本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# 将组织策略与分离 Amazon Organizations
本主题介绍如何使用 Amazon Organizations分离策略。*策略*定义了您要应用于一组的控制措施 Amazon Web Services 账户。
**Topics**
+ [分离策略](#detach_policy)
## 将策略与分离 Amazon Organizations
**最小权限**
要从组织根、OU 或账户分离策略,您必须具有运行以下操作的权限:
`organizations:DetachPolicy`
**注意**
您无法从根、OU 或账户分离最后一个授权策略(SCP 或 RCP)。每个根、OU 和账户必须始终附加有至少一个 SCP 和 RCP。
### Amazon Web Services 管理控制台
------
#### [ Service control policies (SCPs) ]
您可以导航到要从中分离策略的根、OU 或账户,为其分离 SCP。
**通过导航到已附加策略的根、OU 或账户来分离 SCP**
1. 登录 [Amazon Organizations 控制台](https://console.amazonaws.cn/organizations/v2)。您必须以 IAM 用户的身份登录,担任 IAM 角色;或在组织的管理账户中以根用户的身份登录([不推荐](https://docs.amazonaws.cn/IAM/latest/UserGuide/best-practices.html#lock-away-credentials))。
1. 在**[Amazon Web Services 账户](https://console.amazonaws.cn/organizations/v2/home/accounts)**页面导航到要分离策略的根、OU 或账户。您可能需要展开 OUs (选择![\[Gray cloud icon representing cloud computing or storage services.\]](http://docs.amazonaws.cn/organizations/latest/userguide/images/console-expand.png))才能找到所需的 OU 或帐户。选择根、OU 或账户的名称。
1. 在 **Policies (策略)** 选项卡上,选择要分离的 SCP 旁边的单选按钮,然后选择 **Detach (分离)**。
1. 在确认对话框中,选择 **Detach policy (分离策略)**。
所附列表 SCPs 已更新。分离 SCP 引起的策略更改立即生效。例如,分离 SCP 会立即影响以前附加的账户或以前附加的组织根或 OU 下的账户中 IAM 用户和角色的权限。
**通过导航到策略来分离 SCP**
1. 登录 [Amazon Organizations 控制台](https://console.amazonaws.cn/organizations/v2)。您必须以 IAM 用户的身份登录,担任 IAM 角色;或在组织的管理账户中以根用户的身份登录([不推荐](https://docs.amazonaws.cn/IAM/latest/UserGuide/best-practices.html#lock-away-credentials))。
1. 在 **[Service control policies (服务控制策略)](https://console.amazonaws.cn/organizations/v2/home/policies/service-control-policy)** 页面上,选择要从根、OU 或账户分离的策略的名称。
1. 在 **Targets (目标)** 选项卡上,选择要分离策略的根、OU 或账户旁边的单选按钮。您可能需要展开 OUs (选择![\[Gray cloud icon representing cloud computing or storage services.\]](http://docs.amazonaws.cn/organizations/latest/userguide/images/console-expand.png))才能找到所需的 OU 或帐户。
1. 选择**分离**。
1. 在确认对话框中,选择 **Detach (分离)**。
所附列表 SCPs 已更新。分离 SCP 引起的策略更改立即生效。例如,分离 SCP 会立即影响以前附加的账户或以前附加的组织根或 OU 下的账户中 IAM 用户和角色的权限。
------
#### [ Resource control policies (RCPs) ]
您可以导航到策略或导航到要从中分离策略的根、OU 或账户来分离 RCP。从某个实体分离 RCP 后,该 RCP 将不再应用于现在分离的实体所影响的任何资源。
**注意**
**您无法分离 `RCPFullAWSAccess` 策略**
`RCPFullAWSAccess` 策略会自动附加到组织中的根、每个 OU 和每个账户。您无法分离此策略。
**通过导航到其附加到的根、OU 或账户来分离 RCP**
1. 登录 [Amazon Organizations 控制台](https://console.amazonaws.cn/organizations/v2)。您必须以 IAM 用户的身份登录,担任 IAM 角色;或在组织的管理账户中以根用户的身份登录([不推荐](https://docs.amazonaws.cn/IAM/latest/UserGuide/best-practices.html#lock-away-credentials))。
1. 在**[Amazon Web Services 账户](https://console.amazonaws.cn/organizations/v2/home/accounts)**页面导航到要分离策略的根、OU 或账户。您可能需要展开 OUs (选择![\[Gray cloud icon representing cloud computing or storage services.\]](http://docs.amazonaws.cn/organizations/latest/userguide/images/console-expand.png))才能找到所需的 OU 或帐户。选择根、OU 或账户的名称。
1. 在**策略**选项卡上,选择要分离的 RCP 旁的单选按钮,然后选择**分离**。
1. 在确认对话框中,选择 **Detach policy (分离策略)**。
所附列表 RCPs 已更新。分离 RCP 引起的策略更改将立即生效。例如,分离 RCP 会立即影响以前附加的账户或以前附加的组织根或 OU 下的账户中 IAM 用户和角色的权限。
**通过导航到策略来分离 RCP**
1. 登录 [Amazon Organizations 控制台](https://console.amazonaws.cn/organizations/v2)。您必须以 IAM 用户的身份登录,担任 IAM 角色;或在组织的管理账户中以根用户的身份登录([不推荐](https://docs.amazonaws.cn/IAM/latest/UserGuide/best-practices.html#lock-away-credentials))。
1. 在**资源控制策略**页面上,选择要从根、OU 或账户分离的策略的名称。
1. 在 **Targets (目标)** 选项卡上,选择要分离策略的根、OU 或账户旁边的单选按钮。您可能需要展开 OUs (选择![\[Gray cloud icon representing cloud computing or storage services.\]](http://docs.amazonaws.cn/organizations/latest/userguide/images/console-expand.png))才能找到所需的 OU 或帐户。
1. 选择**分离**。
1. 在确认对话框中,选择 **Detach (分离)**。
所附列表 RCPs 已更新。分离 RCP 引起的策略更改将立即生效。例如,分离 RCP 会立即影响以前附加的账户或以前附加的组织根或 OU 下的账户中 IAM 用户和角色的权限。
------
#### [ Declarative policies ]
您可以导航到策略或导航到要分离策略的根、OU 或账户来分离声明性策略。
**通过导航到策略附加到的根、OU 或账户来分离声明性策略**
1. 登录 [Amazon Organizations 控制台](https://console.amazonaws.cn/organizations/v2)。您必须以 IAM 用户的身份登录,担任 IAM 角色;或在组织的管理账户中以根用户的身份登录([不推荐](https://docs.amazonaws.cn/IAM/latest/UserGuide/best-practices.html#lock-away-credentials))。
1. 在**[Amazon Web Services 账户](https://console.amazonaws.cn/organizations/v2/home/accounts)**页面导航到要分离策略的根、OU 或账户。您可能需要展开 OUs (选择![\[Gray cloud icon representing cloud computing or storage services.\]](http://docs.amazonaws.cn/organizations/latest/userguide/images/console-expand.png))才能找到所需的 OU 或帐户。选择根、OU 或账户的名称。
1. 在**策略**选项卡上,选择要分离的声明性策略旁的单选按钮,然后选择**分离**。
1. 在确认对话框中,选择 **Detach policy (分离策略)**。
附加的声明性策略的列表会更新。策略更改会立即生效。
**通过导航到策略来分离声明性策略**
1. 登录 [Amazon Organizations 控制台](https://console.amazonaws.cn/organizations/v2)。您必须以 IAM 用户的身份登录,担任 IAM 角色;或在组织的管理账户中以根用户的身份登录([不推荐](https://docs.amazonaws.cn/IAM/latest/UserGuide/best-practices.html#lock-away-credentials))。
1. 在**[声明性策略](https://console.amazonaws.cn/organizations/v2/home/policies/declarative-policy-ec2)**页面上,选择要从根、OU 或账户分离的策略的名称。
1. 在 **Targets (目标)** 选项卡上,选择要分离策略的根、OU 或账户旁边的单选按钮。您可能需要展开 OUs (选择![\[Gray cloud icon representing cloud computing or storage services.\]](http://docs.amazonaws.cn/organizations/latest/userguide/images/console-expand.png))才能找到所需的 OU 或帐户。
1. 选择**分离**。
1. 在确认对话框中,选择 **Detach (分离)**。
附加的声明性策略的列表会更新。策略更改会立即生效。
------
#### [ Backup policies ]
您可以导航到要分离策略的根、OU 或账户,为其分离备份策略。
**通过导航到已附加策略的根、OU 或账户来分离备份策略**
1. 登录 [Amazon Organizations 控制台](https://console.amazonaws.cn/organizations/v2)。您必须以 IAM 用户的身份登录,担任 IAM 角色;或在组织的管理账户中以根用户的身份登录([不推荐](https://docs.amazonaws.cn/IAM/latest/UserGuide/best-practices.html#lock-away-credentials))。
1. 在**[Amazon Web Services 账户](https://console.amazonaws.cn/organizations/v2/home/accounts)**页面导航到要分离策略的根、OU 或账户。您可能需要展开 OUs (选择![\[Gray cloud icon representing cloud computing or storage services.\]](http://docs.amazonaws.cn/organizations/latest/userguide/images/console-expand.png))才能找到所需的 OU 或帐户。选择根、OU 或账户的名称。
1. 在 **Policies (策略)** 选项卡上,选择要分离的备份策略旁边的单选按钮,然后选择 **Detach (分离)**。
1. 在确认对话框中,选择 **Detach policy (分离策略)**。
附加的备份策略的列表将更新。策略更改会立即生效。
**通过导航到策略来分离备份策略**
1. 登录 [Amazon Organizations 控制台](https://console.amazonaws.cn/organizations/v2)。您必须以 IAM 用户的身份登录,担任 IAM 角色;或在组织的管理账户中以根用户的身份登录([不推荐](https://docs.amazonaws.cn/IAM/latest/UserGuide/best-practices.html#lock-away-credentials))。
1. 在 **[Backup policies (备份策略)](https://console.amazonaws.cn/organizations/v2/home/policies/backup-policy)** 页面上,选择要从根、OU 或账户分离的策略的名称。
1. 在 **Targets (目标)** 选项卡上,选择要分离策略的根、OU 或账户旁边的单选按钮。您可能需要展开 OUs (选择![\[Gray cloud icon representing cloud computing or storage services.\]](http://docs.amazonaws.cn/organizations/latest/userguide/images/console-expand.png))才能找到所需的 OU 或帐户。
1. 选择**分离**。
1. 在确认对话框中,选择 **Detach (分离)**。
附加的备份策略的列表将更新。策略更改会立即生效。
------
#### [ Tag policies ]
您可以导航到要分离策略的根、OU 或账户,为其分离标签策略。
**通过导航到已附加策略的根、OU 或账户来分离标签策略**
1. 登录 [Amazon Organizations 控制台](https://console.amazonaws.cn/organizations/v2)。您必须以 IAM 用户的身份登录,担任 IAM 角色;或在组织的管理账户中以根用户的身份登录([不推荐](https://docs.amazonaws.cn/IAM/latest/UserGuide/best-practices.html#lock-away-credentials))。
1. 在**[Amazon Web Services 账户](https://console.amazonaws.cn/organizations/v2/home/accounts)**页面导航到要分离策略的根、OU 或账户。您可能需要展开 OUs (选择![\[Gray cloud icon representing cloud computing or storage services.\]](http://docs.amazonaws.cn/organizations/latest/userguide/images/console-expand.png))才能找到所需的 OU 或帐户。选择根、OU 或账户的名称。
1. 在 **Policies (策略)** 选项卡上,选择要分离的标签策略旁边的单选按钮,然后选择 **Detach (分离)**。
1. 在确认对话框中,选择 **Detach policy (分离策略)**。
附加的标签策略的列表将更新。策略更改会立即生效。
**通过导航到策略来分离标签策略**
1. 登录 [Amazon Organizations 控制台](https://console.amazonaws.cn/organizations/v2)。您必须以 IAM 用户的身份登录,担任 IAM 角色;或在组织的管理账户中以根用户的身份登录([不推荐](https://docs.amazonaws.cn/IAM/latest/UserGuide/best-practices.html#lock-away-credentials))。
1. 在 **[Tag policies (标签策略)](https://console.amazonaws.cn/organizations/v2/home/policies/tag-policy)** 页面上,选择要从根、OU 或账户分离的策略的名称。
1. 在 **Targets (目标)** 选项卡上,选择要分离策略的根、OU 或账户旁边的单选按钮。您可能需要展开 OUs (选择![\[Gray cloud icon representing cloud computing or storage services.\]](http://docs.amazonaws.cn/organizations/latest/userguide/images/console-expand.png))才能找到所需的 OU 或帐户。
1. 选择**分离**。
1. 在确认对话框中,选择 **Detach (分离)**。
附加的标签策略的列表将更新。策略更改会立即生效。
------
#### [ Chat applications policies ]
您可以导航到策略或导航到要分离策略的根、OU 或账户来分离聊天应用程序政策。
**通过导航到策略附加到的根、OU 或账户来分离聊天应用程序政策**
1. 登录 [Amazon Organizations 控制台](https://console.amazonaws.cn/organizations/v2)。您必须以 IAM 用户的身份登录,担任 IAM 角色;或在组织的管理账户中以根用户的身份登录([不推荐](https://docs.amazonaws.cn/IAM/latest/UserGuide/best-practices.html#lock-away-credentials))。
1. 在**[Amazon Web Services 账户](https://console.amazonaws.cn/organizations/v2/home/accounts)**页面导航到要分离策略的根、OU 或账户。您可能需要展开 OUs (选择![\[Gray cloud icon representing cloud computing or storage services.\]](http://docs.amazonaws.cn/organizations/latest/userguide/images/console-expand.png))才能找到所需的 OU 或帐户。选择根、OU 或账户的名称。
1. 在**策略**选项卡上,选择要分离的聊天应用程序政策旁的单选按钮,然后选择**分离**。
1. 在确认对话框中,选择 **Detach policy (分离策略)**。
附加的聊天应用程序政策的列表会更新。策略更改会立即生效。
**通过导航到策略来分离聊天应用程序政策**
1. 登录 [Amazon Organizations 控制台](https://console.amazonaws.cn/organizations/v2)。您必须以 IAM 用户的身份登录,担任 IAM 角色;或在组织的管理账户中以根用户的身份登录([不推荐](https://docs.amazonaws.cn/IAM/latest/UserGuide/best-practices.html#lock-away-credentials))。
1. 在**[聊天机器人策略](https://console.amazonaws.cn/organizations/v2/home/policies/chatbot-policy)**页面上,选择要从根、OU 或账户分离的策略的名称。
1. 在 **Targets (目标)** 选项卡上,选择要分离策略的根、OU 或账户旁边的单选按钮。您可能需要展开 OUs (选择![\[Gray cloud icon representing cloud computing or storage services.\]](http://docs.amazonaws.cn/organizations/latest/userguide/images/console-expand.png))才能找到所需的 OU 或帐户。
1. 选择**分离**。
1. 在确认对话框中,选择 **Detach (分离)**。
附加的聊天应用程序政策的列表会更新。策略更改会立即生效。
------
#### [ AI services opt-out policies ]
您可以导航到要分离策略的根、OU 或账户,为其分离 AI 服务选择退出策略。
**通过导航到已附加策略的根、OU 或账户来分离 AI 服务选择退出策略**
1. 登录 [Amazon Organizations 控制台](https://console.amazonaws.cn/organizations/v2)。您必须以 IAM 用户的身份登录,担任 IAM 角色;或在组织的管理账户中以根用户的身份登录([不推荐](https://docs.amazonaws.cn/IAM/latest/UserGuide/best-practices.html#lock-away-credentials))。
1. 在**[Amazon Web Services 账户](https://console.amazonaws.cn/organizations/v2/home/accounts)**页面导航到要分离策略的根、OU 或账户。您可能需要展开 OUs (选择![\[Gray cloud icon representing cloud computing or storage services.\]](http://docs.amazonaws.cn/organizations/latest/userguide/images/console-expand.png))才能找到所需的 OU 或帐户。选择根、OU 或账户的名称。
1. 在 **Policies (策略)** 选项卡上,选择要分离的 AI 服务选择退出策略旁边的单选按钮,然后选择 **Detach (分离)**。
1. 在确认对话框中,选择 **Detach policy (分离策略)**。
附加的 AI 服务选择退出策略的列表会更新。策略更改会立即生效。
**通过导航到策略来分离 AI 服务选择退出策略**
1. 登录 [Amazon Organizations 控制台](https://console.amazonaws.cn/organizations/v2)。您必须以 IAM 用户的身份登录,担任 IAM 角色;或在组织的管理账户中以根用户的身份登录([不推荐](https://docs.amazonaws.cn/IAM/latest/UserGuide/best-practices.html#lock-away-credentials))。
1. 在 **[AI services opt-out policies (AI 服务选择退出策略)](https://console.amazonaws.cn/organizations/v2/home/policies/aiservices-opt-out-policy)** 页面上,选择要从根、OU 或账户分离的策略的名称。
1. 在 **Targets (目标)** 选项卡上,选择要分离策略的根、OU 或账户旁边的单选按钮。您可能需要展开 OUs (选择![\[Gray cloud icon representing cloud computing or storage services.\]](http://docs.amazonaws.cn/organizations/latest/userguide/images/console-expand.png))才能找到所需的 OU 或帐户。
1. 选择**分离**。
1. 在确认对话框中,选择 **Detach (分离)**。
附加的 AI 服务选择退出策略的列表会更新。策略更改会立即生效。
------
#### [ Security Hub policies ]
您可以导航到策略或导航到要分离策略的根、OU 或账户来分离 Security Hub 策略。
**通过导航到策略附加到的根、OU 或账户来分离 Security Hub 策略**
1. 登录 [Amazon Organizations 控制台](https://console.amazonaws.cn/organizations/v2)。您必须以 IAM 用户的身份登录,担任 IAM 角色;或在组织的管理账户中以根用户的身份登录([不推荐](https://docs.amazonaws.cn/IAM/latest/UserGuide/best-practices.html#lock-away-credentials))。
1. 在**[Amazon Web Services 账户](https://console.amazonaws.cn/organizations/v2/home/accounts)**页面导航到要分离策略的根、OU 或账户。您可能需要展开 OUs (选择![\[Gray cloud icon representing cloud computing or storage services.\]](http://docs.amazonaws.cn/organizations/latest/userguide/images/console-expand.png))才能找到所需的 OU 或帐户。选择根、OU 或账户的名称。
1. 在**策略**选项卡上,选择要分离的 Security Hub 策略旁的单选按钮,然后选择**分离**。
1. 在确认对话框中,选择 **Detach policy (分离策略)**。
附加的 Security Hub 策略的列表会更新。策略更改会立即生效。
**通过导航到策略来分离 Security Hub 策略**
1. 登录 [Amazon Organizations 控制台](https://console.amazonaws.cn/organizations/v2)。您必须以 IAM 用户的身份登录,担任 IAM 角色;或在组织的管理账户中以根用户的身份登录([不推荐](https://docs.amazonaws.cn/IAM/latest/UserGuide/best-practices.html#lock-away-credentials))。
1. 在 **[Security Hub 策略](https://console.amazonaws.cn/organizations/v2/home/policies/securityhub-policy)**页面上,选择要从根、OU 或账户分离的策略的名称。
1. 在 **Targets (目标)** 选项卡上,选择要分离策略的根、OU 或账户旁边的单选按钮。您可能需要展开 OUs (选择![\[Gray cloud icon representing cloud computing or storage services.\]](http://docs.amazonaws.cn/organizations/latest/userguide/images/console-expand.png))才能找到所需的 OU 或帐户。
1. 选择**分离**。
1. 在确认对话框中,选择 **Detach (分离)**。
附加的 Security Hub 策略的列表会更新。策略更改会立即生效。
------
### Amazon CLI & Amazon SDKs
**附加策略**
以下代码示例演示如何使用 `DetachPolicy`。
------
#### [ .NET ]
**适用于 .NET 的 Amazon SDK**
还有更多相关信息 GitHub。在 [Amazon 代码示例存储库](https://github.com/awsdocs/aws-doc-sdk-examples/tree/main/dotnetv3/Organizations#code-examples)中查找完整示例,了解如何进行设置和运行。
```
using System;
using System.Threading.Tasks;
using Amazon.Organizations;
using Amazon.Organizations.Model;
///
/// Shows how to detach a policy from an AWS Organizations organization,
/// organizational unit, or account.
///
public class DetachPolicy
{
///
/// Initializes the Organizations client object and uses it to call
/// DetachPolicyAsync to detach the policy.
///
public static async Task Main()
{
// Create the client object using the default account.
IAmazonOrganizations client = new AmazonOrganizationsClient();
var policyId = "p-00000000";
var targetId = "r-0000";
var request = new DetachPolicyRequest
{
PolicyId = policyId,
TargetId = targetId,
};
var response = await client.DetachPolicyAsync(request);
if (response.HttpStatusCode == System.Net.HttpStatusCode.OK)
{
Console.WriteLine($"Successfully detached policy with Policy Id: {policyId}.");
}
else
{
Console.WriteLine("Could not detach the policy.");
}
}
}
```
+ 有关 API 的详细信息,请参阅 *适用于 .NET 的 Amazon SDK API 参考[DetachPolicy](https://docs.amazonaws.cn/goto/DotNetSDKV3/organizations-2016-11-28/DetachPolicy)*中的。
------
#### [ CLI ]
**Amazon CLI**
**从根、OU 或账户分离策略**
以下示例演示了如何从 OU 分离策略:
```
aws organizations detach-policy --target-id ou-examplerootid111-exampleouid111 --policy-id p-examplepolicyid111
```
+ 有关 API 的详细信息,请参阅*Amazon CLI 命令参考[DetachPolicy](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/organizations/detach-policy.html)*中的。
------
#### [ Python ]
**适用于 Python 的 SDK(Boto3)**
还有更多相关信息 GitHub。在 [Amazon 代码示例存储库](https://github.com/awsdocs/aws-doc-sdk-examples/tree/main/python/example_code/organizations#code-examples)中查找完整示例,了解如何进行设置和运行。
```
def detach_policy(policy_id, target_id, orgs_client):
"""
Detaches a policy from a target.
:param policy_id: The ID of the policy to detach.
:param target_id: The ID of the resource where the policy is currently attached.
:param orgs_client: The Boto3 Organizations client.
"""
try:
orgs_client.detach_policy(PolicyId=policy_id, TargetId=target_id)
logger.info("Detached policy %s from target %s.", policy_id, target_id)
except ClientError:
logger.exception(
"Couldn't detach policy %s from target %s.", policy_id, target_id
)
raise
```
+ 有关 API 的详细信息,请参阅适用[DetachPolicy](https://docs.amazonaws.cn/goto/boto3/organizations-2016-11-28/DetachPolicy)于 *Python 的Amazon SDK (Boto3) API 参考*。
------
#### [ SAP ABAP ]
**适用于 SAP ABAP 的 SDK**
还有更多相关信息 GitHub。在 [Amazon 代码示例存储库](https://github.com/awsdocs/aws-doc-sdk-examples/tree/main/sap-abap/services/org#code-examples)中查找完整示例,了解如何进行设置和运行。
```
TRY.
lo_org->detachpolicy(
iv_policyid = iv_policy_id
iv_targetid = iv_target_id ).
MESSAGE 'Policy detached from target.' TYPE 'I'.
CATCH /aws1/cx_orgaccessdeniedex.
MESSAGE 'You do not have permission to detach the policy.' TYPE 'E'.
CATCH /aws1/cx_orgpolicynotfoundex.
MESSAGE 'The specified policy does not exist.' TYPE 'E'.
CATCH /aws1/cx_orgtargetnotfoundex.
MESSAGE 'The specified target does not exist.' TYPE 'E'.
CATCH /aws1/cx_orgpolicynotattex.
MESSAGE 'The policy is not attached to the target.' TYPE 'E'.
ENDTRY.
```
+ 有关 API 的详细信息,请参阅适用[DetachPolicy](https://docs.amazonaws.cn/sdk-for-sap-abap/v1/api/latest/index.html)于 S *AP 的Amazon SDK ABAP API 参考*。
------
策略更改立即生效,会影响所附加账户或所附加的根或 OU 下所有账户中 IAM 用户和角色以及资源的权限(如适用)。