本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
繼承運算子
繼承運算子可控制繼承的政策和帳戶政策如何合併成為帳戶的有效政策。這些運算子包括值-設定運算子和子控制運算子。
當您在 AWS Organizations 主控台使用視覺化編輯器時,只能使用 @@assign 運算子。其他運算子視為進階功能。若要使用其他運算子,您必須手動撰寫 JSON 政策。經驗豐富的政策作者可以使用繼承運算子,控制哪些值套用至有效的政策,並限制子政策可以進行哪些變更。
值-設定運算子
您可以使用下列值-設定運算子來控制政策與其父政策的互動方式。
-
@@assign– 使用指定的設定覆寫任何繼承的政策設定。如果未繼承指定的設定,此運算子會將其新增至有效政策。此運算子可套用至任何類型的任何政策設定。-
對於單值設定,此運算子會以指定的值取代繼承的值。
-
對於多值設定 (JSON 陣列),此運算子會移除任何繼承的值,並取代為此政策指定的值。
-
-
@@append– 將指定的設定 (不刪除任何項目) 新增至繼承的設定。如果未繼承指定的設定,此運算子會將其新增至有效政策。此運算子只能與多值設定一起使用。-
此運算子會將指定的值新增至繼承陣列中的任何值。
-
-
@@remove– 從有效政策中移除指定的繼承設定 (如果存在)。此運算子只能與多值設定一起使用。-
此運算子會從繼承自父政策的值陣列中,只移除指定的值。其他值可以繼續存在於陣列中,而且可以由子政策繼承。
-
子控制運算子
可自行決定是否使用子控制運算子。您可以使用 @@operators_allowed_for_child_policies 運算子來控制子政策可以使用哪些值-設定運算子。您可以允許所有運算子、某些特定運算子或不允許運算子。根據預設,允許所有運算子 (@@all)。
-
"@@operators_allowed_for_child_policies":["@@all"]– 子 OU 和帳戶可以在政策中使用任何運算子。根據預設,子政策中允許所有運算子。 -
"@@operators_allowed_for_child_policies":["@@assign", "@@append", "@@remove"]– 子 OU 和帳戶在子政策中只能使用指定的運算子。您可以在此子控制運算子中指定一或多個值-設定運算子。 -
"@@operators_allowed_for_child_policies":["@@none"]– 子 OU 和帳戶在政策中無法使用運算子。您可以使用此運算子,有效封鎖父政策中定義的值,讓子政策無法新增、附加或移除這些值。
注意
如果繼承的子控制運算子禁止使用某個運算子,則您無法在子政策中反轉該規則。如果您將子控制運算子包含在父政策中,則會限制所有子政策中的值-設定運算子。
