附加和分离 AI 服务选择退出策略 - Amazon Organizations
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

附加和分离 AI 服务选择退出策略

您可以在整个组织以及组织部门(OU)和单个账户上使用人工智能(AI)服务选择退出策略。AI 服务选择退出策略适用于什么取决于您将其附加到哪个组织元素:

  • 当您将 AI 服务选择退出策略附加到组织根目录时,该策略适用于包括管理账户在内的所有 OU 和账户。

  • 将 AI 服务选择退出策略附加到 OU 时,该策略将应用于属于该 OU 或它的任何子 OU 的账户。这些账户还受附加到组织根的所有策略的约束。

  • 当您将 AI 服务选择退出策略附加到某个账户时,该策略仅应用于该账户。该账户还受附加到组织根和该账户所属的所有 OU 的任何策略的约束。

该账户从根和父 OU 继承的所有 AI 服务选择退出策略以及直接附加到该账户的所有策略的聚合是有效策略。有关如何将策略合并为有效策略的信息,请参阅 了解管理策略继承

最小权限

要附加 AI 服务选择退出策略,您必须具有运行以下操作的权限:

  • organizations:AttachPolicy

您可以导航到要附加策略的根、OU 或账户,为其附加 AI 服务选择退出策略。

通过导航到根、OU 或账户来附加 AI 服务选择退出策略
  1. 登录 Amazon Organizations 控制台。您必须以 IAM 用户的身份登录,担任 IAM 角色;或在组织的管理账户中以根用户的身份登录(不推荐)。

  2. Amazon Web Services 账户页面上,导航到要将策略附加到的根、OU 或账户的相应名称并选择其名称。您可能需要展开 OU(选择 )以查找所需的 OU 或账户。

  3. Policies (策略) 选项卡上的 AI service opt-out policies (AI 服务选择退出策略) 条目中,选择 Attach (附加)

  4. 找到所需的策略,然后选择 Attach policy (附加策略)

    Policies (策略) 选项卡上的附加的 AI 服务选择退出策略列表会更新,以包含新添加的内容。策略更改会立即生效。

通过导航到策略来附加 AI 服务选择退出策略
  1. 登录 Amazon Organizations 控制台。您必须以 IAM 用户的身份登录,担任 IAM 角色;或在组织的管理账户中以根用户的身份登录(不推荐)。

  2. AI services opt-out policies (AI 服务选择退出策略) 页面上,选择要附加的策略的名称。

  3. Targets (目标) 选项卡上,选择 Attach (附加)

  4. 选择要附加策略的根、OU 或账户旁边的单选按钮。您可能需要展开 OU(选择 )以查找所需的 OU 或账户。

  5. 选择附加策略

    Targets (目标) 选项卡上的附加的 AI 服务选择退出策略列表会更新,以包含新添加的内容。策略更改会立即生效。

附加来自组织根目录、OU 或账户的 AI 服务选择退出政策

以下代码示例演示如何使用 AttachPolicy

.NET
Amazon SDK for .NET
注意

还有更多相关信息 GitHub。在 Amazon 代码示例存储库中查找完整示例,了解如何进行设置和运行。

using System; using System.Threading.Tasks; using Amazon.Organizations; using Amazon.Organizations.Model; /// <summary> /// Shows how to attach an AWS Organizations policy to an organization, /// an organizational unit, or an account. /// </summary> public class AttachPolicy { /// <summary> /// Initializes the Organizations client object and then calls the /// AttachPolicyAsync method to attach the policy to the root /// organization. /// </summary> public static async Task Main() { IAmazonOrganizations client = new AmazonOrganizationsClient(); var policyId = "p-00000000"; var targetId = "r-0000"; var request = new AttachPolicyRequest { PolicyId = policyId, TargetId = targetId, }; var response = await client.AttachPolicyAsync(request); if (response.HttpStatusCode == System.Net.HttpStatusCode.OK) { Console.WriteLine($"Successfully attached Policy ID {policyId} to Target ID: {targetId}."); } else { Console.WriteLine("Was not successful in attaching the policy."); } } }
  • 有关 API 的详细信息,请参阅 Amazon SDK for .NET API 参考AttachPolicy中的。

CLI
Amazon CLI

将策略附加到根、OU 或账户

示例 1

以下示例演示如何将服务控制策略(SCP)附加到 OU:

aws organizations attach-policy --policy-id p-examplepolicyid111 --target-id ou-examplerootid111-exampleouid111

示例 2

以下示例演示如何将服务控制策略直接附加到账户:

aws organizations attach-policy --policy-id p-examplepolicyid111 --target-id 333333333333
  • 有关 API 的详细信息,请参阅Amazon CLI 命令参考AttachPolicy中的。

Python
SDK for Python (Boto3)
注意

还有更多相关信息 GitHub。在 Amazon 代码示例存储库中查找完整示例,了解如何进行设置和运行。

def attach_policy(policy_id, target_id, orgs_client): """ Attaches a policy to a target. The target is an organization root, account, or organizational unit. :param policy_id: The ID of the policy to attach. :param target_id: The ID of the resources to attach the policy to. :param orgs_client: The Boto3 Organizations client. """ try: orgs_client.attach_policy(PolicyId=policy_id, TargetId=target_id) logger.info("Attached policy %s to target %s.", policy_id, target_id) except ClientError: logger.exception( "Couldn't attach policy %s to target %s.", policy_id, target_id ) raise
  • 有关 API 的详细信息,请参阅适用AttachPolicyPython 的Amazon SDK (Boto3) API 参考

政策变更立即生效

分离 AI 服务选择退出策略

当您登录到组织的管理账户时,您可以从 AI 服务选择退出策略所附加到的组织根、OU 或账户分离策略。从某个实体分离 AI 服务选择退出策略后,该策略将不再应用于以前受现在已与之分离的实体影响的任何账户。要分离策略,请完成以下步骤。

最小权限

要从组织根、OU 或账户分离 AI 服务选择退出策略,您必须具有运行以下操作的权限:

  • organizations:DetachPolicy

您可以导航到要分离策略的根、OU 或账户,为其分离 AI 服务选择退出策略。

通过导航到已附加策略的根、OU 或账户来分离 AI 服务选择退出策略
  1. 登录 Amazon Organizations 控制台。您必须以 IAM 用户的身份登录,担任 IAM 角色;或在组织的管理账户中以根用户的身份登录(不推荐)。

  2. Amazon Web Services 账户页面导航到要分离策略的根、OU 或账户。您可能需要展开 OU(选择 )以查找所需的 OU 或账户。选择根、OU 或账户的名称。

  3. Policies (策略) 选项卡上,选择要分离的 AI 服务选择退出策略旁边的单选按钮,然后选择 Detach (分离)

  4. 在确认对话框中,选择 Detach policy (分离策略)

    附加的 AI 服务选择退出策略的列表会更新。策略更改会立即生效。

通过导航到策略来分离 AI 服务选择退出策略
  1. 登录 Amazon Organizations 控制台。您必须以 IAM 用户的身份登录,担任 IAM 角色;或在组织的管理账户中以根用户的身份登录(不推荐)。

  2. AI services opt-out policies (AI 服务选择退出策略) 页面上,选择要从根、OU 或账户分离的策略的名称。

  3. Targets (目标) 选项卡上,选择要分离策略的根、OU 或账户旁边的单选按钮。您可能需要展开 OU(选择 )以查找所需的 OU 或账户。

  4. 选择分离

  5. 在确认对话框中,选择 Detach (分离)

    附加的 AI 服务选择退出策略的列表会更新。策略更改会立即生效。

将 AI 服务选择退出策略与组织根目录、OU 或账户分离

以下代码示例演示如何使用 DetachPolicy

.NET
Amazon SDK for .NET
注意

还有更多相关信息 GitHub。在 Amazon 代码示例存储库中查找完整示例,了解如何进行设置和运行。

using System; using System.Threading.Tasks; using Amazon.Organizations; using Amazon.Organizations.Model; /// <summary> /// Shows how to detach a policy from an AWS Organizations organization, /// organizational unit, or account. /// </summary> public class DetachPolicy { /// <summary> /// Initializes the Organizations client object and uses it to call /// DetachPolicyAsync to detach the policy. /// </summary> public static async Task Main() { // Create the client object using the default account. IAmazonOrganizations client = new AmazonOrganizationsClient(); var policyId = "p-00000000"; var targetId = "r-0000"; var request = new DetachPolicyRequest { PolicyId = policyId, TargetId = targetId, }; var response = await client.DetachPolicyAsync(request); if (response.HttpStatusCode == System.Net.HttpStatusCode.OK) { Console.WriteLine($"Successfully detached policy with Policy Id: {policyId}."); } else { Console.WriteLine("Could not detach the policy."); } } }
  • 有关 API 的详细信息,请参阅 Amazon SDK for .NET API 参考DetachPolicy中的。

CLI
Amazon CLI

从根、OU 或账户分离策略

以下示例演示了如何从 OU 分离策略:

aws organizations detach-policy --target-id ou-examplerootid111-exampleouid111 --policy-id p-examplepolicyid111
  • 有关 API 的详细信息,请参阅Amazon CLI 命令参考DetachPolicy中的。

Python
SDK for Python (Boto3)
注意

还有更多相关信息 GitHub。在 Amazon 代码示例存储库中查找完整示例,了解如何进行设置和运行。

def detach_policy(policy_id, target_id, orgs_client): """ Detaches a policy from a target. :param policy_id: The ID of the policy to detach. :param target_id: The ID of the resource where the policy is currently attached. :param orgs_client: The Boto3 Organizations client. """ try: orgs_client.detach_policy(PolicyId=policy_id, TargetId=target_id) logger.info("Detached policy %s from target %s.", policy_id, target_id) except ClientError: logger.exception( "Couldn't detach policy %s from target %s.", policy_id, target_id ) raise
  • 有关 API 的详细信息,请参阅适用DetachPolicyPython 的Amazon SDK (Boto3) API 参考

策略更改会立即生效。