附加和分离服务控制策略 - Amazon Organizations
从组织根、OU 或账户分离 SCP
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

附加和分离服务控制策略

登录到组织的管理账户时,您可以附加以前创建的服务控制策略(SCP)。您可以将 SCP 附加到组织根、组织部门(OU)或直接附加到账户。要创建 SCP,请完成以下步骤。

最小权限

要将 SCP 附加到根、OU 或账户,您需要运行以下操作的权限:

  • organizations:AttachPolicy,且同一条策略语句中有一个 Resource 元素包含“*”、指定策略的 Amazon Resource Name(ARN)或是您要附加该策略的根、OU 或账户的 ARN。

Amazon Web Services Management Console

您可以导航到要附加策略的根、OU 或账户,为其附加 SCP。

通过导航到根、OU 或账户来附加 SCP

  1. 登录到 Amazon Organizations 控制台。您必须以 IAM 用户的身份登录,担任 IAM 角色;或在组织的管理账户中以根用户的身份登录(不推荐)。

  2. Amazon Web Services 账户页面上,导航到要将 SCP 附加到的根、OU 或账户,并选择其旁边的复选框。您可能需要展开 OU(选择 )以查找所需的 OU 或账户。

  3. Policies (策略) 选项卡上的 Service control policies (服务控制策略) 条目中,选择 Attach (附加)

  4. 找到所需的策略,然后选择 Attach policy (附加策略)

    Policies (策略) 选项卡上的附加的 SCP 列表会更新,以包含新添加的内容。策略更改会立即影响所附加的根或 OU 下方的所附加账户或所有账户中 IAM 用户和角色的权限。

通过导航到策略来附加 SCP

  1. 登录到 Amazon Organizations 控制台。您必须以 IAM 用户的身份登录,担任 IAM 角色;或在组织的管理账户中以根用户的身份登录(不推荐)。

  2. Service control policies (服务控制策略) 页面上,选择要附加的策略的名称。

  3. Targets (目标) 选项卡上,选择 Attach (附加)

  4. 选择要附加策略的根、OU 或账户旁边的单选按钮。您可能需要展开 OU(选择 )以查找所需的 OU 或账户。

  5. 选择 Attach policy(附上策略)。

    Targets (目标) 选项卡上的附加的 SCP 列表会更新,以包含新添加的内容。策略更改会立即影响所附加的根或 OU 下方的所附加账户或所有账户中 IAM 用户和角色的权限。

Amazon CLI & Amazon SDKs
通过导航到根、OU 或账户来附加 SCP

您可以使用以下命令之一附加 SCP:

  • Amazon CLI:attach-policy

    以下示例将 SCP 附加到 OU。

    $ aws organizations attach-policy \
    --policy-id p-i9j8k7l6m5 \
    --target-id ou-a1b2-f6g7h222

    如果成功,此命令不会产生任何输出。

  • Amazon SDK:AttachPolicy

策略更改会立即影响所附加的根或 OU 下方的所附加账户或所有账户中 IAM 用户和角色的权限。

从组织根、OU 或账户分离 SCP

当您登录到组织的管理账户时,您可以从 SCP 所附加到的组织根、OU 或账户分离 SCP。从某个实体分离 SCP 后,该 SCP 将不再应用于现在分离的实体所影响的任何账户。要分离 SCP,请完成以下步骤。

注意

您无法从根、OU 或账户分离最后一个 SCP。每个根、OU 和账户必须始终附加有至少一个 SCP。

最小权限

要从根、OU 或账户分离 SCP,您需要运行以下操作的权限:

  • organizations:DetachPolicy

Amazon Web Services Management Console

您可以导航到要从中分离策略的根、OU 或账户,为其分离 SCP。

通过导航到已附加策略的根、OU 或账户来分离 SCP

  1. 登录到 Amazon Organizations 控制台。您必须以 IAM 用户的身份登录,担任 IAM 角色;或在组织的管理账户中以根用户的身份登录(不推荐)。

  2. Amazon Web Services 账户页面导航到要分离策略的根、OU 或账户。您可能需要展开 OU(选择 )以查找所需的 OU 或账户。选择根、OU 或账户的名称。

  3. Policies (策略) 选项卡上,选择要分离的 SCP 旁边的单选按钮,然后选择 Detach (分离)

  4. 在确认对话框中,选择 Detach policy (分离策略)

    附加 SCP 的列表更新。分离 SCP 引起的策略更改立即生效。例如,分离 SCP 会立即影响以前附加的账户或以前附加的组织根或 OU 下的账户中 IAM 用户和角色的权限。

通过导航到策略来分离 SCP

  1. 登录到 Amazon Organizations 控制台。您必须以 IAM 用户的身份登录,担任 IAM 角色;或在组织的管理账户中以根用户的身份登录(不推荐)。

  2. Service control policies (服务控制策略) 页面上,选择要从根、OU 或账户分离的策略的名称。

  3. Targets (目标) 选项卡上,选择要分离策略的根、OU 或账户旁边的单选按钮。您可能需要展开 OU(选择 )以查找所需的 OU 或账户。

  4. 选择分离

  5. 在确认对话框中,选择 Detach (分离)

    附加 SCP 的列表更新。分离 SCP 引起的策略更改立即生效。例如,分离 SCP 会立即影响以前附加的账户或以前附加的组织根或 OU 下的账户中 IAM 用户和角色的权限。

Amazon CLI & Amazon SDKs
从根、OU 或账户分离 SCP

您可以使用以下命令之一分离 SCP:

  • Amazon CLI:detach-policy

    以下示例将指定的 SCP 与指定的 OU 分离。

    $ aws organizations detach-policy \
    --policy-id p-i9j8k7l6m5 \
    --target-id ou-a1b2-f6g7h222

  • Amazon SDK:DetachPolicy

策略更改会立即影响所附加的根或 OU 下方的所附加账户或所有账户中 IAM 用户和角色的权限