Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Evaluación de RCP
nota
La información de esta sección no se aplica a los tipos de políticas de administración, incluidas las políticas de copia de seguridad, las políticas de etiquetas, las políticas de aplicaciones de chat o las políticas de exclusión de los servicios de IA. Para obtener más información, consulte Descripción de la herencia de políticas de administración.
Dado que puede asociar varias políticas de control de recursos (RCP) en diferentes niveles en AWS Organizations, comprender cómo se evalúan las RCP puede ayudar a redactar RCP que produzcan el resultado correcto.
Estrategias para utilizar RCP
La política RCPFullAWSAccess es una política administrada por AWS. Se asocia automáticamente a la raíz de la organización, a todas las unidades organizativas y a todas las cuentas de la organización cuando se habilitan las políticas de control de recursos (RCP). No se puede desvincular esta política. Esta RCP predeterminada permite que todas las entidades principales y acciones de acceso pasen por la evaluación de RCP, lo que significa que hasta que empiece a crear y asociar RCP, todos los permisos de IAM existentes seguirán funcionando como de costumbre. Esta política administrada por AWS no concede ningún acceso.
Puede utilizar las declaraciones Deny para bloquear el acceso a los recursos de su organización. Si se niega un recurso para una cuenta específica, cualquier RCP desde la raíz hasta cada unidad organizativa situada en la ruta directa a la cuenta (incluida la propia cuenta de destino) puede denegar ese permiso.
Las instrucciones Deny son una forma eficaz de implementar restricciones que deberían aplicarse a una parte más amplia de la organización. Por ejemplo, puede asociar una política para evitar que identidades externas a la organización accedan a la raíz de los recursos, que será efectiva para todas las cuentas de la organización. AWS recomienda encarecidamente que no asocie las RCP a la raíz de su organización sin comprobar el impacto que la política tiene en los recursos de sus cuentas. Para obtener más información, consulte Probando los efectos de RCPs.
En la figura 1, hay una RCP asociada a la OU de producción que tiene una instrucción Deny explícita especificada para un servicio determinado. Como resultado, se negará el acceso al servicio tanto a la cuenta A como a la cuenta B, ya que se evalúa una política de denegación aplicable a cualquier nivel de la organización para todas las unidades organizativas y cuentas de los miembros que dependen de ella.
Figura 1: Ejemplo de estructura organizativa con una instrucción Deny asociada en la OU de producción y su impacto en la cuenta A y B
