type": "AISERVICES_OPT_OUT_POLICY"
        }
    }
}

  • AWS SDKs: CreatePolicy