附加和分离标签策略 - Amazon Organizations
分离标签策略
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

附加和分离标签策略

您可以在整个组织以及组织单元 (OU) 和单独账户上使用标签策略。

  • 将标签策略附加到组织根 时,标签策略将应用于该根的所有成员 OU 和账户。

  • 当您将标签策略附加到某个 OU 时,该标签策略将应用到属于该 OU 的账户。这些账户还受附加到组织根的所有标签策略的约束。

  • 当您将标签策略附加到某个账户 时,该标签策略将应用到账户。此外,该账户受附加到组织根的任何标签策略的约束,并且 受附加到该账户所属 OU 的任何标签策略的约束。

账户继承的任何标签策略以及直接附加到账户的任何标签策略的聚合称为有效标签策略。有关更多信息,请参阅了解管理策略继承

重要

未标记的资源不会在结果中显示为不合规。

最小权限

要附加标签策略,您必须具有运行以下操作的权限:

  • organizations:AttachPolicy

Amazon Web Services Management Console

您可以导航到要附加策略的根、OU 或账户,为其附加标签策略。

通过导航到根、OU 或账户来附加标签策略

  1. 登录到 Amazon Organizations 控制台。您必须以 IAM 用户的身份登录,担任 IAM 角色;或在组织的管理账户中以根用户的身份登录(不推荐)。

  2. Amazon Web Services 账户页面上,导航到要将策略附加到的根、OU 或账户的相应名称并选择其名称。您可能需要展开 OU(选择 )以查找所需的 OU 或账户。

  3. Policies (策略) 选项卡上的 Tag policies (标签策略) 中,选择 Attach (附加)

  4. 找到所需的策略,然后选择 Attach policy (附加策略)

    Policies (策略) 选项卡上的附加的标签策略列表会更新,以包含新添加的内容。策略更改会立即生效。

通过导航到策略来附加标签策略

  1. 登录到 Amazon Organizations 控制台。您必须以 IAM 用户的身份登录,担任 IAM 角色;或在组织的管理账户中以根用户的身份登录(不推荐)。

  2. Tag policies (标签策略) 页面上,选择要附加的策略的名称。

  3. Targets (目标) 选项卡上,选择 Attach (附加)

  4. 选择要附加策略的根、OU 或账户旁边的单选按钮。您可能需要展开 OU(选择 )以查找所需的 OU 或账户。

  5. 选择 Attach policy(附上策略)。

    Targets (目标) 选项卡上的附加的标签策略列表会更新,以包含新添加的内容。策略更改会立即生效。

Amazon CLI & Amazon SDKs
将标签策略附加到组织根、OU 或账户

您可以使用以下方法之一附加标签策略:

  • Amazon CLI:attach-policy

    以下过程显示如何将您刚创建的标签策略附加到单个测试账户。

    • 通过运行类似于下文的命令,将标签策略附加到您的测试账户:

      $ aws organizations attach-policy \
    --target-id <account-id> \
    --policy-id p-a1b2c3d4e5

      如果成功,此命令没有输出。

  • Amazon SDK:AttachPolicy

策略更改会立即生效。
后续操作

附加标签策略后,您可以了解该您的资源与标签策略的合规程度如何。为此,请使用 Resource Groups 控制台。有关更多信息,请参阅《Amazon Resource Groups 用户指南》中的评估账户的合规性

分离标签策略

当您登录到组织的管理账户时,您可以从标签策略所附加到的组织根、OU 或账户分离标签策略。从某个实体分离标签策略后,该策略将不再应用于现在已与之分离的实体所影响的任何账户。要分离策略,请完成以下步骤。

最小权限

要从组织根、OU 或账户分离标签策略,您必须具有运行以下操作的权限:

  • organizations:DetachPolicy

Amazon Web Services Management Console

您可以导航到要分离策略的根、OU 或账户,为其分离标签策略。

通过导航到已附加策略的根、OU 或账户来分离标签策略

  1. 登录到 Amazon Organizations 控制台。您必须以 IAM 用户的身份登录,担任 IAM 角色;或在组织的管理账户中以根用户的身份登录(不推荐)。

  2. Amazon Web Services 账户页面导航到要分离策略的根、OU 或账户。您可能需要展开 OU(选择 )以查找所需的 OU 或账户。选择根、OU 或账户的名称。

  3. Policies (策略) 选项卡上,选择要分离的标签策略旁边的单选按钮,然后选择 Detach (分离)

  4. 在确认对话框中,选择 Detach policy (分离策略)

    附加的标签策略的列表将更新。策略更改会立即生效。

通过导航到策略来分离标签策略

  1. 登录到 Amazon Organizations 控制台。您必须以 IAM 用户的身份登录,担任 IAM 角色;或在组织的管理账户中以根用户的身份登录(不推荐)。

  2. Tag policies (标签策略) 页面上,选择要从根、OU 或账户分离的策略的名称。

  3. Targets (目标) 选项卡上,选择要分离策略的根、OU 或账户旁边的单选按钮。您可能需要展开 OU(选择 )以查找所需的 OU 或账户。

  4. 选择分离

  5. 在确认对话框中,选择 Detach (分离)

    附加的标签策略的列表将更新。策略更改会立即生效。

Amazon CLI & Amazon SDKs
从组织根、OU 或账户分离标签策略

您可以使用以下方法之一来分离标签策略:

策略更改会立即生效。