禁用策略类型 - Amazon Organizations
注意事项禁用策略类型
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

禁用策略类型

如果您不想再在组织中使用某种策略类型,则可以禁用该类型以防止其意外使用。您只能从组织的管理账户或指定为委托管理员的成员账户中禁用策略类型。

注意事项

已禁用的策略会与所有实体分离,但不会被删除

禁用策略类型时,指定类型的所有策略都会自动从组织根中的所有实体分离。策略不会 被删除。

(仅限服务控制策略类型)根目录中的所有实体最初仅附加到默认实体 FullAWSAccess SCP

(仅限服务控制策略类型)如果您稍后重新启用该SCP策略类型,则组织根目录中的所有实体最初都仅附加到默认FullAWSAccessSCP策略类型。在组织中禁SCPs用实体时SCPs,实体的附件将丢失。如果您以后想重新启用SCPs,则必须根据需要将它们重新关联到组织的根和账户。OUs

禁用策略类型

最小权限

要禁用SCPs,您需要获得运行以下操作的权限:

  • organizations:DisablePolicyType

  • organizations:DescribeOrganization – 仅当使用 Organizations 控制台时才需要

  • organizations:ListRoots – 仅当使用 Organizations 控制台时才需要

Amazon Web Services Management Console
禁用策略类型

  1. 登录 Amazon Organizations 控制台。您必须在组织的管理账户中以IAM用户身份登录、代入IAM角色或以 root 用户身份登录(不推荐)。

  2. Policies (策略) 页面上,选择要禁用的策略的名称。

  3. 在策略类型页面上,选择禁用policy type

  4. 在确认对话框中,输入单词 disable,然后选择 Disable (禁用)

    指定类型的可用策略列表将消失。

Amazon CLI & Amazon SDKs
禁用策略类型

可以使用以下命令之一禁用策略类型:

  • Amazon CLI: disable-policy-type

    以下示例说明如何为组织禁用备份策略。请注意,您必须指定组织根的 ID。

    $ aws organizations disable-policy-type \
    --root-id r-a1b2 \
    --policy-type BACKUP_POLICY
{
    "Root": {
        "Id": "r-a1b2",
        "Arn": "arn:aws:organizations::123456789012:root/o-aa111bb222/r-a1b2",
        "Name": "Root",
        "PolicyTypes": []
    }
}

    输出中的 PolicyTypes 列表不再包含指定的策略类型。

  • Amazon SDKs: DisablePolicyType