本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 查看有效管理策略
<a name="orgs_manage_policies_effective"></a>

确定组织中任何账户的有效管理策略。

## 什么是有效管理策略？
<a name="effective-policy-defined"></a>

*有效策略*用于指定对于某个管理策略类型，适用于 Amazon Web Services 账户 的最终规则。这是账户所继承的管理策略，加上直接附加到该账户的任何该管理策略类型的策略的聚合。将管理策略附加到组织根时，该策略将适用于组织中的所有账户。当您将管理策略附加到组织单位 (OU) 时，它适用于属于 OUs 该组织单位的所有账户。当您将管理策略直接附加到账户时，它仅适用于该账户 Amazon Web Services 账户。

有关如何将策略组合到最终有效策略中的信息，请参阅[了解管理策略继承](orgs_manage_policies_inheritance_mgmt.md)。

**备份策略示例**

附加到组织根的备份策略可能指定组织中的所有账户以每周一次的默认备份频率备份所有 Amazon DynamoDB 表。直接附加到一个成员账户的单独备份策略（在表中包含关键信息）可以用每天一次的值覆盖该频率。这些备份策略的组合构成有效备份策略。该有效备份策略是为组织中的每个账户单独确定的。此示例中的结果是，组织中的所有账户每周备份一次自己的 DynamoDB 表，但有一个账户每天备份它的表。

**标签策略示例**

附加到组织根的标签策略可以定义具有四个合规值的 `CostCenter` 标签。附加到账户的单独标签策略可能会将 `CostCenter` 限制为四个合规值中的两个。这些标签策略的组合组成了有效标签策略。结果是，在组织根标签策略中定义的四个合规标签值中，只有两个符合该账户的要求。

**聊天应用程序政策示例**

聊天应用程序中的 Amazon Q 开发者版将根据有效的聊天应用程序政策，重新评估聊天应用程序中任何先前创建的 Amazon Q 开发者版配置，如果这些配置与有效策略中允许的设置和护栏一致，则会拒绝所有先前允许的操作。成员账户的有效策略定义了允许的设置和护栏。例如，假设将某个会拒绝访问公有 Slack 频道的聊天应用程序政策应用于成员账户，则该成员账户中公有 Slack 频道的现有聊天应用程序中的 Amazon Q 开发者版配置将被禁用。聊天应用程序中的 Amazon Q 开发者版不会发送通知，频道成员也无法在被阻止的频道中运行任何任务。聊天应用程序中的 Amazon Q 开发者版控制台会将受影响的频道标记为已禁用，并在其旁边显示相应的错误消息。

**AI 服务选择退出策略示例**

附加到组织根目录的 AI 服务选择退出政策可能会规定组织中的所有账户都选择不允许所有 Amazon 机器学习服务使用内容。直接附加到一个成员账户的单独 AI 服务选择退出策略指定它只为 Amazon Rekognition 选择启用内容使用服务。这些 AI 服务选择退出策略的组合构成了有效的 AI 服务选择退出策略。结果是，除了一个选择加入 Amazon Rekognition 的账户外，组织中的所有 Amazon Web Services 服务账户都选择退出所有账户。

## 如何查看有效管理策略
<a name="how-to-view-effective-policies"></a>

您可以通过 Amazon Web Services 管理控制台、 Amazon API 或查看账户管理策略类型的有效策略 Amazon Command Line Interface。

**最小权限**  
要查看账户的管理策略类型的有效策略，您必须要有运行以下操作的权限：  
`organizations:DescribeEffectivePolicy`
`organizations:DescribeOrganization` – 仅当使用 Organizations 控制台时才需要

------
#### [ Amazon Web Services 管理控制台 ]

**查看账户的管理策略类型的有效策略**

1. 登录 [Amazon Organizations 控制台](https://console.amazonaws.cn/organizations/v2)。您必须以 IAM 用户的身份登录，担任 IAM 角色；或在组织的管理账户中以根用户的身份登录（[不推荐](https://docs.amazonaws.cn/IAM/latest/UserGuide/best-practices.html#lock-away-credentials)）。

1. 在 **[Amazon Web Services 账户](https://console.amazonaws.cn/organizations/v2/home/accounts)**页面上，选择要查看其有效策略的账户的名称。您可能需要展开 OUs （选择![\[Gray cloud icon representing cloud computing or storage services.\]](http://docs.amazonaws.cn/organizations/latest/userguide/images/console-expand.png)）才能找到所需的帐户。

1. 在**策略**选项卡上，选择要查看其有效策略的管理策略类型。

1. 选择**查看此 Amazon Web Services 账户的有效策略**。

   控制台显示应用于指定账户的有效策略。
**注意**  
您无法复制和粘贴有效策略，并在不进行重大更改的情况下将其用作其他策略的 JSON。策略文档必须包含[继承运算符](policy-operators.md)，用来指定如何将每个设置合并到最终的有效策略中。

------
#### [ Amazon CLI & Amazon SDKs ]

**查看账户的管理策略类型的有效策略**  
您可以使用以下方法之一查看有效策略：
+ Amazon CLI: [describe-effective-policy](https://docs.amazonaws.cn/cli/latest/reference/organizations/describe-effective-policy.html)

  以下示例显示了账户的有效 AI 服务选择退出策略。

  ```
  $ aws organizations describe-effective-policy \
      --policy-type AISERVICES_OPT_OUT_POLICY \
      --target-id 123456789012
  {
      "EffectivePolicy": {
          "PolicyContent": "{\"services\":{\"comprehend\":{\"opt_out_policy\":\"optOut\"},   ....TRUNCATED FOR BREVITY....   "opt_out_policy\":\"optIn\"}}}",
          "LastUpdatedTimestamp": "2020-12-09T12:58:53.548000-08:00",
          "TargetId": "123456789012",
          "PolicyType": "AISERVICES_OPT_OUT_POLICY"
      }
  }
  ```
+ Amazon SDKs: [DescribeEffectivePolicy](https://docs.amazonaws.cn/organizations/latest/APIReference/API_DescribeEffectivePolicy.html) 

------

有关有效策略可能失效的情况的信息，请参阅[查看无效策略警报](https://docs.amazonaws.cn//organizations/latest/userguide/invalid-policy-alerts.html)。