Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Políticas declarativas
Las políticas declarativas le permiten declarar y aplicar de forma centralizada la configuración que desee para una determinada escala Servicio de AWS en toda la organización. Una vez conectada, la configuración siempre se mantiene cuando el servicio agrega nuevas funciones o APIs. Utilice las políticas declarativas para evitar acciones que no son compatibles. Por ejemplo, puede bloquear el acceso público a Internet a los recursos de Amazon VPC en su organización.
Las principales ventajas de utilizar las políticas declarativas son las siguientes:
-
Facilidad de uso: puede aplicar la configuración básica para una Servicio de AWS con unas cuantas selecciones en las AWS Control Tower consolas AWS Organizations y o con unos pocos comandos mediante la tecla AWS CLI & AWS SDKs.
-
Configúrelo una vez y olvídese: la configuración básica de an siempre Servicio de AWS se mantiene, incluso cuando el servicio introduce nuevas funciones o APIs. La configuración básica también se mantiene cuando se agregan nuevas cuentas a una organización o cuando se crean nuevas entidades principales y recursos.
-
Transparencia: el informe de estado de la cuenta permite revisar el estado actual de todos los atributos compatibles con las políticas declarativas de las cuentas incluidas en el ámbito de aplicación. Además, puede crear mensajes de error personalizables, que pueden ayudar a los administradores a redirigir a los usuarios finales a las páginas wiki internas o proporcionar un mensaje descriptivo que ayude a los usuarios finales a entender por qué se ha producido un error en una acción.
Para obtener una lista completa de los atributos Servicios de AWS y los compatibles, consulteServicios de AWS y atributos compatibles.
Temas
Funcionamiento de las políticas declarativas
Las políticas declarativas se aplican en el plano de control del servicio, lo que constituye una diferencia importante de las políticas de autorización, como las políticas de control del servicio (SCPs) y las políticas de control de recursos (RCPs). Si bien las políticas de autorización regulan el acceso APIs, las políticas declarativas se aplican directamente a nivel del servicio para garantizar una intención duradera. Esto garantiza que la configuración básica se aplique siempre, incluso cuando el servicio introduzca nuevas funciones o APIs cuando el servicio introduzca nuevas funciones.
La siguiente tabla ayuda a ilustrar esta distinción e indica algunos casos de uso.
| Políticas de control de servicios | Políticas de control de recursos | Políticas declarativas | |
|---|---|---|---|
| ¿Por qué? |
Para definir y aplicar de forma centralizada los controles de acceso coherentes para las entidades principales (como los usuarios de IAM y los roles de IAM) a gran escala. |
Para definir y aplicar de forma centralizada los controles de acceso coherentes a los recursos a gran escala |
Para definir y aplicar de forma centralizada la configuración básica de los servicios de AWS a gran escala. |
| ¿Cómo? |
Al controlar los permisos de acceso máximos disponibles de las entidades principales a nivel de API. |
Al controlar los permisos de acceso máximos disponibles para los recursos a nivel de API. |
Aplicando la configuración deseada Servicio de AWS sin utilizar acciones de la API. |
| ¿Controla los roles vinculados a servicios? | No | No | Sí |
| Mecanismo de respuesta | Error SCP de acceso denegado no personalizable. | Error RCP de acceso denegado no personalizable. | Mensaje de error personalizable. Para obtener más información, consulte Mensajes de error personalizados para las políticas declarativas. |
| Ejemplo de política de | Denegar acceso a AWS en función de la Región de AWS solicitada | Restringir el acceso solo a las conexiones HTTPS a sus recursos | Configuración de imágenes permitida |
Una vez que haya creado y asociado una política declarativa, se aplicará en la organización. Las políticas declarativas se pueden aplicar a toda la organización, a las unidades organizativas (OUs) o a las cuentas. Las cuentas que se unan a una organización heredarán automáticamente la política declarativa de la organización. Para obtener más información, consulte Descripción de la herencia de políticas de administración.
La política efectiva es el conjunto de reglas que se heredan de la raíz de la organización y OUs junto con las que se asocian directamente a la cuenta. La política en vigor especifica el conjunto de reglas final que se aplican a la cuenta. Para obtener más información, consulte Visualización de políticas de administración en vigor.
Si se desvincula una política declarativa, el estado del atributo volverá a su estado anterior antes de que se asocie la política declarativa.
Mensajes de error personalizados para las políticas declarativas
Las políticas declarativas permiten crear mensajes de error personalizados. Por ejemplo, si una operación de la API falla debido a una política declarativa, puede configurar el mensaje de error o proporcionar una URL personalizada, como, por ejemplo, un enlace a un wiki interno o un enlace a un mensaje que describa el error. Si no especifica un mensaje de error personalizado, AWS Organizations proporciona el siguiente mensaje de error predeterminado:Example: This action is denied due to an organizational
policy in effect.
También puede auditar el proceso de creación de políticas declarativas, actualización de políticas declarativas y eliminación de políticas declarativas con. AWS CloudTrail CloudTrail puede señalar los errores de funcionamiento de la API debidos a políticas declarativas. Para obtener más información, consulte Registro y supervisión.
importante
No indique información de identificación personal (PII) ni ninguna otra información confidencial en un mensaje de error personalizado. La PII incluye información general que se puede utilizar para identificar o localizar a una persona. Abarca registros como los financieros, médicos, educativos o laborales. Los ejemplos de PII incluyen direcciones, números de cuentas bancarias y números de teléfono.
Informe de estado de la cuenta para las políticas declarativas
El informe de estado de la cuenta permite revisar el estado actual de todos los atributos compatibles con las políticas declarativas de las cuentas incluidas en el ámbito de aplicación. Puedes elegir las cuentas y las unidades organizativas (OUs) que deseas incluir en el ámbito del informe, o bien elegir una organización completa seleccionando la raíz.
Este informe permite evaluar el grado de preparación al brindar un desglose por regiones y al indicar si el estado actual de un atributo es uniforme en todas las cuentas (a través de numberOfMatchedAccounts) o incoherente (a través de numberOfUnmatchedAccounts). También puede consultar el valor más frecuente, el cual es el valor de configuración que se observa con más frecuencia para el atributo.
En la figura 1, hay un informe de estado de la cuenta generado, que muestra la uniformidad entre las cuentas para los siguientes atributos: el bloqueo de acceso público a la VPC y el bloqueo de acceso público de la imagen. Esto significa que, para cada atributo, todas las cuentas incluidas en el ámbito tienen la misma configuración para ese atributo.
El informe de estado de la cuenta generado muestra cuentas incoherentes para los siguientes atributos: configuración de imágenes permitidas, valores predeterminados de metadatos de instancia, acceso a la consola en serie y bloqueo de acceso público de las instantáneas. En este ejemplo, cada atributo con una cuenta incoherente se debe a que hay una cuenta con un valor de configuración diferente.
En caso de que haya un valor más frecuente, se mostrará en su columna correspondiente. Para obtener información más detallada sobre lo que controla cada atributo, consulte Sintaxis de políticas declarativas y ejemplos de políticas.
También es posible expandir un atributo para ver un desglose por región. En este ejemplo, se amplía el bloqueo de acceso público de la imagen y, en cada región, se puede ver que también hay uniformidad en todas las cuentas.
La opción de asociar una política declarativa para aplicar una configuración de referencia depende de su caso de uso específico. Utilice el informe de estado de la cuenta como ayuda para evaluar si tiene todo preparado antes de asociar una política declarativa.
Para obtener más información, consulte Generación del informe de estado de la cuenta.
Figura 1: ejemplo de informe de estado de cuenta con uniformidad en todas las cuentas para el bloqueo de acceso público a la VPC y el bloqueo de acceso público de la imagen.
Servicios de AWS y atributos compatibles
Atributos compatibles para las políticas declarativas de EC2
En la siguiente tabla se muestran los atributos compatibles con los servicios EC2 relacionados con Amazon.
| AWS servicio | Atributo | Efecto de la política | Contenidos de la política | Más información |
|---|---|---|---|---|
| Amazon VPC | Bloqueo de acceso público de la VPC | Controla si los recursos de Amazon VPCs y las subredes pueden llegar a Internet a través de las puertas de enlace de Internet ()IGWs. | Ver política | Para obtener más información, consulte Bloquear el acceso público VPCs y las subredes en la Guía del usuario de Amazon VPC. |
| Amazon EC2 | Acceso a la consola serie | Controla si se puede acceder a la consola de EC2 serie. | Ver política | Para obtener más información, consulte Configurar el acceso a la consola EC2 serie en la Guía del usuario de Amazon Elastic Compute Cloud. |
| Bloqueo de acceso público de la imagen | Controla si Amazon Machine Images (AMIs) se puede compartir públicamente. | Ver política | Para obtener más información, consulte Cómo bloquear el acceso público AMIs en la Guía del usuario de Amazon Elastic Compute Cloud. | |
| Configuración de imágenes permitida | Controla el descubrimiento y el uso de Amazon Machine Images (AMI) en Amazon EC2 con Allowed AMIs. | Ver política | Para obtener más información, consulte Amazon Machine Images (AMIs) en la Guía del usuario de Amazon Elastic Compute Cloud. | |
| Valores predeterminados de metadatos de instancia | Controla los valores predeterminados de IMDS para todos los lanzamientos de EC2 instancias nuevas. | Ver política | Para obtener más información, consulte Configuración de las opciones de metadatos para las instancias nuevas en la Guía del usuario de Amazon Elastic Compute Cloud. | |
| Amazon EBS | Bloqueo de acceso público de las instantáneas | Controla si las instantáneas de Amazon EBS son de acceso público. | Ver política | Para obtener más información, consulte Bloqueo de acceso público de las instantáneas de Amazon EBS en la Guía del usuario de Amazon Elastic Block Store. |
