查看有效管理策略 - Amazon Organizations
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

查看有效管理策略

确定组织中任何账户的有效管理策略。

什么是有效管理策略?

有效策略用于指定对于某个管理策略类型,适用于 Amazon Web Services 账户的最终规则。这是账户所继承的管理策略,加上直接附加到该账户的任何该管理策略类型的策略的聚合。将管理策略附加到组织根时,该策略将适用于组织中的所有账户。将管理策略附加到组织单位(OU)时,该策略将适用于属于该 OU 的所有账户和 OU。将管理策略直接附加到某个账户时,则将仅适用于该具体 Amazon Web Services 账户。

有关如何将策略组合到最终有效策略中的信息,请参阅了解管理策略继承

备份策略示例

附加到组织根的备份策略可能指定组织中的所有账户以每周一次的默认备份频率备份所有 Amazon DynamoDB 表。直接附加到一个成员账户的单独备份策略(在表中包含关键信息)可以用每天一次的值覆盖该频率。这些备份策略的组合构成有效备份策略。该有效备份策略是为组织中的每个账户单独确定的。此示例中的结果是,组织中的所有账户每周备份一次自己的 DynamoDB 表,但有一个账户每天备份它的表。

标签策略示例

附加到组织根的标签策略可以定义具有四个合规值的 CostCenter 标签。附加到账户的单独标签策略可能会将 CostCenter 限制为四个合规值中的两个。这些标签策略的组合组成了有效标签策略。结果是,在组织根标签策略中定义的四个合规标签值中,只有两个符合该账户的要求。

聊天机器人策略示例

Amazon Chatbot 将根据有效的聊天机器人策略重新评估任何先前创建的 Amazon Chatbot 配置,如果这些配置与有效策略中允许的设置和护栏一致,则会拒绝任何先前允许的操作。成员账户的有效策略定义了允许的设置和护栏。例如,假设将某个会拒绝访问公有 Slack 频道的聊天机器人策略应用于成员账户,则该成员账户中公有 Slack 频道的现有 Amazon Chatbot 配置将被禁用。聊天机器人不会发送通知,频道成员也无法在被阻止的频道中运行任何任务。Amazon Chatbot 控制台会将受影响的频道标记为已禁用,并在其旁边显示相应的错误消息。

AI 服务选择退出策略示例

附加到组织根的 AI 服务选择退出策略可能指定组织中的所有账户选择停止允许所有 Amazon 机器学习服务对内容的使用。直接附加到一个成员账户的单独 AI 服务选择退出策略指定它只为 Amazon Rekognition 选择启用内容使用服务。这些 AI 服务选择退出策略的组合构成了有效的 AI 服务选择退出策略。结果是,除选择启用 Amazon Rekognition 的一个账户外,组织中的所有账户都选择退出所有 Amazon Web Services 服务。

如何查看有效管理策略

您可以从 Amazon Web Services Management Console、Amazon API 或 Amazon Command Line Interface 查看账户的管理策略类型的有效策略。

最小权限

要查看账户的管理策略类型的有效策略,您必须要有运行以下操作的权限:

  • organizations:DescribeEffectivePolicy

  • organizations:DescribeOrganization – 仅当使用 Organizations 控制台时才需要

Amazon Web Services Management Console
查看账户的管理策略类型的有效策略
  1. 登录 Amazon Organizations 控制台。您必须以 IAM 用户的身份登录,担任 IAM 角色;或在组织的管理账户中以根用户的身份登录(不推荐)。

  2. Amazon Web Services 账户页面上,选择要查看其有效策略的账户的名称。您可能需要展开 OU(选择 Gray cloud icon representing cloud computing or storage services. )以查找所需的账户。

  3. 策略选项卡上,选择要查看其有效策略的管理策略类型。

  4. 选择查看此 Amazon Web Services 账户的有效策略

    控制台显示应用于指定账户的有效策略。

    注意

    您无法复制和粘贴有效策略,并在不进行重大更改的情况下将其用作其他策略的 JSON。策略文档必须包含继承运算符,用来指定如何将每个设置合并到最终的有效策略中。

Amazon CLI & Amazon SDKs
查看账户的管理策略类型的有效策略

您可以使用以下方法之一查看有效策略:

  • Amazon CLI:describe-effective-policy

    以下示例显示了账户的有效 AI 服务选择退出策略。

    $ aws organizations describe-effective-policy \ --policy-type AISERVICES_OPT_OUT_POLICY \ --target-id 123456789012 { "EffectivePolicy": { "PolicyContent": "{\"services\":{\"comprehend\":{\"opt_out_policy\":\"optOut\"}, ....TRUNCATED FOR BREVITY.... "opt_out_policy\":\"optIn\"}}}", "LastUpdatedTimestamp": "2020-12-09T12:58:53.548000-08:00", "TargetId": "123456789012", "PolicyType": "AISERVICES_OPT_OUT_POLICY" } }
  • Amazon SDK:DescribeEffectivePolicy