View a markdown version of this page

Visualización de políticas declarativas efectivas - AWS Organizations
>¿Qué es una política en vigor?Cómo ver la política en vigor

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Visualización de políticas declarativas efectivas

Determine la política declarativa efectiva para una cuenta de su organización.

¿Qué es una política declarativa efectiva?

La política efectiva especifica las reglas finales que se aplican a un Cuenta de AWS tipo de política declarativa. Es la agregación de una política declarativa que hereda la cuenta, más cualquier política de ese tipo de política declarativa que esté directamente asociada a la cuenta. Al adjuntar una política declarativa a la raíz de la organización, se aplica a todas las cuentas de la organización. Cuando adjuntas una política declarativa a una unidad organizativa (OU), se aplica a todas las cuentas y unidades organizativas que pertenecen a la OU. Cuando adjuntas una política declarativa directamente a una cuenta, solo se aplica a esa cuenta. Cuenta de AWS

Para obtener información acerca de cómo se combinan las políticas en la política en vigor final, consulte Comprensión de la herencia de políticas declarativas.

Ejemplos de políticas de copia de seguridad

La política de copia de seguridad asociada al nodo raíz de la organización puede especificar que todas las cuentas de la organización hagan una copia de seguridad de todas las tablas de Amazon DynamoDB con una frecuencia de copia de seguridad predeterminada de una vez por semana. Una política de copia de seguridad independiente asociada directamente a una cuenta de miembro con información fundamental en una tabla puede anular la frecuencia con un valor de una vez al día. La combinación de estas políticas de copia de seguridad compone la política de copia de seguridad en vigor. Esta política de copia de seguridad en vigor se determina de forma individual para cada cuenta de la organización. En este ejemplo, el resultado es que todas las cuentas de la organización realizan una copia de seguridad de sus tablas de DynamoDB una vez a la semana, excepto una cuenta que realiza una copia de seguridad de sus tablas diariamente.

Ejemplos de políticas de etiquetas

La política de etiquetas asociada al nodo raíz de la organización puede definir una etiqueta CostCenter con cuatro valores compatibles. Una política de etiquetas diferente asociada a la cuenta puede restringir la clave CostCenter a solo dos de los cuatro valores compatibles. La combinación de estas políticas de etiquetas comprende la política de etiquetas en vigor. El resultado es que solo dos de los cuatro valores de etiqueta compatibles definidos en la política de etiquetas de la raíz de la organización son compatibles con la cuenta.

Ejemplo de política de aplicaciones de chat

Amazon Q Developer en aplicaciones de chat reevaluará cualquier configuración creada anteriormente en función de las políticas de aplicaciones de chat efectivas y denegará cualquier acción previamente permitida si es coherente con la configuración permitida y las restricciones de la política en vigor. La política en vigor para una cuenta de miembro define las barreras de protección y los ajustes permitidos. Por ejemplo, si se aplica a la cuenta de miembro una política de aplicaciones de chat que deniega el acceso a los canales públicos de Slack, se deshabilitarán las configuraciones de Amazon Q Developer en aplicaciones de chat existentes para los canales públicos de Slack en la cuenta de miembro. Amazon Q Developer en aplicaciones de chat no entregará notificaciones y los miembros del canal no podrán poner en marcha ninguna tarea en el canal bloqueado. La consola de Amazon Q Developer en aplicaciones de chat marcará los canales afectados como deshabilitados con el mensaje de error correspondiente junto a ellos.

Ejemplo de exclusión de servicios de IA

La política de exclusión de los servicios de IA adjunta a la raíz de la organización puede especificar que todas las cuentas de la organización excluyan el uso del contenido por parte de todos los servicios de aprendizaje AWS automático. Una política de exclusión de servicios de IA independiente adjunta directamente a una cuenta de miembro especifica que opta por el uso de contenido solo para Amazon Rekognition. La combinación de estas políticas de exclusión de servicios de IA incluye la política de exclusión efectiva de servicios de IA. El resultado es que todas las cuentas de la organización quedan excluidas de todas Servicios de AWS, con la excepción de una cuenta que acepta Amazon Rekognition.

¿Cómo ver la política declarativa efectiva

Puedes ver la política vigente de un tipo de política declarativa para una cuenta desde la Consola de administración de AWS AWS API o. AWS Command Line Interface

Permisos mínimos

Para ver la política vigente de un tipo de política declarativa para una cuenta, debes tener permiso para ejecutar las siguientes acciones:

  • organizations:DescribeEffectivePolicy

  • organizations:DescribeOrganization: solo se requiere cuando se utiliza la consola de Organizations

Consola de administración de AWS
Para ver la política vigente de un tipo de política declarativa para una cuenta

  1. Inicie sesión en la consola de AWS Organizations. Debe iniciar sesión como usuario de IAM, asumir un rol de IAM; o iniciar sesión como usuario raíz (no se recomienda) en la cuenta de administración de la organización.

  2. En la página Cuentas de AWS, elija el nombre de la cuenta para la que desea ver la política en vigor. Es posible que tenga que expandir las unidades organizativas (elija la opción Gray cloud icon representing cloud computing or storage services. ) para encontrar la cuenta que desea.

  3. En la pestaña Políticas, elija el tipo de política declarativa para el que desea ver la política vigente.

  4. Seleccione Ver la política en vigor de esta Cuenta de AWS.

    La consola muestra la política efectiva aplicada a la cuenta especificada.

    nota

    No puede copiar y pegar una política en vigor y usarla como JSON para otra política sin cambios significativos. Los documentos de la política deben incluir los operadores de herencia que especifican cómo se fusiona cada configuración en la política en vigor final.

AWS CLI & AWS SDKs
Para ver la política vigente de un tipo de política declarativa para una cuenta

Puede utilizar una de las siguientes opciones para ver la política en vigor:

  • AWS CLI: describe-effective-policy

    En el siguiente ejemplo se muestra la política de exclusión efectiva de servicios de IA para una cuenta.

    $ aws organizations describe-effective-policy \
    --policy-type AISERVICES_OPT_OUT_POLICY \
    --target-id 123456789012
{
    "EffectivePolicy": {
        "PolicyContent": "{\"services\":{\"comprehend\":{\"opt_out_policy\":\"optOut\"},   ....TRUNCATED FOR BREVITY....   "opt_out_policy\":\"optIn\"}}}",
        "LastUpdatedTimestamp": "2020-12-09T12:58:53.548000-08:00",
        "TargetId": "123456789012",
        "PolicyType": "AISERVICES_OPT_OUT_POLICY"
    }
}

  • AWS SDK: DescribeEffectivePolicy

Para obtener información sobre situaciones en las que una política en vigor podría dejar de ser válida, consulte Visualización de alertas de políticas no válidas.