本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
中的声明性政策 Amazon Organizations
声明式策略使您能够集中配置 Amazon Web Services 服务 和管理其功能。这些政策如何影响 OU 和继承它们的账户取决于您应用的声明性策略的类型。 Amazon Organizations查看本节的主题,了解有关声明性政策的相关术语和概念。
声明式策略允许您在整个组织中大规模地集中声明和强制执行所需的配置。 Amazon Web Services 服务 一旦附加后,即使服务添加了新功能或 API,该配置都将始终保持不变。使用声明性策略来防止不合规操作。例如,您可以屏蔽整个组织中对 Amazon VPC 资源的公共互联网访问权限。
使用声明性策略的主要优势在于:
-
易用性:您可以通过 Amazon Organizations 和 Amazon Control Tower 控制台中的几个选项或 Amazon Web Services 服务 使用 Amazon CLI & Amazon SDK 使用几个命令来强制执行基准配置。
-
设置一次就算了:即使服务引入了 Amazon Web Services 服务 新功能或 API,其基准配置也始终保持不变。当向组织添加新账户或创建新的主体和资源时,也会保持基准配置。
-
透明度:账户状态报告允许您查看范围内账户的声明性策略支持的所有属性的当前状态。您还可以创建可自定义的错误消息,这可以帮助管理员将终端用户重定向到内部 Wiki 页面,或者提供描述性消息,帮助终端用户了解操作失败的原因。
声明性策略的工作原理
将会在服务的控制面板中强制执行声明性策略,这与服务控制策略(SCP)和资源控制策略(RCP)等授权策略有着重要区别。授权策略规范了对 API 的访问,而声明性策略则直接应用于服务级别,以强制实现持久意图。这样可以确保始终强制执行基准配置,即便服务引入了新功能或 API 也是如此。
下表有助于说明这种区别,表中还提供了一些使用案例。
| 服务控制策略 | 资源控制策略 | 声明式策略 | |
|---|---|---|---|
| 为什么? |
集中定义并大规模强制执行对主体(例如 IAM 用户和 IAM 角色)的一致访问控制。 |
集中定义并大规模强制执行对资源的一致访问控制 |
集中定义并大规模强制执行 Amazon 服务的基准配置。 |
| 操作方法 |
在 API 级别控制主体的最大可用访问权限。 |
在 API 级别控制资源的最大可用访问权限。 |
通过在 Amazon Web Services 服务 不使用 API 操作的情况下强制执行所需的配置。 |
| 是否管理服务关联角色? | 否 | 否 | 是 |
| 策略示例 | 拒绝成员账户退出组织 |
限制仅通过 HTTPS 连接访问您的资源 |
允许的映像设置 |
在您创建并附加声明性策略后,将在整个组织中应用和强制执行该策略。声明性策略可应用于整个组织、组织单元(OU)或账户。加入组织的账户将自动继承组织中的声明性策略。有关更多信息,请参阅 了解声明式策略继承。
有效策略 是从组织根和 OU 继承的规则以及直接附加到账户的规则的集合。有效策略指定适用于账户的最终规则集。有关更多信息,请参阅 查看有效的声明性政策。
如果分离了声明性策略,则属性状态将回滚到附加该声明性策略之前的状态。