获取有关组织策略的信息 - Amazon Organizations
列出所有策略列出附加的策略列出所有附件获取有关策略的详细信息
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

获取有关组织策略的信息

本部分介绍了各种方法来获取有关您组织中的策略的详细信息。这些过程适用于所有 策略类型。您必须先在组织根中启用一个策略类型,然后才能将该类型的策略附加到组织根中的任何实体。

列出所有策略

最小权限

要列出组织中的策略,您必须拥有以下权限:

  • organizations:ListPolicies

您可以在Amazon Web Services Management Console中或通过使用 Amazon Command Line Interface(Amazon CLI)命令或 Amazon SDK 操作来查看您组织中的策略。

Amazon Web Services Management Console
列出组织中的所有策略

  1. 登录到 Amazon Organizations 控制台。您必须以 IAM 用户的身份登录,担任 IAM 角色;或在组织的管理账户中以根用户的身份登录(不推荐)。

  2. Policies (策略) 页面上,选择要列出的策略。

    如果启用了指定的策略类型,则控制台将显示组织中当前可用的该类型所有策略的列表。

  3. 返回到 Policies (策略) 页面,然后对每种策略类型重复此操作。

Amazon CLI & Amazon SDKs
列出组织中的所有策略

可以使用以下命令之一列出组织中的策略:

  • Amazon CLI:list-policies

    以下示例说明了如何获取您组织中所有服务控制策略的列表。您必须指定要查看的策略类型。对要包含的每个策略类型重复使用以下命令。

    $ aws organizations list-policies \
    --filter SERVICE_CONTROL_POLICY
{
    "Policies": [
        {
            "Id": "p-FullAWSAccess",
            "Arn": "arn:aws:organizations::aws:policy/service_control_policy/p-FullAWSAccess",
            "Name": "FullAWSAccess",
            "Description": "Allows access to every operation",
            "Type": "SERVICE_CONTROL_POLICY",
            "AwsManaged": true
        }
    ]
}

  • Amazon SDK:ListPolicies

列出附加到根、OU 或账户的策略

最小权限

要列出附加到您组织中的根、组织部门(OU)或账户的策略,您必须拥有以下权限:

  • organizations:ListPoliciesForTarget,且同一条策略语句中有一个 Resource 元素包含所指定目标的 Amazon Resource Name(ARN)(或“*”)。

Amazon Web Services Management Console
列出直接附加到所指定根、OU 或账户的所有策略

  1. 登录到 Amazon Organizations 控制台。您必须以 IAM 用户的身份登录,担任 IAM 角色;或在组织的管理账户中以根用户的身份登录(不推荐)。

  2. Amazon Web Services 账户页面上,选择要查看其策略的根、OU 或账户的名称。您可能需要展开 OU(选择 )以查找所需的 OU。

  3. 在根、OU 或账户页面上,选择 Policies (策略) 选项卡。

    Policies (策略) 选项卡显示附加到该根、OU 或账户的所有策略,并按策略类型分组。

Amazon CLI & Amazon SDKs
列出直接附加到所指定根、OU 或账户的所有策略

可以使用以下命令之一列出附加到实体的策略:

  • Amazon CLI:list-policies-for-target

    以下示例列出了附加到指定 OU 的所有服务控制策略。您必须同时指定根、OU 或账户的 ID,以及要列出的策略类型。

    $ aws organizations list-policies-for-target \
    --target-id ou-a1b2-f6g7h222 \
    --filter SERVICE_CONTROL_POLICY
{
    "Policies": [
        {
            "Id": "p-FullAWSAccess",
            "Arn": "arn:aws:organizations::aws:policy/service_control_policy/p-FullAWSAccess",
            "Name": "FullAWSAccess",
            "Description": "Allows access to every operation",
            "Type": "SERVICE_CONTROL_POLICY",
            "AwsManaged": true
        }
    ]
}

  • Amazon SDK:ListPoliciesForTarget

列出策略附加到的所有根、OU 和账户

最小权限

要列出策略附加到的实体,您必须拥有以下权限:

  • organizations:ListTargetsForPolicy,且同一条策略语句中有一个 Resource 元素包含所指定策略的 ARN(或“*”)。

Amazon Web Services Management Console
列出拥有附加的所指定策略的所有根、OU 和账户

  1. 登录到 Amazon Organizations 控制台。您必须以 IAM 用户的身份登录,担任 IAM 角色;或在组织的管理账户中以根用户的身份登录(不推荐)。

  2. Policies (策略) 页面上,选择策略类型,然后选择要检查其附件的策略的名称。

  3. 选择 Targets (目标) 选项卡,以显示所选策略附加到的每个根、OU 和账户的表。

Amazon CLI & Amazon SDKs
列出拥有附加的所指定策略的所有根、OU 和账户

可以使用以下命令之一列出具有策略的实体:

  • Amazon CLI:list-targets-for-policy

    以下示例显示指定策略的根、OU 和账户的所有附件。

    $ aws organizations list-targets-for-policy \
    --policy-id p-FullAWSAccess
{
    "Targets": [
        {
            "TargetId": "ou-a1b2-f6g7h111",
            "Arn": "arn:aws:organizations::123456789012:ou/o-aa111bb222/ou-a1b2-f6g7h111",
            "Name": "testou2",
            "Type": "ORGANIZATIONAL_UNIT"
        },
        {
            "TargetId": "ou-a1b2-f6g7h222",
            "Arn": "arn:aws:organizations::123456789012:ou/o-aa111bb222/ou-a1b2-f6g7h222",
            "Name": "testou1",
            "Type": "ORGANIZATIONAL_UNIT"
        },
        {
            "TargetId": "123456789012",
            "Arn": "arn:aws:organizations::123456789012:account/o-aa111bb222/123456789012",
            "Name": "My Management Account (bisdavid)",
            "Type": "ACCOUNT"
        },
        {
            "TargetId": "r-a1b2",
            "Arn": "arn:aws:organizations::123456789012:root/o-aa111bb222/r-a1b2",
            "Name": "Root",
            "Type": "ROOT"
        }
    ]
}

  • Amazon SDK:ListTargetsForPolicy

获取有关策略的详细信息

最小权限

要显示策略的详细信息,您必须拥有以下权限:

  • organizations:DescribePolicy,且同一条策略语句中有一个 Resource 元素包含所指定策略的 ARN(或“*”)。

Amazon Web Services Management Console
获取有关策略的详细信息

  1. 登录到 Amazon Organizations 控制台。您必须以 IAM 用户的身份登录,担任 IAM 角色;或在组织的管理账户中以根用户的身份登录(不推荐)。

  2. Policies (策略) 页面上,选择要检查的策略类型,然后选择策略的名称。

    策略页面显示有关策略的可用信息,包括 ARN、描述和附加项。

    • Content (内容) 选项卡以 JSON 格式显示策略的当前内容。

    • Targets (目标) 选项卡显示策略附加到的根、OU 和账户的列表。

    • Tags (标签) 选项卡显示附加到策略的标签。注意:Tags (标签) 选项卡不可用于Amazon托管式策略。

    要编辑策略,请选择 Edit policy (编辑策略)。由于每种策略类型都有不同的编辑要求,因此请参阅有关指定策略类型的创建和更新策略相关说明。

Amazon CLI & Amazon SDKs
获取有关策略的详细信息

可以使用以下命令之一获取有关策略的详细信息:

  • Amazon CLI:describe-policy

    以下示例显示指定策略的详细信息。

    $ aws organizations describe-policy \
    --policy-id p-FullAWSAccess
{
    "Policy": {
        "PolicySummary": {
            "Id": "p-FullAWSAccess",
            "Arn": "arn:aws:organizations::aws:policy/service_control_policy/p-FullAWSAccess",
            "Name": "FullAWSAccess",
            "Description": "Allows access to every operation",
            "Type": "SERVICE_CONTROL_POLICY",
            "AwsManaged": true
        },
        "Content": "{\n  \"Version\": \"2012-10-17\",\n  \"Statement\": [\n    {\n      \"Effect\": \"Allow\",\n      \"Action\": \"*\",\n      \"Resource\": \"*\"\n    }\n  ]\n}"
    }
}

  • Amazon SDK:DescribePolicy