Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich. # Effektive deklarative Richtlinien anzeigen Ermitteln Sie die effektive deklarative Richtlinie für ein Konto in Ihrer Organisation. ## Was ist eine effektive deklarative Richtlinie? Die *effektive Richtlinie* legt die endgültigen Regeln fest, die AWS-Konto für einen deklarativen Richtlinientyp gelten. Es ist die Zusammenfassung für eine deklarative Richtlinie, die das Konto erbt, plus alle Richtlinien für diesen deklarativen Richtlinientyp, die direkt mit dem Konto verknüpft sind. Wenn Sie eine deklarative Richtlinie an die Stammrichtlinie der Organisation anhängen, gilt diese für alle Konten in Ihrer Organisation. Wenn Sie einer Organisationseinheit (OU) eine deklarative Richtlinie zuordnen, gilt diese für alle Konten und Organisationseinheiten, die zu der Organisationseinheit gehören. Wenn Sie eine deklarative Richtlinie direkt an ein Konto anhängen, gilt sie nur für dieses Konto. AWS-Konto Weitere Informationen dazu, wie Richtlinien zu der endgültigen effektiven Richtlinie kombiniert werden, finden Sie unter [Grundlegendes zur deklarativen Richtlinienvererbung](orgs_manage_policies_inheritance_mgmt.md). **Beispiel für eine Backup-Richtlinie** Die dem Organisationsstamm beigefügte Backup-Richtlinie kann festlegen, dass alle Konten in der Organisation alle Amazon DynamoDB-Tabellen mit einer Standardsicherungshäufigkeit von einmal pro Woche sichern. Eine separate Backup-Richtlinie, die direkt an ein Mitgliedskonto mit wichtigen Informationen in einer Tabelle angefügt ist, kann die Häufigkeit mit einem Wert von einmal pro Tag überschreiben. Die Kombination dieser Backup-Richtlinien bildet die effektive Backup-Richtlinie. Diese effektive Backup-Richtlinie wird für jedes Konto in der Organisation individuell festgelegt. In diesem Beispiel ist das Ergebnis, dass alle Konten in der Organisation ihre DynamoDB-Tabellen einmal pro Woche sichern, mit Ausnahme eines Kontos, das seine Tabellen täglich sichert. **Beispiel für eine Tag-Richtlinie** Die dem Organisationsstamm zugeordnete Tag-Richtlinie könnte ein `CostCenter` Tag mit vier kompatiblen Werten definieren. Eine separate Tag-Richtlinie, die dem Konto zugeordnet ist, kann den `CostCenter`-Schlüssel auf nur zwei der vier kompatiblen Werte beschränken. Die Kombination dieser Tag-Richtlinien umfasst die effektive Tag-Richtlinie. Im Ergebnis sind nur zwei der vier konformen Tag-Werte des Kontos, die in der Tag-Richtlinie des Organisationsstamms definiert sind, konform. **Beispiel für eine Richtlinie für Chat-Anwendungen** Amazon Q Developer in Chat-Anwendungen bewertet alle zuvor erstellten Konfigurationen von Amazon Q Developer in Chat-Anwendungen anhand der geltenden Richtlinien für Chat-Anwendungen neu und lehnt alle zuvor erlaubten Aktionen ab, wenn sie mit den zulässigen Einstellungen und Leitplanken in der aktuellen Richtlinie übereinstimmen. Die geltenden Richtlinien für ein Mitgliedskonto definieren die zulässigen Einstellungen und Schutzmaßnahmen. Wenn beispielsweise auf ein Mitgliedskonto eine Richtlinie für Chat-Anwendungen angewendet wird, mit der der Zugriff auf öffentliche Slack-Kanäle verweigert wird, werden die bestehenden Konfigurationen von Amazon Q Developer in Chat-Anwendungen für öffentliche Slack-Kanäle im Mitgliedskonto deaktiviert. In Chat-Anwendungen von Amazon Q Developer werden keine Benachrichtigungen zugestellt und Kanalmitglieder können keine Aufgaben im blockierten Channel ausführen. Die Amazon Q Developer in der Chat-Anwendungskonsole markiert die betroffenen Kanäle als deaktiviert und zeigt eine entsprechende Fehlermeldung daneben an. **Beispiel für die Deaktivierung von KI-Diensten** In der Opt-Out-Richtlinie für KI-Dienste, die dem Stammverzeichnis der Organisation beigefügt ist, kann festgelegt werden, dass alle Konten in der Organisation die Nutzung von Inhalten durch alle Dienste für AWS maschinelles Lernen ablehnen. Eine separate KI-Services-Opt-out-Richtlinie, die direkt einem Mitgliedskonto zugeordnet ist, gibt an, dass es sich für die Inhaltsverwendung nur für Amazon Rekognition. Die Kombination dieser KI-Services-Opt-Out-Richtlinien umfasst die effektive KI-Services-Opt-Out-Richtlinie. Das Ergebnis ist, dass alle Konten in der Organisation von allen Konten abgemeldet werden AWS-Services, mit Ausnahme eines Kontos, das sich für Amazon Rekognition entscheidet. ## Wie kann ich die effektive deklarative Richtlinie einsehen Sie können die effektive Richtlinie eines deklarativen Richtlinientyps für ein Konto über die AWS API AWS-Managementkonsole, oder AWS Command Line Interface einsehen. **Mindestberechtigungen** Um die effektive Richtlinie eines deklarativen Richtlinientyps für ein Konto anzeigen zu können, müssen Sie berechtigt sein, die folgenden Aktionen auszuführen: `organizations:DescribeEffectivePolicy` `organizations:DescribeOrganization` – nur erforderlich, wenn Sie die Organizations-Konsole verwenden ------ #### [ AWS-Managementkonsole ] **Um die effektive Richtlinie eines deklarativen Richtlinientyps für ein Konto anzuzeigen** 1. Melden Sie sich bei der [AWS Organizations -Konsole](https://console.aws.amazon.com/organizations/v2) an. Sie müssen sich im Verwaltungskonto der Organisation als IAM-Benutzer anmelden, eine IAM-Rolle annehmen oder als Root-Benutzer anmelden ([nicht empfohlen](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials)). 1. Wählen Sie auf der **[AWS-Konten](https://console.aws.amazon.com/organizations/v2/home/accounts)**Seite den Namen des Kontos aus, für das Sie die geltende Richtlinie anzeigen möchten. Möglicherweise müssen Sie Organisationseinheiten erweitern (wählen Sie die Option ![Gray cloud icon representing cloud computing or storage services.](http://docs.aws.amazon.com/de_de/organizations/latest/userguide/images/console-expand.png)), um das gewünschte Konto zu finden. 1. Wählen Sie auf der Registerkarte **Richtlinien** den deklarativen Richtlinientyp aus, für den Sie die gültige Richtlinie anzeigen möchten. 1. Wählen Sie **dazu AWS-Konto die Option Gültige Richtlinie anzeigen** aus. Die Konsole zeigt die effektive Richtlinie an, die auf das angegebene Konto angewendet wird. **Anmerkung** Sie können eine wirksame Richtlinie nicht kopieren und einfügen und sie ohne wesentliche Änderungen als JSON für eine andere Richtlinie verwenden. Richtliniendokumente müssen die [Vererbungsoperatoren](policy-operators.md) enthalten, die angeben, wie die einzelnen Einstellungen in der endgültigen effektiven Richtlinie zusammengeführt werden. ------ #### [ AWS CLI & AWS SDKs ] **Um die effektiven Richtlinien eines deklarativen Policentyps für ein Konto einzusehen** Sie können eine der folgenden Optionen verwenden, um die geltende Richtlinie einzusehen: + AWS CLI: [describe-effective-policy](https://docs.aws.amazon.com/cli/latest/reference/organizations/describe-effective-policy.html) Das folgende Beispiel zeigt die effektive KI-Services-Opt-Out-Richtlinie für ein Konto. ``` $ aws organizations describe-effective-policy \ --policy-type AISERVICES_OPT_OUT_POLICY \ --target-id 123456789012 { "EffectivePolicy": { "PolicyContent": "{\"services\":{\"comprehend\":{\"opt_out_policy\":\"optOut\"}, ....TRUNCATED FOR BREVITY.... "opt_out_policy\":\"optIn\"}}}", "LastUpdatedTimestamp": "2020-12-09T12:58:53.548000-08:00", "TargetId": "123456789012", "PolicyType": "AISERVICES_OPT_OUT_POLICY" } } ``` + AWS SDKs: [DescribeEffectivePolicy](https://docs.aws.amazon.com/organizations/latest/APIReference/API_DescribeEffectivePolicy.html) ------ Informationen zu Situationen, in denen eine gültige Richtlinie ungültig werden könnte, finden Sie unter [Warnmeldungen zu ungültigen Richtlinien anzeigen](https://docs.aws.amazon.com//organizations/latest/userguide/invalid-policy-alerts.html).