

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

# Avaliação da RCP
<a name="orgs_manage_policies_rcps_evaluation"></a>

**nota**  
As informações nesta seção ***não*** se aplicam aos tipos de políticas declarativas, incluindo políticas de backup, políticas de tags, políticas de aplicativos de bate-papo ou políticas de exclusão de serviços de IA. Para obter mais informações, consulte [Entendendo a herança declarativa de políticas](orgs_manage_policies_inheritance_mgmt.md).

Como você pode anexar diversas políticas de controle de recursos (RCPs) em diferentes níveis no AWS Organizations, entender como as RCPs são avaliadas pode ajudá-lo a escrever RCPs que produzam o resultado correto.

## Estratégias de uso de RCPs
<a name="how_rcps_deny"></a>

A `RCPFullAWSAccess` política é uma política AWS gerenciada. Ela é anexada automaticamente à raiz da organização, a cada UO e a cada conta em sua organização, quando você habilita políticas de controle de recursos (RCPs). Você não pode desanexar essa política. Essa RCP padrão permite que o acesso de todas as entidades principais e ações passe pela avaliação da RCP, ou seja, até que você comece a criar e anexar RCPs, todas as permissões do IAM existentes continuarão a operar como sempre. Essa política AWS gerenciada não concede acesso.

Você pode usar declarações `Deny` para bloquear o acesso aos recursos em sua organização. Para que uma permissão seja **negada** para u recurso em uma conta específica, **qualquer SCP** da raiz até cada UO no caminho direto para a conta (incluindo a própria conta de destino) pode negar essa permissão.

As declarações `Deny` são uma forma poderosa de implementar restrições que devem ser verdadeiras para uma parte mais ampla da sua organização. Por exemplo, você pode anexar uma política para ajudar a impedir que identidades externas à sua organização acessem seu nível raiz de recursos, que será efetiva para todas as contas da organização. A AWS recomenda enfaticamente que você não anexe RCPs à raiz de sua organização sem testar totalmente o impacto que a política terá nos recursos de suas contas. Para obter mais informações, consulte [Testagem dos efeitos das RCPs](orgs_manage_policies_rcps.md#rcp-warning-testing-effect).

Na Figura 1, há uma RCP anexada à UO de Produção que tem uma declaração `Deny` explícita especificada para um determinado serviço. Como resultado, tanto a Conta A quanto a Conta B terão acesso negado ao serviço, pois uma política de negação vinculada a qualquer nível da organização é avaliada para todas as UOs e contas de membros abaixo dela.

![Exemplo de estrutura organizacional com uma declaração Negar anexada na UO de Produção e seu impacto na Conta A e Conta B](http://docs.aws.amazon.com/pt_br/organizations/latest/userguide/images/rcp_deny_1.png)


*Figura 1: exemplo de estrutura organizacional com uma declaração `Deny` anexada na UO de Produção e seu impacto na Conta A e na Conta B*