将组织策略附加到 Amazon Organizations - Amazon Organizations
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

将组织策略附加到 Amazon Organizations

本主题介绍如何使用附加策略 Amazon Organizations。 策略定义了您要应用于一组的控制措施 Amazon Web Services 账户. Amazon Organizations 支持管理策略和授权策略。

将策略附加到 Amazon Organizations

最小权限

要附加策略,您必须拥有运行以下操作的权限:

  • organizations:AttachPolicy

最小权限

要将关联SCP到根、OU 或账户,您需要获得运行以下操作的权限:

  • organizations:AttachPolicy在同一份政策声明中加入一个Resource元素,包括指定策略的 “*” 或 Amazon 资源名称 (ARN) 以及您要将该政策附加到的根、OU 或账户 ARN

Backup policies

您可以导航到要附加策略的根、OU 或账户,为其附加备份策略。

通过导航到根、OU 或账户来附加备份策略
  1. 登录 。Amazon Organizations 控制台。您必须以IAM用户身份登录、代入IAM角色或以 root 用户身份登录(不推荐)在组织的管理账户中登录。

  2. 在存储库的 Amazon Web Services 账户页面上,导航到要向其附加策略的根、OU 或账户的名称,然后选择其名称。您可能需要展开OUs(选择 Gray cloud icon representing cloud computing or storage services. )才能找到所需的 OU 或帐户。

  3. Policies (策略) 选项卡上的 Backup policies (备份策略) 中,选择 Attach (附加)

  4. 找到所需的策略,然后选择 Attach policy (附加策略)

    Policies (策略) 选项卡上的附加的备份策略列表会更新,以包含新添加的内容。策略更改会立即生效。

通过导航到策略来附加备份策略
  1. 登录 。Amazon Organizations 控制台。您必须以IAM用户身份登录、代入IAM角色或以 root 用户身份登录(不推荐)在组织的管理账户中登录。

  2. Backup policies (备份策略) 页面上,选择要附加的策略的名称。

  3. Targets (目标) 选项卡上,选择 Attach (附加)

  4. 选择要附加策略的根、OU 或账户旁边的单选按钮。您可能需要展开OUs(选择 Gray cloud icon representing cloud computing or storage services. )才能找到所需的 OU 或帐户。

  5. 选择附加策略

    Targets (目标) 选项卡上的附加的备份策略列表会更新,以包含新添加的内容。策略更改会立即生效。

Tag policies

您可以导航到要附加策略的根、OU 或账户,为其附加标签策略。

通过导航到根、OU 或账户来附加标签策略
  1. 登录 。Amazon Organizations 控制台。您必须以IAM用户身份登录、代入IAM角色或以 root 用户身份登录(不推荐)在组织的管理账户中登录。

  2. 在存储库的 Amazon Web Services 账户页面上,导航到要向其附加策略的根、OU 或账户的名称,然后选择其名称。您可能需要展开OUs(选择 Gray cloud icon representing cloud computing or storage services. )才能找到所需的 OU 或帐户。

  3. Policies (策略) 选项卡上的 Tag policies (标签策略) 中,选择 Attach (附加)

  4. 找到所需的策略,然后选择 Attach policy (附加策略)

    Policies (策略) 选项卡上的附加的标签策略列表会更新,以包含新添加的内容。策略更改会立即生效。

通过导航到策略来附加标签策略
  1. 登录 。Amazon Organizations 控制台。您必须以IAM用户身份登录、代入IAM角色或以 root 用户身份登录(不推荐)在组织的管理账户中登录。

  2. Tag policies (标签策略) 页面上,选择要附加的策略的名称。

  3. Targets (目标) 选项卡上,选择 Attach (附加)

  4. 选择要附加策略的根、OU 或账户旁边的单选按钮。您可能需要展开OUs(选择 Gray cloud icon representing cloud computing or storage services. )才能找到所需的 OU 或帐户。

  5. 选择附加策略

    Targets (目标) 选项卡上的附加的标签策略列表会更新,以包含新添加的内容。策略更改会立即生效。

AI services opt-out policies

您可以导航到要附加策略的根、OU 或账户,为其附加 AI 服务选择退出策略。

通过导航到根、OU 或账户来附加 AI 服务选择退出策略
  1. 登录 。Amazon Organizations 控制台。您必须以IAM用户身份登录、代入IAM角色或以 root 用户身份登录(不推荐)在组织的管理账户中登录。

  2. 在存储库的 Amazon Web Services 账户页面上,导航到要向其附加策略的根、OU 或账户的名称,然后选择其名称。您可能需要展开OUs(选择 Gray cloud icon representing cloud computing or storage services. )才能找到所需的 OU 或帐户。

  3. Policies (策略) 选项卡上的 AI service opt-out policies (AI 服务选择退出策略) 条目中,选择 Attach (附加)

  4. 找到所需的策略,然后选择 Attach policy (附加策略)

    Policies (策略) 选项卡上的附加的 AI 服务选择退出策略列表会更新,以包含新添加的内容。策略更改会立即生效。

通过导航到策略来附加 AI 服务选择退出策略
  1. 登录 。Amazon Organizations 控制台。您必须以IAM用户身份登录、代入IAM角色或以 root 用户身份登录(不推荐)在组织的管理账户中登录。

  2. AI services opt-out policies (AI 服务选择退出策略) 页面上,选择要附加的策略的名称。

  3. Targets (目标) 选项卡上,选择 Attach (附加)

  4. 选择要附加策略的根、OU 或账户旁边的单选按钮。您可能需要展开OUs(选择 Gray cloud icon representing cloud computing or storage services. )才能找到所需的 OU 或帐户。

  5. 选择附加策略

    Targets (目标) 选项卡上的附加的 AI 服务选择退出策略列表会更新,以包含新添加的内容。策略更改会立即生效。

Service control policies (SCPs)

您可以SCP通过导航到策略或要将策略关联到的根目录、OU 或账户来附加。

要附加SCP,请导航到根目录、组织单位或账户
  1. 登录 。Amazon Organizations 控制台。您必须以IAM用户身份登录、代入IAM角色或以 root 用户身份登录(不推荐)在组织的管理账户中登录。

  2. 在存储库的 Amazon Web Services 账户页面上,导航到要附加的根、OU 或帐户旁边的复选框。SCP您可能需要展开OUs(选择 Gray cloud icon representing cloud computing or storage services. )才能找到所需的 OU 或帐户。

  3. Policies (策略) 选项卡上的 Service control policies (服务控制策略) 条目中,选择 Attach (附加)

  4. 找到所需的策略,然后选择 Attach policy (附加策略)

    策略” 选项卡SCPs上的附件列表已更新,以包含新增内容。政策变更会立即生效,从而影响关联账户中的IAM用户和角色的权限,或者影响附加根或 OU 下的所有账户的权限。

要附加SCP,请导航到策略
  1. 登录 。Amazon Organizations 控制台。您必须以IAM用户身份登录、代入IAM角色或以 root 用户身份登录(不推荐)在组织的管理账户中登录。

  2. Service control policies (服务控制策略) 页面上,选择要附加的策略的名称。

  3. Targets (目标) 选项卡上,选择 Attach (附加)

  4. 选择要附加策略的根、OU 或账户旁边的单选按钮。您可能需要展开OUs(选择 Gray cloud icon representing cloud computing or storage services. )才能找到所需的 OU 或帐户。

  5. 选择附加策略

    目标” 选项卡SCPs上的附件列表已更新,以包含新增内容。政策变更会立即生效,从而影响关联账户中的IAM用户和角色的权限,或者影响附加根或 OU 下的所有账户的权限。

政策变更会立即生效,影响关联账户中的IAM用户和角色的权限,或者影响附加的根账户或 OU 下的所有账户的权限

附加政策

以下代码示例演示如何使用 AttachPolicy

.NET
Amazon SDK for .NET
注意

还有更多相关信息 GitHub。在中查找完整的示例,学习如何设置和运行 Amazon 代码示例存储库

using System; using System.Threading.Tasks; using Amazon.Organizations; using Amazon.Organizations.Model; /// <summary> /// Shows how to attach an AWS Organizations policy to an organization, /// an organizational unit, or an account. /// </summary> public class AttachPolicy { /// <summary> /// Initializes the Organizations client object and then calls the /// AttachPolicyAsync method to attach the policy to the root /// organization. /// </summary> public static async Task Main() { IAmazonOrganizations client = new AmazonOrganizationsClient(); var policyId = "p-00000000"; var targetId = "r-0000"; var request = new AttachPolicyRequest { PolicyId = policyId, TargetId = targetId, }; var response = await client.AttachPolicyAsync(request); if (response.HttpStatusCode == System.Net.HttpStatusCode.OK) { Console.WriteLine($"Successfully attached Policy ID {policyId} to Target ID: {targetId}."); } else { Console.WriteLine("Was not successful in attaching the policy."); } } }
  • 有关API详细信息,请参阅AttachPolicy中的 Amazon SDK for .NET API参考

CLI
Amazon CLI

将策略附加到根、OU 或账户

示例 1

以下示例说明如何将服务控制策略 (SCP) 附加到 OU:

aws organizations attach-policy --policy-id p-examplepolicyid111 --target-id ou-examplerootid111-exampleouid111

示例 2

以下示例演示如何将服务控制策略直接附加到账户:

aws organizations attach-policy --policy-id p-examplepolicyid111 --target-id 333333333333
  • 有关API详细信息,请参阅AttachPolicy中的 Amazon CLI 命令参考

Python
SDK适用于 Python (Boto3)
注意

还有更多相关信息 GitHub。在中查找完整的示例,学习如何设置和运行 Amazon 代码示例存储库

def attach_policy(policy_id, target_id, orgs_client): """ Attaches a policy to a target. The target is an organization root, account, or organizational unit. :param policy_id: The ID of the policy to attach. :param target_id: The ID of the resources to attach the policy to. :param orgs_client: The Boto3 Organizations client. """ try: orgs_client.attach_policy(PolicyId=policy_id, TargetId=target_id) logger.info("Attached policy %s to target %s.", policy_id, target_id) except ClientError: logger.exception( "Couldn't attach policy %s to target %s.", policy_id, target_id ) raise
  • 有关API详细信息,请参阅AttachPolicy中的 Amazon SDK供参考 Python (Boto3) API。

政策变更会立即生效,影响关联账户中的IAM用户和角色的权限,或者影响附加的根账户或 OU 下的所有账户的权限