本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
将组织策略附加到 Amazon Organizations
本主题介绍如何使用附加策略 Amazon Organizations。 策略定义了您要应用于一组的控制措施 Amazon Web Services 账户. Amazon Organizations 支持管理策略和授权策略。
将策略附加到 Amazon Organizations
最小权限
要附加策略,您必须拥有运行以下操作的权限:
-
organizations:AttachPolicy
最小权限
要将关联SCP到根、OU 或账户,您需要获得运行以下操作的权限:
-
organizations:AttachPolicy
在同一份政策声明中加入一个Resource
元素,包括指定策略的 “*” 或 Amazon 资源名称 (ARN) 以及您要将该政策附加到的根、OU 或账户 ARN
- Backup policies
-
您可以导航到要附加策略的根、OU 或账户,为其附加备份策略。
通过导航到根、OU 或账户来附加备份策略
-
登录 。Amazon Organizations 控制台
。您必须以IAM用户身份登录、代入IAM角色或以 root 用户身份登录(不推荐)在组织的管理账户中登录。 -
在存储库的 Amazon Web Services 账户
页面上,导航到要向其附加策略的根、OU 或账户的名称,然后选择其名称。您可能需要展开OUs(选择 )才能找到所需的 OU 或帐户。 -
在 Policies (策略) 选项卡上的 Backup policies (备份策略) 中,选择 Attach (附加)。
-
找到所需的策略,然后选择 Attach policy (附加策略)。
Policies (策略) 选项卡上的附加的备份策略列表会更新,以包含新添加的内容。策略更改会立即生效。
通过导航到策略来附加备份策略
-
登录 。Amazon Organizations 控制台
。您必须以IAM用户身份登录、代入IAM角色或以 root 用户身份登录(不推荐)在组织的管理账户中登录。 -
在 Backup policies (备份策略)
页面上,选择要附加的策略的名称。 -
在 Targets (目标) 选项卡上,选择 Attach (附加)。
-
选择要附加策略的根、OU 或账户旁边的单选按钮。您可能需要展开OUs(选择 )才能找到所需的 OU 或帐户。
-
选择附加策略。
Targets (目标) 选项卡上的附加的备份策略列表会更新,以包含新添加的内容。策略更改会立即生效。
-
- Tag policies
-
您可以导航到要附加策略的根、OU 或账户,为其附加标签策略。
通过导航到根、OU 或账户来附加标签策略
-
登录 。Amazon Organizations 控制台
。您必须以IAM用户身份登录、代入IAM角色或以 root 用户身份登录(不推荐)在组织的管理账户中登录。 -
在存储库的 Amazon Web Services 账户
页面上,导航到要向其附加策略的根、OU 或账户的名称,然后选择其名称。您可能需要展开OUs(选择 )才能找到所需的 OU 或帐户。 -
在 Policies (策略) 选项卡上的 Tag policies (标签策略) 中,选择 Attach (附加)。
-
找到所需的策略,然后选择 Attach policy (附加策略)。
Policies (策略) 选项卡上的附加的标签策略列表会更新,以包含新添加的内容。策略更改会立即生效。
通过导航到策略来附加标签策略
-
登录 。Amazon Organizations 控制台
。您必须以IAM用户身份登录、代入IAM角色或以 root 用户身份登录(不推荐)在组织的管理账户中登录。 -
在 Tag policies (标签策略)
页面上,选择要附加的策略的名称。 -
在 Targets (目标) 选项卡上,选择 Attach (附加)。
-
选择要附加策略的根、OU 或账户旁边的单选按钮。您可能需要展开OUs(选择 )才能找到所需的 OU 或帐户。
-
选择附加策略。
Targets (目标) 选项卡上的附加的标签策略列表会更新,以包含新添加的内容。策略更改会立即生效。
-
- AI services opt-out policies
-
您可以导航到要附加策略的根、OU 或账户,为其附加 AI 服务选择退出策略。
通过导航到根、OU 或账户来附加 AI 服务选择退出策略
-
登录 。Amazon Organizations 控制台
。您必须以IAM用户身份登录、代入IAM角色或以 root 用户身份登录(不推荐)在组织的管理账户中登录。 -
在存储库的 Amazon Web Services 账户
页面上,导航到要向其附加策略的根、OU 或账户的名称,然后选择其名称。您可能需要展开OUs(选择 )才能找到所需的 OU 或帐户。 -
在 Policies (策略) 选项卡上的 AI service opt-out policies (AI 服务选择退出策略) 条目中,选择 Attach (附加)。
-
找到所需的策略,然后选择 Attach policy (附加策略)。
Policies (策略) 选项卡上的附加的 AI 服务选择退出策略列表会更新,以包含新添加的内容。策略更改会立即生效。
通过导航到策略来附加 AI 服务选择退出策略
-
登录 。Amazon Organizations 控制台
。您必须以IAM用户身份登录、代入IAM角色或以 root 用户身份登录(不推荐)在组织的管理账户中登录。 -
在 AI services opt-out policies (AI 服务选择退出策略)
页面上,选择要附加的策略的名称。 -
在 Targets (目标) 选项卡上,选择 Attach (附加)。
-
选择要附加策略的根、OU 或账户旁边的单选按钮。您可能需要展开OUs(选择 )才能找到所需的 OU 或帐户。
-
选择附加策略。
Targets (目标) 选项卡上的附加的 AI 服务选择退出策略列表会更新,以包含新添加的内容。策略更改会立即生效。
-
- Service control policies (SCPs)
-
您可以SCP通过导航到策略或要将策略关联到的根目录、OU 或账户来附加。
要附加SCP,请导航到根目录、组织单位或账户
-
登录 。Amazon Organizations 控制台
。您必须以IAM用户身份登录、代入IAM角色或以 root 用户身份登录(不推荐)在组织的管理账户中登录。 -
在存储库的 Amazon Web Services 账户
页面上,导航到要附加的根、OU 或帐户旁边的复选框。SCP您可能需要展开OUs(选择 )才能找到所需的 OU 或帐户。 -
在 Policies (策略) 选项卡上的 Service control policies (服务控制策略) 条目中,选择 Attach (附加)。
-
找到所需的策略,然后选择 Attach policy (附加策略)。
“策略” 选项卡SCPs上的附件列表已更新,以包含新增内容。政策变更会立即生效,从而影响关联账户中的IAM用户和角色的权限,或者影响附加根或 OU 下的所有账户的权限。
要附加SCP,请导航到策略
-
登录 。Amazon Organizations 控制台
。您必须以IAM用户身份登录、代入IAM角色或以 root 用户身份登录(不推荐)在组织的管理账户中登录。 -
在 Service control policies (服务控制策略)
页面上,选择要附加的策略的名称。 -
在 Targets (目标) 选项卡上,选择 Attach (附加)。
-
选择要附加策略的根、OU 或账户旁边的单选按钮。您可能需要展开OUs(选择 )才能找到所需的 OU 或帐户。
-
选择附加策略。
“目标” 选项卡SCPs上的附件列表已更新,以包含新增内容。政策变更会立即生效,从而影响关联账户中的IAM用户和角色的权限,或者影响附加根或 OU 下的所有账户的权限。
-
政策变更会立即生效,影响关联账户中的IAM用户和角色的权限,或者影响附加的根账户或 OU 下的所有账户的权限
附加政策
以下代码示例演示如何使用 AttachPolicy
。
- .NET
-
- Amazon SDK for .NET
-
注意
还有更多相关信息 GitHub。在中查找完整的示例,学习如何设置和运行 Amazon 代码示例存储库
。 using System; using System.Threading.Tasks; using Amazon.Organizations; using Amazon.Organizations.Model; /// <summary> /// Shows how to attach an AWS Organizations policy to an organization, /// an organizational unit, or an account. /// </summary> public class AttachPolicy { /// <summary> /// Initializes the Organizations client object and then calls the /// AttachPolicyAsync method to attach the policy to the root /// organization. /// </summary> public static async Task Main() { IAmazonOrganizations client = new AmazonOrganizationsClient(); var policyId = "p-00000000"; var targetId = "r-0000"; var request = new AttachPolicyRequest { PolicyId = policyId, TargetId = targetId, }; var response = await client.AttachPolicyAsync(request); if (response.HttpStatusCode == System.Net.HttpStatusCode.OK) { Console.WriteLine($"Successfully attached Policy ID {policyId} to Target ID: {targetId}."); } else { Console.WriteLine("Was not successful in attaching the policy."); } } }
-
有关API详细信息,请参阅AttachPolicy中的 Amazon SDK for .NET API参考。
-
- CLI
-
- Amazon CLI
-
将策略附加到根、OU 或账户
示例 1
以下示例说明如何将服务控制策略 (SCP) 附加到 OU:
aws organizations attach-policy --policy-id
p-examplepolicyid111
--target-idou-examplerootid111-exampleouid111
示例 2
以下示例演示如何将服务控制策略直接附加到账户:
aws organizations attach-policy --policy-id
p-examplepolicyid111
--target-id333333333333
-
有关API详细信息,请参阅AttachPolicy
中的 Amazon CLI 命令参考。
-
- Python
-
- SDK适用于 Python (Boto3)
-
注意
还有更多相关信息 GitHub。在中查找完整的示例,学习如何设置和运行 Amazon 代码示例存储库
。 def attach_policy(policy_id, target_id, orgs_client): """ Attaches a policy to a target. The target is an organization root, account, or organizational unit. :param policy_id: The ID of the policy to attach. :param target_id: The ID of the resources to attach the policy to. :param orgs_client: The Boto3 Organizations client. """ try: orgs_client.attach_policy(PolicyId=policy_id, TargetId=target_id) logger.info("Attached policy %s to target %s.", policy_id, target_id) except ClientError: logger.exception( "Couldn't attach policy %s to target %s.", policy_id, target_id ) raise
-
有关API详细信息,请参阅AttachPolicy中的 Amazon SDK供参考 Python (Boto3) API。
-
政策变更会立即生效,影响关联账户中的IAM用户和角色的权限,或者影响附加的根账户或 OU 下的所有账户的权限