Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Évaluation du RCP
Note
Les informations contenues dans cette section ne s'appliquent pas aux types de politiques déclaratives, y compris les politiques de sauvegarde, les politiques de balises, les politiques relatives aux applications de chat ou les politiques de désinscription des services d'intelligence artificielle. Pour de plus amples informations, veuillez consulter Comprendre l'héritage des politiques déclaratives.
Comme vous pouvez associer plusieurs politiques de contrôle des ressources (RCP) à différents niveaux AWS Organizations, comprendre comment les RCP sont évaluées peut vous aider à rédiger des RCP qui donnent les bons résultats.
Stratégie d'utilisation des RCP
La RCPFullAWSAccess politique est une politique AWS gérée. Il est automatiquement attaché à la racine de l'organisation, à chaque unité d'organisation et à chaque compte de votre organisation lorsque vous activez les politiques de contrôle des ressources (RCP). Vous ne pouvez pas dissocier cette politique. Ce RCP par défaut permet à tous les principaux et à toutes les actions de passer par une évaluation RCP, ce qui signifie que tant que vous ne commencez pas à créer et à attacher des RCP, toutes vos autorisations IAM existantes continuent de fonctionner comme elles le faisaient. Cette politique AWS gérée n'accorde pas d'accès.
Vous pouvez utiliser des Deny instructions pour bloquer l'accès aux ressources de votre organisation. Lorsqu'une autorisation est refusée pour une ressource d'un compte spécifique, tout RCP depuis la racine via chaque unité d'organisation située sur le chemin direct vers le compte (y compris le compte cible lui-même) peut refuser cette autorisation.
Denyles déclarations constituent un moyen efficace de mettre en œuvre des restrictions qui devraient s'appliquer à une plus grande partie de votre organisation. Par exemple, vous pouvez joindre une politique pour empêcher les identités externes à votre organisation d'accéder au niveau racine de vos ressources. Cette politique sera effective pour tous les comptes de l'organisation. AWS vous recommande vivement de ne pas associer de RCP à la racine de votre organisation sans avoir testé de manière approfondie l'impact de la politique sur les ressources de vos comptes. Pour de plus amples informations, veuillez consulter Tester les effets de RCPs.
Dans la figure 1, un RCP rattaché à l'unité d'organisation de production possède une Deny instruction explicite spécifiée pour un service donné. Par conséquent, le compte A et le compte B se verront refuser l'accès au service, car une politique de refus attachée à tous les niveaux de l'organisation est évaluée pour toutes les UO et tous les comptes membres sous-jacents.
Figure 1 : Exemple de structure organisationnelle avec une Deny déclaration jointe à l'unité de production et son impact sur le compte A et le compte B
