创建、更新和删除 AI 服务选择退出策略 - Amazon Organizations
创建 AI 服务选择退出策略更新 AI 服务选择退出策略编辑附加到 AI 服务选择退出策略的标签删除 AI 服务选择退出策略
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

创建、更新和删除 AI 服务选择退出策略

本主题内容:

创建 AI 服务选择退出策略

最小权限

要创建 AI 服务选择退出策略,您需要运行以下操作的权限:

  • organizations:CreatePolicy

Amazon Web Services Management Console
创建 AI 服务选择退出策略

  1. 登录到 Amazon Organizations 控制台。您必须以 IAM 用户的身份登录,担任 IAM 角色;或在组织的管理账户中以根用户的身份登录(不推荐)。

  2. AI services opt-out policies (AI 服务选择退出策略) 页面上,选择 Create policy (创建策略)

  3. Create new AI services opt-out policy(创建新的 AI 服务选择退出策略)页面上,输入 Policy name(策略名称)和可选 Policy description(策略说明)。

  4. (可选)您可以向策略添加一个或多个标签,方法是选择 Add tag (添加标签),然后输入一个键和可选的值。将值留空,设置为空字符串;它并非 null。您最多可以向策略附加 50 个标签。有关更多信息,请参阅为 Amazon Organizations 资源添加标签

  5. 输入策略文本或将其粘贴到 JSON 选项卡。有关 AI 服务选择退出策略语法的信息,请参阅AI 服务选择退出策略语法和示例。有关可用作起始点的策略的示例,请参阅AI 服务选择退出策略示例

  6. 编辑完策略后,选择位于页面右下角的 Create policy (创建策略)

Amazon CLI & Amazon SDKs
创建 AI 服务选择退出策略

您可以使用以下方法之一来创建标签策略:

  • Amazon CLI:create-policy

    1. 创建如下所示的 AI 服务选择退出策略,并将其存储在文本文件中。请注意,“optOut”和“optIn”区分大小写。

      {
    "services": {
        "default": {
            "opt_out_policy": {
                "@@assign": "optOut"
            }
        },
        "rekognition": {
            "opt_out_policy": {
                "@@assign": "optIn"
            }
        }
    }
}

      此 AI 服务选择退出策略指定所有受策略影响的账户都选择退出除 Amazon Rekognition 之外的所有 AI 服务。

    2. 导入 JSON 策略文件以在组织中创建新的策略。在本示例中,上一个 JSON 文件名为 policy.json

      $ aws organizations create-policy \
    --type AISERVICES_OPT_OUT_POLICY \
    --name "MyTestPolicy" \
    --description "My test policy" \
    --content file://policy.json
{
    "Policy": {
        "Content": "{\"services\":{\"default\":{\"opt_out_policy\":{\"@@assign\":\"optOut\"}},\"rekognition\":{\"opt_out_policy\":{\"@@assign\":\"optIn\"}}}}",
        "PolicySummary": {
            "Id": "p-i9j8k7l6m5"
            "Arn": "arn:aws:organizations::o-aa111bb222:policy/aiservices_opt_out_policy/p-i9j8k7l6m5",
            "Description": "My test policy",
            "Name": "MyTestPolicy",
            "Type": "AISERVICES_OPT_OUT_POLICY"
        }
    }
}

  • Amazon SDK:CreatePolicy
后续操作

创建 AI 服务选择退出策略后,您可以使选择退出的选项生效。为此,您可以附加策略到组织根、组织部门(OU)、组织内的Amazon Web Services 账户或所有这些项的组合。

更新 AI 服务选择退出策略

最小权限

要更新 AI 服务选择退出策略,您必须具有运行以下操作的权限:

  • organizations:UpdatePolicy,且同一条策略语句中有一个 Resource 元素包含所指定策略的 ARN(或“*”)。

  • organizations:DescribePolicy,且同一条策略语句中有一个 Resource 元素包含所指定策略的 Amazon Resource Name(ARN)(或“*”)。

Amazon Web Services Management Console
更新 AI 服务选择退出策略

  1. 登录到 Amazon Organizations 控制台。您必须以 IAM 用户的身份登录,担任 IAM 角色;或在组织的管理账户中以根用户的身份登录(不推荐)。

  2. AI services opt-out policies (AI 服务选择退出策略) 页面上,选择要更新的策略的名称。

  3. 在策略的详细信息页面上,选择 Edit policy (编辑策略)

  4. 您可以输入一个新的 Policy name (策略名称)Policy description (策略说明),或编辑 JSON 策略文本。有关 AI 服务选择退出策略语法的信息,请参阅AI 服务选择退出策略语法和示例。有关可用作起始点的策略的示例,请参阅AI 服务选择退出策略示例

  5. 完成更新策略后,选择保存更改

Amazon CLI & Amazon SDKs
更新策略

您可以使用以下命令之一来更新策略:

  • Amazon CLI:update-policy

    以下示例重命名 AI 服务选择退出策略。

    $ aws organizations update-policy \
    --policy-id p-i9j8k7l6m5 \
    --name "Renamed policy"
{
    "Policy": {
        "PolicySummary": {
            "Id": "p-i9j8k7l6m5",
            "Arn": "arn:aws:organizations::123456789012:policy/o-aa111bb222/aiservices_opt_out_policy/p-i9j8k7l6m5",
            "Name": "Renamed policy",
            "Type": "AISERVICES_OPT_OUT_POLICY",
            "AwsManaged": false
        },
        "Content": "{\"services\":{\"default\":{\"opt_out_policy\":   ....TRUNCATED FOR BREVITY...   :{\"@@assign\":\"optIn\"}}}}"
    }
}

    以下示例添加或更改 AI 服务选择退出策略的说明。

    $ aws organizations update-policy \
    --policy-id p-i9j8k7l6m5 \
    --description "My new description"
{
    "Policy": {
        "PolicySummary": {
            "Id": "p-i9j8k7l6m5",
            "Arn": "arn:aws:organizations::123456789012:policy/o-aa111bb222/aiservices_opt_out_policy/p-i9j8k7l6m5",
            "Name": "Renamed policy",
            "Description": "My new description",
            "Type": "AISERVICES_OPT_OUT_POLICY",
            "AwsManaged": false
        },
        "Content": "{\"services\":{\"default\":{\"opt_out_policy\":   ....TRUNCATED FOR BREVITY...   :{\"@@assign\":\"optIn\"}}}}"
    }
}

    以下示例更改附加到 AI 服务选择退出策略的 JSON 策略文档。在此示例中,内容取自一个名为 policy.json 的文件,使用以下文本:

    {
    "services": {
        "default": {
            "opt_out_policy": {
                "@@assign": "optOut"
            }
        },
        "comprehend": {
            "opt_out_policy": {
                "@@operators_allowed_for_child_policies": ["@@none"],
                "@@assign": "optOut"
            }
        },
        "rekognition": {
            "opt_out_policy": {
                "@@assign": "optIn"
            }
        }
    }
}
    $ aws organizations update-policy \
    --policy-id p-i9j8k7l6m5 \
    --content file://policy.json
{
    "Policy": {
        "PolicySummary": {
            "Id": "p-i9j8k7l6m5",
            "Arn": "arn:aws:organizations::123456789012:policy/o-aa111bb222/aiservices_opt_out_policy/p-i9j8k7l6m5",
            "Name": "Renamed policy",
            "Description": "My new description",
            "Type": "AISERVICES_OPT_OUT_POLICY",
            "AwsManaged": false
        },
         "Content": "{\n\"services\": {\n\"default\": {\n\"   ....TRUNCATED FOR BREVITY....    ": \"optIn\"\n}\n}\n}\n}\n"}
}

  • Amazon SDK:UpdatePolicy

编辑附加到 AI 服务选择退出策略的标签

当您登录到组织的管理账户时,您可以添加或删除附加到 AI 服务选择退出策略的标签。有关标记的更多信息,请参阅为 Amazon Organizations 资源添加标签

最小权限

要编辑附加到Amazon组织中 AI 选择退出策略的标签,您必须拥有以下权限:

  • organizations:DescribeOrganization – 仅当使用 Organizations 控制台时才需要

  • organizations:DescribePolicy – 仅当使用 Organizations 控制台时才需要

  • organizations:TagResource

  • organizations:UntagResource

Amazon Web Services Management Console
编辑附加到 AI 服务选择退出策略的标签

  1. 登录到 Amazon Organizations 控制台。您必须以 IAM 用户的身份登录,担任 IAM 角色;或在组织的管理账户中以根用户的身份登录(不推荐)。

  2. AI services opt-out policies (AI 服务选择退出策略) 页面上,选择带有您想要编辑的标签的策略名称。

  3. 在所选策略的详细信息页面上,选择 Tags (标签) 选项卡,然后选择 Manage tags (管理标签)

  4. 您可以在此页面上执行以下操作:

    • 编辑任何标签的值,方法是在旧标签上输入新值。您不能修改键。要更改键,您必须删除带有旧键的标签,然后添加使用新键的标签。

    • 删除任何现有的标签,方法是选择 Remove (删除)

    • 添加新的标签键和值对。选择 Add tag (添加标签),然后在提供的框中输入新的键名称和可选值。如果您将 Value (值) 框留空,则值是空字符串;它并非 null

  5. 在完成所有要进行的添加、删除和编辑操作之后,选择 Save changes (保存更改)

Amazon CLI & Amazon SDKs
编辑附加到 AI 服务选择退出策略的标签

您可以使用以下命令之一编辑附加到 AI 服务选择退出策略的标签:

删除 AI 服务选择退出策略

当登录到您组织的管理账户时,您可以删除您的组织中不再需要的策略。

必须先将某个策略从所有附加实体中分离,然后才能删除该策略。

最小权限

要删除策略,您必须具有运行以下操作的权限:

  • organizations:DescribePolicy(仅限控制台 – 导航到策略)

  • organizations:DeletePolicy

Amazon Web Services Management Console
删除 AI 服务选择退出策略

  1. 登录到 Amazon Organizations 控制台。您必须以 IAM 用户的身份登录,担任 IAM 角色;或在组织的管理账户中以根用户的身份登录(不推荐)。

  2. AI services opt-out policies (AI 服务选择退出策略) 页面上,选择要删除的策略的名称。

  3. 要删除的策略必须先从所有根、OU 和账户分离。选择 Targets (目标) 选项卡,选择显示在 Targets (目标) 列表中的每个根、OU 或账户旁边的单选按钮,然后选择 Detach (分离)。在确认对话框中,选择 Detach (分离)。重复操作,直到删除所有目标。

  4. 在页面的顶部,选择 Delete (删除)

  5. 在确认对话框上,输入策略的名称,然后选择 Delete (删除)

Amazon CLI & Amazon SDKs
删除 AI 服务选择退出策略

您可以使用以下命令之一来删除策略:

  • Amazon CLI:delete-policy

    以下示例删除指定策略。仅当策略未附加到任何根、OU 或账户时,它们才有效。

    $ aws organizations delete-policy \
    --policy-id p-i9j8k7l6m5

    如果成功,此命令不会产生任何输出。

  • Amazon SDK:DeletePolicy