将组织策略与分离 Amazon Organizations - Amazon Organizations
分离策略
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

将组织策略与分离 Amazon Organizations

本主题介绍如何使用 Amazon Organizations分离策略。策略定义了您要应用于一组的控制措施 Amazon Web Services 账户。

将策略与分离 Amazon Organizations

最小权限

要从组织根、OU 或账户分离策略,您必须具有运行以下操作的权限:

  • organizations:DetachPolicy

注意

您无法从根、OU 或账户分离最后一个授权策略(SCP 或 RCP)。每个根、OU 和账户必须始终附加有至少一个 SCP 和 RCP。

Service control policies (SCPs)

您可以导航到要从中分离策略的根、OU 或账户,为其分离 SCP。

通过导航到已附加策略的根、OU 或账户来分离 SCP

  1. 登录 Amazon Organizations 控制台。您必须以 IAM 用户的身份登录,担任 IAM 角色;或在组织的管理账户中以根用户的身份登录(不推荐)。

  2. Amazon Web Services 账户页面导航到要分离策略的根、OU 或账户。您可能需要展开 OUs (选择 Gray cloud icon representing cloud computing or storage services. )才能找到所需的 OU 或帐户。选择根、OU 或账户的名称。

  3. Policies (策略) 选项卡上,选择要分离的 SCP 旁边的单选按钮,然后选择 Detach (分离)

  4. 在确认对话框中,选择 Detach policy (分离策略)

    所附列表 SCPs 已更新。分离 SCP 引起的策略更改立即生效。例如,分离 SCP 会立即影响以前附加的账户或以前附加的组织根或 OU 下的账户中 IAM 用户和角色的权限。

通过导航到策略来分离 SCP

  1. 登录 Amazon Organizations 控制台。您必须以 IAM 用户的身份登录,担任 IAM 角色;或在组织的管理账户中以根用户的身份登录(不推荐)。

  2. Service control policies (服务控制策略) 页面上,选择要从根、OU 或账户分离的策略的名称。

  3. Targets (目标) 选项卡上,选择要分离策略的根、OU 或账户旁边的单选按钮。您可能需要展开 OUs (选择 Gray cloud icon representing cloud computing or storage services. )才能找到所需的 OU 或帐户。

  4. 选择分离

  5. 在确认对话框中,选择 Detach (分离)

    所附列表 SCPs 已更新。分离 SCP 引起的策略更改立即生效。例如,分离 SCP 会立即影响以前附加的账户或以前附加的组织根或 OU 下的账户中 IAM 用户和角色的权限。

Resource control policies (RCPs)

您可以导航到策略或导航到要从中分离策略的根、OU 或账户来分离 RCP。从某个实体分离 RCP 后,该 RCP 将不再应用于现在分离的实体所影响的任何资源。

注意

您无法分离 RCPFullAWSAccess 策略

RCPFullAWSAccess 策略会自动附加到组织中的根、每个 OU 和每个账户。您无法分离此策略。

通过导航到其附加到的根、OU 或账户来分离 RCP

  1. 登录 Amazon Organizations 控制台。您必须以 IAM 用户的身份登录,担任 IAM 角色;或在组织的管理账户中以根用户的身份登录(不推荐)。

  2. Amazon Web Services 账户页面导航到要分离策略的根、OU 或账户。您可能需要展开 OUs (选择 Gray cloud icon representing cloud computing or storage services. )才能找到所需的 OU 或帐户。选择根、OU 或账户的名称。

  3. 策略选项卡上,选择要分离的 RCP 旁的单选按钮,然后选择分离

  4. 在确认对话框中,选择 Detach policy (分离策略)

    所附列表 RCPs 已更新。分离 RCP 引起的策略更改将立即生效。例如,分离 RCP 会立即影响以前附加的账户或以前附加的组织根或 OU 下的账户中 IAM 用户和角色的权限。

通过导航到策略来分离 RCP

  1. 登录 Amazon Organizations 控制台。您必须以 IAM 用户的身份登录,担任 IAM 角色;或在组织的管理账户中以根用户的身份登录(不推荐)。

  2. 资源控制策略页面上,选择要从根、OU 或账户分离的策略的名称。

  3. Targets (目标) 选项卡上,选择要分离策略的根、OU 或账户旁边的单选按钮。您可能需要展开 OUs (选择 Gray cloud icon representing cloud computing or storage services. )才能找到所需的 OU 或帐户。

  4. 选择分离

  5. 在确认对话框中,选择 Detach (分离)

    所附列表 RCPs 已更新。分离 RCP 引起的策略更改将立即生效。例如,分离 RCP 会立即影响以前附加的账户或以前附加的组织根或 OU 下的账户中 IAM 用户和角色的权限。

Declarative policies

您可以导航到策略或导航到要分离策略的根、OU 或账户来分离声明性策略。

通过导航到策略附加到的根、OU 或账户来分离声明性策略

  1. 登录 Amazon Organizations 控制台。您必须以 IAM 用户的身份登录,担任 IAM 角色;或在组织的管理账户中以根用户的身份登录(不推荐)。

  2. Amazon Web Services 账户页面导航到要分离策略的根、OU 或账户。您可能需要展开 OUs (选择 Gray cloud icon representing cloud computing or storage services. )才能找到所需的 OU 或帐户。选择根、OU 或账户的名称。

  3. 策略选项卡上,选择要分离的声明性策略旁的单选按钮,然后选择分离

  4. 在确认对话框中,选择 Detach policy (分离策略)

    附加的声明性策略的列表会更新。策略更改会立即生效。

通过导航到策略来分离声明性策略

  1. 登录 Amazon Organizations 控制台。您必须以 IAM 用户的身份登录,担任 IAM 角色;或在组织的管理账户中以根用户的身份登录(不推荐)。

  2. 声明性策略页面上,选择要从根、OU 或账户分离的策略的名称。

  3. Targets (目标) 选项卡上,选择要分离策略的根、OU 或账户旁边的单选按钮。您可能需要展开 OUs (选择 Gray cloud icon representing cloud computing or storage services. )才能找到所需的 OU 或帐户。

  4. 选择分离

  5. 在确认对话框中,选择 Detach (分离)

    附加的声明性策略的列表会更新。策略更改会立即生效。

Backup policies

您可以导航到要分离策略的根、OU 或账户,为其分离备份策略。

通过导航到已附加策略的根、OU 或账户来分离备份策略

  1. 登录 Amazon Organizations 控制台。您必须以 IAM 用户的身份登录,担任 IAM 角色;或在组织的管理账户中以根用户的身份登录(不推荐)。

  2. Amazon Web Services 账户页面导航到要分离策略的根、OU 或账户。您可能需要展开 OUs (选择 Gray cloud icon representing cloud computing or storage services. )才能找到所需的 OU 或帐户。选择根、OU 或账户的名称。

  3. Policies (策略) 选项卡上,选择要分离的备份策略旁边的单选按钮,然后选择 Detach (分离)

  4. 在确认对话框中,选择 Detach policy (分离策略)

    附加的备份策略的列表将更新。策略更改会立即生效。

通过导航到策略来分离备份策略

  1. 登录 Amazon Organizations 控制台。您必须以 IAM 用户的身份登录,担任 IAM 角色;或在组织的管理账户中以根用户的身份登录(不推荐)。

  2. Backup policies (备份策略) 页面上,选择要从根、OU 或账户分离的策略的名称。

  3. Targets (目标) 选项卡上,选择要分离策略的根、OU 或账户旁边的单选按钮。您可能需要展开 OUs (选择 Gray cloud icon representing cloud computing or storage services. )才能找到所需的 OU 或帐户。

  4. 选择分离

  5. 在确认对话框中,选择 Detach (分离)

    附加的备份策略的列表将更新。策略更改会立即生效。

Tag policies

您可以导航到要分离策略的根、OU 或账户,为其分离标签策略。

通过导航到已附加策略的根、OU 或账户来分离标签策略

  1. 登录 Amazon Organizations 控制台。您必须以 IAM 用户的身份登录,担任 IAM 角色;或在组织的管理账户中以根用户的身份登录(不推荐)。

  2. Amazon Web Services 账户页面导航到要分离策略的根、OU 或账户。您可能需要展开 OUs (选择 Gray cloud icon representing cloud computing or storage services. )才能找到所需的 OU 或帐户。选择根、OU 或账户的名称。

  3. Policies (策略) 选项卡上,选择要分离的标签策略旁边的单选按钮,然后选择 Detach (分离)

  4. 在确认对话框中,选择 Detach policy (分离策略)

    附加的标签策略的列表将更新。策略更改会立即生效。

通过导航到策略来分离标签策略

  1. 登录 Amazon Organizations 控制台。您必须以 IAM 用户的身份登录,担任 IAM 角色;或在组织的管理账户中以根用户的身份登录(不推荐)。

  2. Tag policies (标签策略) 页面上,选择要从根、OU 或账户分离的策略的名称。

  3. Targets (目标) 选项卡上,选择要分离策略的根、OU 或账户旁边的单选按钮。您可能需要展开 OUs (选择 Gray cloud icon representing cloud computing or storage services. )才能找到所需的 OU 或帐户。

  4. 选择分离

  5. 在确认对话框中,选择 Detach (分离)

    附加的标签策略的列表将更新。策略更改会立即生效。

Chat applications policies

您可以导航到策略或导航到要分离策略的根、OU 或账户来分离聊天应用程序政策。

通过导航到策略附加到的根、OU 或账户来分离聊天应用程序政策

  1. 登录 Amazon Organizations 控制台。您必须以 IAM 用户的身份登录,担任 IAM 角色;或在组织的管理账户中以根用户的身份登录(不推荐)。

  2. Amazon Web Services 账户页面导航到要分离策略的根、OU 或账户。您可能需要展开 OUs (选择 Gray cloud icon representing cloud computing or storage services. )才能找到所需的 OU 或帐户。选择根、OU 或账户的名称。

  3. 策略选项卡上,选择要分离的聊天应用程序政策旁的单选按钮,然后选择分离

  4. 在确认对话框中,选择 Detach policy (分离策略)

    附加的聊天应用程序政策的列表会更新。策略更改会立即生效。

通过导航到策略来分离聊天应用程序政策

  1. 登录 Amazon Organizations 控制台。您必须以 IAM 用户的身份登录,担任 IAM 角色;或在组织的管理账户中以根用户的身份登录(不推荐)。

  2. 聊天机器人策略页面上,选择要从根、OU 或账户分离的策略的名称。

  3. Targets (目标) 选项卡上,选择要分离策略的根、OU 或账户旁边的单选按钮。您可能需要展开 OUs (选择 Gray cloud icon representing cloud computing or storage services. )才能找到所需的 OU 或帐户。

  4. 选择分离

  5. 在确认对话框中,选择 Detach (分离)

    附加的聊天应用程序政策的列表会更新。策略更改会立即生效。

AI services opt-out policies

您可以导航到要分离策略的根、OU 或账户,为其分离 AI 服务选择退出策略。

通过导航到已附加策略的根、OU 或账户来分离 AI 服务选择退出策略

  1. 登录 Amazon Organizations 控制台。您必须以 IAM 用户的身份登录,担任 IAM 角色;或在组织的管理账户中以根用户的身份登录(不推荐)。

  2. Amazon Web Services 账户页面导航到要分离策略的根、OU 或账户。您可能需要展开 OUs (选择 Gray cloud icon representing cloud computing or storage services. )才能找到所需的 OU 或帐户。选择根、OU 或账户的名称。

  3. Policies (策略) 选项卡上,选择要分离的 AI 服务选择退出策略旁边的单选按钮,然后选择 Detach (分离)

  4. 在确认对话框中,选择 Detach policy (分离策略)

    附加的 AI 服务选择退出策略的列表会更新。策略更改会立即生效。

通过导航到策略来分离 AI 服务选择退出策略

  1. 登录 Amazon Organizations 控制台。您必须以 IAM 用户的身份登录,担任 IAM 角色;或在组织的管理账户中以根用户的身份登录(不推荐)。

  2. AI services opt-out policies (AI 服务选择退出策略) 页面上,选择要从根、OU 或账户分离的策略的名称。

  3. Targets (目标) 选项卡上,选择要分离策略的根、OU 或账户旁边的单选按钮。您可能需要展开 OUs (选择 Gray cloud icon representing cloud computing or storage services. )才能找到所需的 OU 或帐户。

  4. 选择分离

  5. 在确认对话框中,选择 Detach (分离)

    附加的 AI 服务选择退出策略的列表会更新。策略更改会立即生效。

Security Hub policies

您可以导航到策略或导航到要分离策略的根、OU 或账户来分离 Security Hub 策略。

通过导航到策略附加到的根、OU 或账户来分离 Security Hub 策略

  1. 登录 Amazon Organizations 控制台。您必须以 IAM 用户的身份登录,担任 IAM 角色;或在组织的管理账户中以根用户的身份登录(不推荐)。

  2. Amazon Web Services 账户页面导航到要分离策略的根、OU 或账户。您可能需要展开 OUs (选择 Gray cloud icon representing cloud computing or storage services. )才能找到所需的 OU 或帐户。选择根、OU 或账户的名称。

  3. 策略选项卡上,选择要分离的 Security Hub 策略旁的单选按钮,然后选择分离

  4. 在确认对话框中,选择 Detach policy (分离策略)

    附加的 Security Hub 策略的列表会更新。策略更改会立即生效。

通过导航到策略来分离 Security Hub 策略

  1. 登录 Amazon Organizations 控制台。您必须以 IAM 用户的身份登录,担任 IAM 角色;或在组织的管理账户中以根用户的身份登录(不推荐)。

  2. Security Hub 策略页面上,选择要从根、OU 或账户分离的策略的名称。

  3. Targets (目标) 选项卡上,选择要分离策略的根、OU 或账户旁边的单选按钮。您可能需要展开 OUs (选择 Gray cloud icon representing cloud computing or storage services. )才能找到所需的 OU 或帐户。

  4. 选择分离

  5. 在确认对话框中,选择 Detach (分离)

    附加的 Security Hub 策略的列表会更新。策略更改会立即生效。

附加策略

以下代码示例演示如何使用 DetachPolicy

.NET
适用于 .NET 的 Amazon SDK
注意

还有更多相关信息 GitHub。在 Amazon 代码示例存储库中查找完整示例,了解如何进行设置和运行。

    using System;
    using System.Threading.Tasks;
    using Amazon.Organizations;
    using Amazon.Organizations.Model;

    /// <summary>
    /// Shows how to detach a policy from an AWS Organizations organization,
    /// organizational unit, or account.
    /// </summary>
    public class DetachPolicy
    {
        /// <summary>
        /// Initializes the Organizations client object and uses it to call
        /// DetachPolicyAsync to detach the policy.
        /// </summary>
        public static async Task Main()
        {
            // Create the client object using the default account.
            IAmazonOrganizations client = new AmazonOrganizationsClient();

            var policyId = "p-00000000";
            var targetId = "r-0000";

            var request = new DetachPolicyRequest
            {
                PolicyId = policyId,
                TargetId = targetId,
            };

            var response = await client.DetachPolicyAsync(request);

            if (response.HttpStatusCode == System.Net.HttpStatusCode.OK)
            {
                Console.WriteLine($"Successfully detached policy with Policy Id: {policyId}.");
            }
            else
            {
                Console.WriteLine("Could not detach the policy.");
            }
        }
    }

  • 有关 API 的详细信息,请参阅 适用于 .NET 的 Amazon SDK API 参考DetachPolicy中的。

CLI
Amazon CLI

从根、OU 或账户分离策略

以下示例演示了如何从 OU 分离策略:

aws organizations  detach-policy  --target-id ou-examplerootid111-exampleouid111 --policy-id p-examplepolicyid111

  • 有关 API 的详细信息,请参阅Amazon CLI 命令参考DetachPolicy中的。

Python
适用于 Python 的 SDK(Boto3)
注意

还有更多相关信息 GitHub。在 Amazon 代码示例存储库中查找完整示例,了解如何进行设置和运行。

def detach_policy(policy_id, target_id, orgs_client):
    """
    Detaches a policy from a target.

    :param policy_id: The ID of the policy to detach.
    :param target_id: The ID of the resource where the policy is currently attached.
    :param orgs_client: The Boto3 Organizations client.
    """
    try:
        orgs_client.detach_policy(PolicyId=policy_id, TargetId=target_id)
        logger.info("Detached policy %s from target %s.", policy_id, target_id)
    except ClientError:
        logger.exception(
            "Couldn't detach policy %s from target %s.", policy_id, target_id
        )
        raise

  • 有关 API 的详细信息,请参阅适用DetachPolicyPython 的Amazon SDK (Boto3) API 参考

策略更改立即生效,会影响所附加账户或所附加的根或 OU 下所有账户中 IAM 用户和角色以及资源的权限(如适用)。