获取有关组织策略的信息 - Amazon Organizations
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

获取有关组织策略的信息

本部分介绍了各种方法来获取有关您组织中的策略的详细信息。这些过程适用于所有 策略类型。您必须先在组织根中启用一个策略类型,然后才能将该类型的策略附加到组织根中的任何实体。

列出所有策略

最小权限

要列出组织中的策略,您必须拥有以下权限:

  • organizations:ListPolicies

您可以在Amazon Web Services Management Console中或通过使用 Amazon Command Line Interface(Amazon CLI)命令或 Amazon SDK 操作来查看您组织中的策略。

Amazon Web Services Management Console
列出组织中的所有策略
  1. 登录到 Amazon Organizations 控制台。您必须以 IAM 用户的身份登录,担任 IAM 角色;或在组织的管理账户中以根用户的身份登录(不推荐)。

  2. Policies (策略) 页面上,选择要列出的策略。

    如果启用了指定的策略类型,则控制台将显示组织中当前可用的该类型所有策略的列表。

  3. 返回到 Policies (策略) 页面,然后对每种策略类型重复此操作。

Amazon CLI & Amazon SDKs
列出组织中的所有策略

可以使用以下命令之一列出组织中的策略:

  • Amazon CLI:list-policies

    以下示例说明了如何获取您组织中所有服务控制策略的列表。您必须指定要查看的策略类型。对要包含的每个策略类型重复使用以下命令。

    $ aws organizations list-policies \ --filter SERVICE_CONTROL_POLICY { "Policies": [ { "Id": "p-FullAWSAccess", "Arn": "arn:aws:organizations::aws:policy/service_control_policy/p-FullAWSAccess", "Name": "FullAWSAccess", "Description": "Allows access to every operation", "Type": "SERVICE_CONTROL_POLICY", "AwsManaged": true } ] }
  • Amazon SDK:ListPolicies

列出附加到根、OU 或账户的策略

最小权限

要列出附加到您组织中的根、组织部门(OU)或账户的策略,您必须拥有以下权限:

  • organizations:ListPoliciesForTarget,且同一条策略语句中有一个 Resource 元素包含所指定目标的 Amazon Resource Name(ARN)(或“*”)。

Amazon Web Services Management Console
列出直接附加到所指定根、OU 或账户的所有策略
  1. 登录到 Amazon Organizations 控制台。您必须以 IAM 用户的身份登录,担任 IAM 角色;或在组织的管理账户中以根用户的身份登录(不推荐)。

  2. Amazon Web Services 账户页面上,选择要查看其策略的根、OU 或账户的名称。您可能需要展开 OU(选择 )以查找所需的 OU。

  3. 在根、OU 或账户页面上,选择 Policies (策略) 选项卡。

    Policies (策略) 选项卡显示附加到该根、OU 或账户的所有策略,并按策略类型分组。

Amazon CLI & Amazon SDKs
列出直接附加到所指定根、OU 或账户的所有策略

可以使用以下命令之一列出附加到实体的策略:

  • Amazon CLI:list-policies-for-target

    以下示例列出了附加到指定 OU 的所有服务控制策略。您必须同时指定根、OU 或账户的 ID,以及要列出的策略类型。

    $ aws organizations list-policies-for-target \ --target-id ou-a1b2-f6g7h222 \ --filter SERVICE_CONTROL_POLICY { "Policies": [ { "Id": "p-FullAWSAccess", "Arn": "arn:aws:organizations::aws:policy/service_control_policy/p-FullAWSAccess", "Name": "FullAWSAccess", "Description": "Allows access to every operation", "Type": "SERVICE_CONTROL_POLICY", "AwsManaged": true } ] }
  • Amazon SDK:ListPoliciesForTarget

列出策略附加到的所有根、OU 和账户

最小权限

要列出策略附加到的实体,您必须拥有以下权限:

  • organizations:ListTargetsForPolicy,且同一条策略语句中有一个 Resource 元素包含所指定策略的 ARN(或“*”)。

Amazon Web Services Management Console
列出拥有附加的所指定策略的所有根、OU 和账户
  1. 登录到 Amazon Organizations 控制台。您必须以 IAM 用户的身份登录,担任 IAM 角色;或在组织的管理账户中以根用户的身份登录(不推荐)。

  2. Policies (策略) 页面上,选择策略类型,然后选择要检查其附件的策略的名称。

  3. 选择 Targets (目标) 选项卡,以显示所选策略附加到的每个根、OU 和账户的表。

Amazon CLI & Amazon SDKs
列出拥有附加的所指定策略的所有根、OU 和账户

可以使用以下命令之一列出具有策略的实体:

  • Amazon CLI:list-targets-for-policy

    以下示例显示指定策略的根、OU 和账户的所有附件。

    $ aws organizations list-targets-for-policy \ --policy-id p-FullAWSAccess { "Targets": [ { "TargetId": "ou-a1b2-f6g7h111", "Arn": "arn:aws:organizations::123456789012:ou/o-aa111bb222/ou-a1b2-f6g7h111", "Name": "testou2", "Type": "ORGANIZATIONAL_UNIT" }, { "TargetId": "ou-a1b2-f6g7h222", "Arn": "arn:aws:organizations::123456789012:ou/o-aa111bb222/ou-a1b2-f6g7h222", "Name": "testou1", "Type": "ORGANIZATIONAL_UNIT" }, { "TargetId": "123456789012", "Arn": "arn:aws:organizations::123456789012:account/o-aa111bb222/123456789012", "Name": "My Management Account (bisdavid)", "Type": "ACCOUNT" }, { "TargetId": "r-a1b2", "Arn": "arn:aws:organizations::123456789012:root/o-aa111bb222/r-a1b2", "Name": "Root", "Type": "ROOT" } ] }
  • Amazon SDK:ListTargetsForPolicy

获取有关策略的详细信息

最小权限

要显示策略的详细信息,您必须拥有以下权限:

  • organizations:DescribePolicy,且同一条策略语句中有一个 Resource 元素包含所指定策略的 ARN(或“*”)。

Amazon Web Services Management Console
获取有关策略的详细信息
  1. 登录到 Amazon Organizations 控制台。您必须以 IAM 用户的身份登录,担任 IAM 角色;或在组织的管理账户中以根用户的身份登录(不推荐)。

  2. Policies (策略) 页面上,选择要检查的策略类型,然后选择策略的名称。

    策略页面显示有关策略的可用信息,包括 ARN、描述和附加项。

    • Content (内容) 选项卡以 JSON 格式显示策略的当前内容。

    • Targets (目标) 选项卡显示策略附加到的根、OU 和账户的列表。

    • Tags (标签) 选项卡显示附加到策略的标签。注意:Tags (标签) 选项卡不可用于Amazon托管式策略。

    要编辑策略,请选择 Edit policy (编辑策略)。由于每种策略类型都有不同的编辑要求,因此请参阅有关指定策略类型的创建和更新策略相关说明。

Amazon CLI & Amazon SDKs
获取有关策略的详细信息

可以使用以下命令之一获取有关策略的详细信息:

  • Amazon CLI:describe-policy

    以下示例显示指定策略的详细信息。

    $ aws organizations describe-policy \ --policy-id p-FullAWSAccess { "Policy": { "PolicySummary": { "Id": "p-FullAWSAccess", "Arn": "arn:aws:organizations::aws:policy/service_control_policy/p-FullAWSAccess", "Name": "FullAWSAccess", "Description": "Allows access to every operation", "Type": "SERVICE_CONTROL_POLICY", "AwsManaged": true }, "Content": "{\n \"Version\": \"2012-10-17\",\n \"Statement\": [\n {\n \"Effect\": \"Allow\",\n \"Action\": \"*\",\n \"Resource\": \"*\"\n }\n ]\n}" } }
  • Amazon SDK:DescribePolicy