Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅
中国的 Amazon Web Services 服务入门
(PDF)。
本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
附加和分离服务控制策略
登录到组织的管理账户时,您可以附加以前创建的服务控制策略(SCP)。您可以将 SCP 附加到组织根、组织部门(OU)或直接附加到账户。要创建 SCP,请完成以下步骤。
要将 SCP 附加到根、OU 或账户,您需要运行以下操作的权限:
- Amazon Web Services Management Console
-
您可以导航到要附加策略的根、OU 或账户,为其附加 SCP。
通过导航到根、OU 或账户来附加 SCP
-
登录到 Amazon Organizations 控制台。您必须以 IAM 用户的身份登录,担任 IAM 角色;或在组织的管理账户中以根用户的身份登录(不推荐)。
-
在Amazon Web Services 账户页面上,导航到要将 SCP 附加到的根、OU 或账户,并选择其旁边的复选框。您可能需要展开 OU(选择
)以查找所需的 OU 或账户。
-
在 Policies (策略) 选项卡上的 Service control policies (服务控制策略) 条目中,选择 Attach (附加)。
-
找到所需的策略,然后选择 Attach policy (附加策略)。
Policies (策略) 选项卡上的附加的 SCP 列表会更新,以包含新添加的内容。策略更改会立即影响所附加的根或 OU 下方的所附加账户或所有账户中 IAM 用户和角色的权限。
通过导航到策略来附加 SCP
-
登录到 Amazon Organizations 控制台。您必须以 IAM 用户的身份登录,担任 IAM 角色;或在组织的管理账户中以根用户的身份登录(不推荐)。
-
在 Service control policies (服务控制策略) 页面上,选择要附加的策略的名称。
-
在 Targets (目标) 选项卡上,选择 Attach (附加)。
-
选择要附加策略的根、OU 或账户旁边的单选按钮。您可能需要展开 OU(选择
)以查找所需的 OU 或账户。
-
选择 Attach policy(附上策略)。
Targets (目标) 选项卡上的附加的 SCP 列表会更新,以包含新添加的内容。策略更改会立即影响所附加的根或 OU 下方的所附加账户或所有账户中 IAM 用户和角色的权限。
- Amazon CLI & Amazon SDKs
-
通过导航到根、OU 或账户来附加 SCP
您可以使用以下命令之一附加 SCP:
策略更改会立即影响所附加的根或 OU 下方的所附加账户或所有账户中 IAM 用户和角色的权限。
从组织根、OU 或账户分离 SCP
当您登录到组织的管理账户时,您可以从 SCP 所附加到的组织根、OU 或账户分离 SCP。从某个实体分离 SCP 后,该 SCP 将不再应用于现在分离的实体所影响的任何账户。要分离 SCP,请完成以下步骤。
您无法从根、OU 或账户分离最后一个 SCP。每个根、OU 和账户必须始终附加有至少一个 SCP。
要从根、OU 或账户分离 SCP,您需要运行以下操作的权限:
- Amazon Web Services Management Console
-
您可以导航到要从中分离策略的根、OU 或账户,为其分离 SCP。
通过导航到已附加策略的根、OU 或账户来分离 SCP
-
登录到 Amazon Organizations 控制台。您必须以 IAM 用户的身份登录,担任 IAM 角色;或在组织的管理账户中以根用户的身份登录(不推荐)。
-
在Amazon Web Services 账户页面导航到要分离策略的根、OU 或账户。您可能需要展开 OU(选择
)以查找所需的 OU 或账户。选择根、OU 或账户的名称。
-
在 Policies (策略) 选项卡上,选择要分离的 SCP 旁边的单选按钮,然后选择 Detach (分离)。
-
在确认对话框中,选择 Detach policy (分离策略)。
附加 SCP 的列表更新。分离 SCP 引起的策略更改立即生效。例如,分离 SCP 会立即影响以前附加的账户或以前附加的组织根或 OU 下的账户中 IAM 用户和角色的权限。
通过导航到策略来分离 SCP
-
登录到 Amazon Organizations 控制台。您必须以 IAM 用户的身份登录,担任 IAM 角色;或在组织的管理账户中以根用户的身份登录(不推荐)。
-
在 Service control policies (服务控制策略) 页面上,选择要从根、OU 或账户分离的策略的名称。
-
在 Targets (目标) 选项卡上,选择要分离策略的根、OU 或账户旁边的单选按钮。您可能需要展开 OU(选择
)以查找所需的 OU 或账户。
-
选择分离。
-
在确认对话框中,选择 Detach (分离)。
附加 SCP 的列表更新。分离 SCP 引起的策略更改立即生效。例如,分离 SCP 会立即影响以前附加的账户或以前附加的组织根或 OU 下的账户中 IAM 用户和角色的权限。
- Amazon CLI & Amazon SDKs
-
从根、OU 或账户分离 SCP
您可以使用以下命令之一分离 SCP:
策略更改会立即影响所附加的根或 OU 下方的所附加账户或所有账户中 IAM 用户和角色的权限