Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅
中国的 Amazon Web Services 服务入门
(PDF)。
本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
获取有关组织策略的信息
本部分介绍了各种方法来获取有关您组织中的策略的详细信息。这些过程适用于所有 策略类型。您必须先在组织根中启用一个策略类型,然后才能将该类型的策略附加到组织根中的任何实体。
列出所有策略
您可以在Amazon Web Services Management Console中或通过使用 Amazon Command Line Interface(Amazon CLI)命令或 Amazon SDK 操作来查看您组织中的策略。
- Amazon Web Services Management Console
-
- Amazon CLI & Amazon SDKs
-
列出组织中的所有策略
可以使用以下命令之一列出组织中的策略:
-
Amazon CLI:list-policies
以下示例说明了如何获取您组织中所有服务控制策略的列表。您必须指定要查看的策略类型。对要包含的每个策略类型重复使用以下命令。
$
aws organizations list-policies \
--filter SERVICE_CONTROL_POLICY
{
"Policies": [
{
"Id": "p-FullAWSAccess",
"Arn": "arn:aws:organizations::aws:policy/service_control_policy/p-FullAWSAccess",
"Name": "FullAWSAccess",
"Description": "Allows access to every operation",
"Type": "SERVICE_CONTROL_POLICY",
"AwsManaged": true
}
]
}
-
Amazon SDK:ListPolicies
列出附加到根、OU 或账户的策略
要列出附加到您组织中的根、组织部门(OU)或账户的策略,您必须拥有以下权限:
- Amazon Web Services Management Console
-
列出直接附加到所指定根、OU 或账户的所有策略
-
登录到 Amazon Organizations 控制台。您必须以 IAM 用户的身份登录,担任 IAM 角色;或在组织的管理账户中以根用户的身份登录(不推荐)。
-
在Amazon Web Services 账户页面上,选择要查看其策略的根、OU 或账户的名称。您可能需要展开 OU(选择
)以查找所需的 OU。
-
在根、OU 或账户页面上,选择 Policies (策略) 选项卡。
Policies (策略) 选项卡显示附加到该根、OU 或账户的所有策略,并按策略类型分组。
- Amazon CLI & Amazon SDKs
-
列出直接附加到所指定根、OU 或账户的所有策略
可以使用以下命令之一列出附加到实体的策略:
-
Amazon CLI:list-policies-for-target
以下示例列出了附加到指定 OU 的所有服务控制策略。您必须同时指定根、OU 或账户的 ID,以及要列出的策略类型。
$
aws organizations list-policies-for-target \
--target-id ou-a1b2-f6g7h222 \
--filter SERVICE_CONTROL_POLICY
{
"Policies": [
{
"Id": "p-FullAWSAccess",
"Arn": "arn:aws:organizations::aws:policy/service_control_policy/p-FullAWSAccess",
"Name": "FullAWSAccess",
"Description": "Allows access to every operation",
"Type": "SERVICE_CONTROL_POLICY",
"AwsManaged": true
}
]
}
-
Amazon SDK:ListPoliciesForTarget
列出策略附加到的所有根、OU 和账户
- Amazon Web Services Management Console
-
- Amazon CLI & Amazon SDKs
-
列出拥有附加的所指定策略的所有根、OU 和账户
可以使用以下命令之一列出具有策略的实体:
-
Amazon CLI:list-targets-for-policy
以下示例显示指定策略的根、OU 和账户的所有附件。
$
aws organizations list-targets-for-policy \
--policy-id p-FullAWSAccess
{
"Targets": [
{
"TargetId": "ou-a1b2-f6g7h111",
"Arn": "arn:aws:organizations::123456789012:ou/o-aa111bb222/ou-a1b2-f6g7h111",
"Name": "testou2",
"Type": "ORGANIZATIONAL_UNIT"
},
{
"TargetId": "ou-a1b2-f6g7h222",
"Arn": "arn:aws:organizations::123456789012:ou/o-aa111bb222/ou-a1b2-f6g7h222",
"Name": "testou1",
"Type": "ORGANIZATIONAL_UNIT"
},
{
"TargetId": "123456789012",
"Arn": "arn:aws:organizations::123456789012:account/o-aa111bb222/123456789012",
"Name": "My Management Account (bisdavid)",
"Type": "ACCOUNT"
},
{
"TargetId": "r-a1b2",
"Arn": "arn:aws:organizations::123456789012:root/o-aa111bb222/r-a1b2",
"Name": "Root",
"Type": "ROOT"
}
]
}
-
Amazon SDK:ListTargetsForPolicy
获取有关策略的详细信息
- Amazon Web Services Management Console
-
获取有关策略的详细信息
-
登录到 Amazon Organizations 控制台。您必须以 IAM 用户的身份登录,担任 IAM 角色;或在组织的管理账户中以根用户的身份登录(不推荐)。
-
在 Policies (策略) 页面上,选择要检查的策略类型,然后选择策略的名称。
策略页面显示有关策略的可用信息,包括 ARN、描述和附加项。
-
Content (内容) 选项卡以 JSON 格式显示策略的当前内容。
-
Targets (目标) 选项卡显示策略附加到的根、OU 和账户的列表。
-
Tags (标签) 选项卡显示附加到策略的标签。注意:Tags (标签) 选项卡不可用于Amazon托管式策略。
要编辑策略,请选择 Edit policy (编辑策略)。由于每种策略类型都有不同的编辑要求,因此请参阅有关指定策略类型的创建和更新策略相关说明。
- Amazon CLI & Amazon SDKs
-
获取有关策略的详细信息
可以使用以下命令之一获取有关策略的详细信息:
-
Amazon CLI:describe-policy
以下示例显示指定策略的详细信息。
$
aws organizations describe-policy \
--policy-id p-FullAWSAccess
{
"Policy": {
"PolicySummary": {
"Id": "p-FullAWSAccess",
"Arn": "arn:aws:organizations::aws:policy/service_control_policy/p-FullAWSAccess",
"Name": "FullAWSAccess",
"Description": "Allows access to every operation",
"Type": "SERVICE_CONTROL_POLICY",
"AwsManaged": true
},
"Content": "{\n \"Version\": \"2012-10-17\",\n \"Statement\": [\n {\n \"Effect\": \"Allow\",\n \"Action\": \"*\",\n \"Resource\": \"*\"\n }\n ]\n}"
}
}
-
Amazon SDK:DescribePolicy