将组织策略附加到 Amazon Organizations - Amazon Organizations
附加策略
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

将组织策略附加到 Amazon Organizations

本主题介绍如何使用 Amazon Organizations附加策略。策略定义了您要应用于一组的控制措施 Amazon Web Services 账户。

将策略附加到 Amazon Organizations

最小权限

要附加策略,您必须具有运行以下操作的权限:

  • organizations:AttachPolicy

最小权限

要将授权策略(SCP 或 RCP)附加到根、OU 或账户,您需要获得运行以下操作的权限:

  • organizations:AttachPolicy,且同一条策略语句中有一个 Resource 元素包含“*”、指定策略的 Amazon Resource Name(ARN)或是您要附加该策略的根、OU 或账户的 ARN。

Service control policies (SCPs)

您可以导航到要附加策略的根、OU 或账户,为其附加 SCP。

通过导航到根、OU 或账户来附加 SCP

  1. 登录 Amazon Organizations 控制台。您必须以 IAM 用户的身份登录,担任 IAM 角色;或在组织的管理账户中以根用户的身份登录(不推荐)。

  2. Amazon Web Services 账户页面上,导航到要将 SCP 附加到的根、OU 或账户,并选择其旁边的复选框。您可能需要展开 OUs (选择 Gray cloud icon representing cloud computing or storage services. )才能找到所需的 OU 或帐户。

  3. Policies (策略) 选项卡上的 Service control policies (服务控制策略) 条目中,选择 Attach (附加)

  4. 找到所需的策略,然后选择 Attach policy (附加策略)

    策略” 选项卡 SCPs 上的附件列表已更新,以包含新增内容。策略更改会立即影响所附加的根或 OU 下方的所附加账户或所有账户中 IAM 用户和角色的权限。

通过导航到策略来附加 SCP

  1. 登录 Amazon Organizations 控制台。您必须以 IAM 用户的身份登录,担任 IAM 角色;或在组织的管理账户中以根用户的身份登录(不推荐)。

  2. Service control policies (服务控制策略) 页面上,选择要附加的策略的名称。

  3. Targets (目标) 选项卡上,选择 Attach (附加)

  4. 选择要附加策略的根、OU 或账户旁边的单选按钮。您可能需要展开 OUs (选择 Gray cloud icon representing cloud computing or storage services. )才能找到所需的 OU 或帐户。

  5. 选择附加策略

    目标” 选项卡 SCPs 上的附件列表已更新,以包含新增内容。策略更改会立即影响所附加的根或 OU 下方的所附加账户或所有账户中 IAM 用户和角色的权限。

Resource control policies (RCPs)

您可以通过导航到策略或要将策略关联到的根、OU 或账户来附加 RCP。

通过导航到根目录、OU 或账户来附加 RCP

  1. 登录 Amazon Organizations 控制台。您必须以 IAM 用户的身份登录,担任 IAM 角色;或在组织的管理账户中以根用户的身份登录(不推荐)。

  2. Amazon Web Services 账户页面上,导航到要将 RCP 附加到的根用户、OU 或账户旁边的复选框。您可能需要展开 OUs (选择 Gray cloud icon representing cloud computing or storage services. )才能找到所需的 OU 或帐户。

  3. 策略选项卡的资源控制策略条目中,选择附加

  4. 找到所需的策略,然后选择 Attach policy (附加策略)

    策略” 选项卡 RCPs 上的附件列表已更新,以包含新增内容。政策变更会立即生效,这会影响关联账户中的资源或附加根或 OU 下的所有账户的权限。

通过导航到策略来附加 RCP

  1. 登录 Amazon Organizations 控制台。您必须以 IAM 用户的身份登录,担任 IAM 角色;或在组织的管理账户中以根用户的身份登录(不推荐)。

  2. 资源控制策略页面上,选择要附加的策略的名称。

  3. Targets (目标) 选项卡上,选择 Attach (附加)

  4. 选择要附加策略的根、OU 或账户旁边的单选按钮。您可能需要展开 OUs (选择 Gray cloud icon representing cloud computing or storage services. )才能找到所需的 OU 或帐户。

  5. 选择附加策略

    目标” 选项卡 RCPs 上的附件列表已更新,以包含新增内容。政策变更会立即生效,这会影响关联账户中的资源或附加根或 OU 下的所有账户的权限。

Declarative policies

您可以通过导航到策略或要关联策略的根、OU 或账户来附加声明性策略。

通过导航到根目录、OU 或账户来附加声明性策略

  1. 登录 Amazon Organizations 控制台。您必须以 IAM 用户的身份登录,担任 IAM 角色;或在组织的管理账户中以根用户的身份登录(不推荐)。

  2. Amazon Web Services 账户页面上,导航到要将策略附加到的根、OU 或账户的相应名称并选择其名称。您可能需要展开 OUs (选择 Gray cloud icon representing cloud computing or storage services. )才能找到所需的 OU 或帐户。

  3. 在 “策略” 选项卡的 “声明性策略” 条目中,选择 “附加”。

  4. 找到所需的策略,然后选择 Attach policy (附加策略)

    “政策” 选项卡上附加的声明性策略列表已更新,以包含新增的政策。策略更改会立即生效。

通过导航到政策来附加声明性策略

  1. 登录 Amazon Organizations 控制台。您必须以 IAM 用户的身份登录,担任 IAM 角色;或在组织的管理账户中以根用户的身份登录(不推荐)。

  2. 声明性策略页面上,选择要附加的策略的名称。

  3. Targets (目标) 选项卡上,选择 Attach (附加)

  4. 选择要附加策略的根、OU 或账户旁边的单选按钮。您可能需要展开 OUs (选择 Gray cloud icon representing cloud computing or storage services. )才能找到所需的 OU 或帐户。

  5. 选择附加策略

    目标” 选项卡上附加的声明性策略列表已更新,以包含新增的策略。策略更改会立即生效。

Backup policies

您可以导航到要附加策略的根、OU 或账户,为其附加备份策略。

通过导航到根、OU 或账户来附加备份策略

  1. 登录 Amazon Organizations 控制台。您必须以 IAM 用户的身份登录,担任 IAM 角色;或在组织的管理账户中以根用户的身份登录(不推荐)。

  2. Amazon Web Services 账户页面上,导航到要将策略附加到的根、OU 或账户的相应名称并选择其名称。您可能需要展开 OUs (选择 Gray cloud icon representing cloud computing or storage services. )才能找到所需的 OU 或帐户。

  3. Policies (策略) 选项卡上的 Backup policies (备份策略) 中,选择 Attach (附加)

  4. 找到所需的策略,然后选择 Attach policy (附加策略)

    Policies (策略) 选项卡上的附加的备份策略列表会更新,以包含新添加的内容。策略更改会立即生效。

通过导航到策略来附加备份策略

  1. 登录 Amazon Organizations 控制台。您必须以 IAM 用户的身份登录,担任 IAM 角色;或在组织的管理账户中以根用户的身份登录(不推荐)。

  2. Backup policies (备份策略) 页面上,选择要附加的策略的名称。

  3. Targets (目标) 选项卡上,选择 Attach (附加)

  4. 选择要附加策略的根、OU 或账户旁边的单选按钮。您可能需要展开 OUs (选择 Gray cloud icon representing cloud computing or storage services. )才能找到所需的 OU 或帐户。

  5. 选择附加策略

    Targets (目标) 选项卡上的附加的备份策略列表会更新,以包含新添加的内容。策略更改会立即生效。

Tag policies

您可以导航到要附加策略的根、OU 或账户,为其附加标签策略。

通过导航到根、OU 或账户来附加标签策略

  1. 登录 Amazon Organizations 控制台。您必须以 IAM 用户的身份登录,担任 IAM 角色;或在组织的管理账户中以根用户的身份登录(不推荐)。

  2. Amazon Web Services 账户页面上,导航到要将策略附加到的根、OU 或账户的相应名称并选择其名称。您可能需要展开 OUs (选择 Gray cloud icon representing cloud computing or storage services. )才能找到所需的 OU 或帐户。

  3. Policies (策略) 选项卡上的 Tag policies (标签策略) 中,选择 Attach (附加)

  4. 找到所需的策略,然后选择 Attach policy (附加策略)

    Policies (策略) 选项卡上的附加的标签策略列表会更新,以包含新添加的内容。策略更改会立即生效。

通过导航到策略来附加标签策略

  1. 登录 Amazon Organizations 控制台。您必须以 IAM 用户的身份登录,担任 IAM 角色;或在组织的管理账户中以根用户的身份登录(不推荐)。

  2. Tag policies (标签策略) 页面上,选择要附加的策略的名称。

  3. Targets (目标) 选项卡上,选择 Attach (附加)

  4. 选择要附加策略的根、OU 或账户旁边的单选按钮。您可能需要展开 OUs (选择 Gray cloud icon representing cloud computing or storage services. )才能找到所需的 OU 或帐户。

  5. 选择附加策略

    Targets (目标) 选项卡上的附加的标签策略列表会更新,以包含新添加的内容。策略更改会立即生效。

Chat applications policies

您可以通过导航到策略或要关联策略的根、OU 或账号来附加聊天应用程序策略。

要通过导航到根目录、OU 或账号来附加聊天应用程序策略

  1. 登录 Amazon Organizations 控制台。您必须以 IAM 用户的身份登录,担任 IAM 角色;或在组织的管理账户中以根用户的身份登录(不推荐)。

  2. Amazon Web Services 账户页面上,导航到要将策略附加到的根、OU 或账户的相应名称并选择其名称。您可能需要展开 OUs (选择 Gray cloud icon representing cloud computing or storage services. )才能找到所需的 OU 或帐户。

  3. 在 “策略” 选项卡的 “聊天应用程序策略” 条目中,选择 “附加”。

  4. 找到所需的策略,然后选择 Attach policy (附加策略)

    “政策” 选项卡上附加的聊天应用程序策略列表已更新,以包含新增的策略。策略更改会立即生效。

要附加聊天应用程序策略,请导航到该策略

  1. 登录 Amazon Organizations 控制台。您必须以 IAM 用户的身份登录,担任 IAM 角色;或在组织的管理账户中以根用户的身份登录(不推荐)。

  2. 聊天机器人策略页面上,选择要附加的策略的名称。

  3. Targets (目标) 选项卡上,选择 Attach (附加)

  4. 选择要附加策略的根、OU 或账户旁边的单选按钮。您可能需要展开 OUs (选择 Gray cloud icon representing cloud computing or storage services. )才能找到所需的 OU 或帐户。

  5. 选择附加策略

    目标” 选项卡上附加的聊天应用程序策略列表已更新,以包含新增的策略。策略更改会立即生效。

AI services opt-out policies

您可以导航到要附加策略的根、OU 或账户,为其附加 AI 服务选择退出策略。

通过导航到根、OU 或账户来附加 AI 服务选择退出策略

  1. 登录 Amazon Organizations 控制台。您必须以 IAM 用户的身份登录,担任 IAM 角色;或在组织的管理账户中以根用户的身份登录(不推荐)。

  2. Amazon Web Services 账户页面上,导航到要将策略附加到的根、OU 或账户的相应名称并选择其名称。您可能需要展开 OUs (选择 Gray cloud icon representing cloud computing or storage services. )才能找到所需的 OU 或帐户。

  3. Policies (策略) 选项卡上的 AI service opt-out policies (AI 服务选择退出策略) 条目中,选择 Attach (附加)

  4. 找到所需的策略,然后选择 Attach policy (附加策略)

    Policies (策略) 选项卡上的附加的 AI 服务选择退出策略列表会更新,以包含新添加的内容。策略更改会立即生效。

通过导航到策略来附加 AI 服务选择退出策略

  1. 登录 Amazon Organizations 控制台。您必须以 IAM 用户的身份登录,担任 IAM 角色;或在组织的管理账户中以根用户的身份登录(不推荐)。

  2. AI services opt-out policies (AI 服务选择退出策略) 页面上,选择要附加的策略的名称。

  3. Targets (目标) 选项卡上,选择 Attach (附加)

  4. 选择要附加策略的根、OU 或账户旁边的单选按钮。您可能需要展开 OUs (选择 Gray cloud icon representing cloud computing or storage services. )才能找到所需的 OU 或帐户。

  5. 选择附加策略

    Targets (目标) 选项卡上的附加的 AI 服务选择退出策略列表会更新,以包含新添加的内容。策略更改会立即生效。

Security Hub policies

您可以通过导航到 Security Hub 策略或要关联策略的根、OU 或账户来附加 Security Hub 策略。

通过导航到根目录、组织单位或账户来附加 Security Hub 策略

  1. 登录 Amazon Organizations 控制台。您必须以 IAM 用户的身份登录,担任 IAM 角色;或在组织的管理账户中以根用户的身份登录(不推荐)。

  2. Amazon Web Services 账户页面上,导航到要将策略附加到的根、OU 或账户的相应名称并选择其名称。您可能需要展开 OUs (选择 Gray cloud icon representing cloud computing or storage services. )才能找到所需的 OU 或帐户。

  3. 在 “策略” 选项卡的 Sec urity Hub 策略条目中,选择 “附加”。

  4. 找到所需的策略,然后选择 Attach policy (附加策略)

    “策略” 选项卡上附加的 Security Hub 策略列表已更新,以包含新增的策略。策略更改会立即生效。

通过导航到 Security Hub 策略来附加该策略

  1. 登录 Amazon Organizations 控制台。您必须以 IAM 用户的身份登录,担任 IAM 角色;或在组织的管理账户中以根用户的身份登录(不推荐)。

  2. 在 S ecurity Hub 策略页面上,选择要附加的策略的名称。

  3. Targets (目标) 选项卡上,选择 Attach (附加)

  4. 选择要附加策略的根、OU 或账户旁边的单选按钮。您可能需要展开 OUs (选择 Gray cloud icon representing cloud computing or storage services. )才能找到所需的 OU 或帐户。

  5. 选择附加策略

    目标” 选项卡上附加的 Security Hub 策略列表已更新,以包含新增的策略。策略更改会立即生效。

附加策略

以下代码示例演示如何使用 AttachPolicy

.NET
适用于 .NET 的 Amazon SDK
注意

还有更多相关信息 GitHub。在 Amazon 代码示例存储库中查找完整示例,了解如何进行设置和运行。

    using System;
    using System.Threading.Tasks;
    using Amazon.Organizations;
    using Amazon.Organizations.Model;

    /// <summary>
    /// Shows how to attach an AWS Organizations policy to an organization,
    /// an organizational unit, or an account.
    /// </summary>
    public class AttachPolicy
    {
        /// <summary>
        /// Initializes the Organizations client object and then calls the
        /// AttachPolicyAsync method to attach the policy to the root
        /// organization.
        /// </summary>
        public static async Task Main()
        {
            IAmazonOrganizations client = new AmazonOrganizationsClient();
            var policyId = "p-00000000";
            var targetId = "r-0000";

            var request = new AttachPolicyRequest
            {
                PolicyId = policyId,
                TargetId = targetId,
            };

            var response = await client.AttachPolicyAsync(request);

            if (response.HttpStatusCode == System.Net.HttpStatusCode.OK)
            {
                Console.WriteLine($"Successfully attached Policy ID {policyId} to Target ID: {targetId}.");
            }
            else
            {
                Console.WriteLine("Was not successful in attaching the policy.");
            }
        }
    }

  • 有关 API 的详细信息,请参阅 适用于 .NET 的 Amazon SDK API 参考AttachPolicy中的。

CLI
Amazon CLI

将策略附加到根、OU 或账户

示例 1

以下示例演示如何将服务控制策略(SCP)附加到 OU:

aws organizations attach-policy
                --policy-id p-examplepolicyid111
                --target-id ou-examplerootid111-exampleouid111

示例 2

以下示例演示如何将服务控制策略直接附加到账户:

aws organizations attach-policy
                --policy-id p-examplepolicyid111
                --target-id 333333333333

  • 有关 API 的详细信息,请参阅Amazon CLI 命令参考AttachPolicy中的。

Python
适用于 Python 的 SDK(Boto3)
注意

还有更多相关信息 GitHub。在 Amazon 代码示例存储库中查找完整示例,了解如何进行设置和运行。

def attach_policy(policy_id, target_id, orgs_client):
    """
    Attaches a policy to a target. The target is an organization root, account, or
    organizational unit.

    :param policy_id: The ID of the policy to attach.
    :param target_id: The ID of the resources to attach the policy to.
    :param orgs_client: The Boto3 Organizations client.
    """
    try:
        orgs_client.attach_policy(PolicyId=policy_id, TargetId=target_id)
        logger.info("Attached policy %s to target %s.", policy_id, target_id)
    except ClientError:
        logger.exception(
            "Couldn't attach policy %s to target %s.", policy_id, target_id
        )
        raise

  • 有关 API 的详细信息,请参阅适用AttachPolicyPython 的Amazon SDK (Boto3) API 参考

策略更改会立即影响所附加的根或 OU 下方的所附加账户或所有账户中 IAM 用户和角色的权限