As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Avaliação da RCP
nota
As informações nesta seção não se aplicam a tipos de política de gerenciamento, incluindo políticas de exclusão de serviços de IA, políticas de backup, políticas de tag ou políticas de aplicativos de chat. Para obter mais informações, consulte Entendendo a herança da política de gerenciamento.
Como você pode anexar diversas políticas de controle de recursos (RCPs) em diferentes níveis no AWS Organizations, entender como as RCPs são avaliadas pode ajudá-lo a escrever RCPs que produzam o resultado correto.
Estratégias de uso de RCPs
A política RCPFullAWSAccess é uma política gerenciada da AWS. Ela é anexada automaticamente à raiz da organização, a cada UO e a cada conta em sua organização, quando você habilita políticas de controle de recursos (RCPs). Você não pode desanexar essa política. Essa RCP padrão permite que o acesso de todas as entidades principais e ações passe pela avaliação da RCP, ou seja, até que você comece a criar e anexar RCPs, todas as permissões do IAM existentes continuarão a operar como sempre. A política gerenciada AWS não concede nenhum acesso.
Você pode usar declarações Deny para bloquear o acesso aos recursos em sua organização. Para que uma permissão seja negada para u recurso em uma conta específica, qualquer SCP da raiz até cada UO no caminho direto para a conta (incluindo a própria conta de destino) pode negar essa permissão.
As declarações Deny são uma forma poderosa de implementar restrições que devem ser verdadeiras para uma parte mais ampla da sua organização. Por exemplo, você pode anexar uma política para ajudar a impedir que identidades externas à sua organização acessem seu nível raiz de recursos, que será efetiva para todas as contas da organização. A AWS recomenda enfaticamente que você não anexe RCPs à raiz de sua organização sem testar totalmente o impacto que a política terá nos recursos de suas contas. Para obter mais informações, consulte Testando os efeitos do RCPs.
Na Figura 1, há uma RCP anexada à UO de Produção que tem uma declaração Deny explícita especificada para um determinado serviço. Como resultado, tanto a Conta A quanto a Conta B terão acesso negado ao serviço, pois uma política de negação vinculada a qualquer nível da organização é avaliada para todas as UOs e contas de membros abaixo dela.
Figura 1: exemplo de estrutura organizacional com uma declaração Deny anexada na UO de Produção e seu impacto na Conta A e na Conta B
