本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
使用更新组织政策 Amazon Organizations
当您的政策要求发生变化时,您可以更新现有政策。
本主题介绍如何使用更新策略 Amazon Organizations。 策略定义了您要应用于一组的控制措施 Amazon Web Services 账户. Amazon Organizations 支持管理策略和授权策略。
更新备份策略
登录到组织的管理账户后,您可以编辑需要在组织中进行更改的策略。
最小权限
要更新备份策略,您必须具有运行以下操作的权限:
-
organizations:UpdatePolicy
在同一政策声明中包含要更新的政策ARN的Resource
元素(或 “*”) -
organizations:DescribePolicy
在同一政策声明中包含要更新的政策ARN的Resource
元素(或 “*”)
- Amazon Web Services Management Console
-
更新备份策略
-
登录 。Amazon Organizations 控制台
。您必须在组织的管理账户中以IAM用户身份登录、代入IAM角色或以 root 用户身份登录(不推荐)。 -
在 Backup policies (备份策略)
页面上,选择要更新的策略的名称。 -
选择编辑策略。
-
您可以输入一个新的 Policy name (策略名称)、Policy description (策略说明)。您可以使用可视化编辑器或直接编辑来更改策略内容JSON。
-
完成更新策略后,选择保存更改。
-
- Amazon CLI & Amazon SDKs
-
更新备份策略
您可以使用以下命令之一来更新备份策略:
-
Amazon CLI: 更新政策
以下示例重命名备份策略。
$
aws organizations update-policy \ --policy-id p-i9j8k7l6m5 \ --name "Renamed policy"{ "Policy": { "PolicySummary": { "Id": "p-i9j8k7l6m5", "Arn": "arn:aws:organizations::123456789012:policy/o-aa111bb222/backup_policy/p-i9j8k7l6m5", "Name": "Renamed policy", "Type": "BACKUP_POLICY", "AwsManaged": false }, "Content": "{\"plans\":{\"TestBackupPlan\":{\"regions\":{\"@@assign\": ....TRUNCATED FOR BREVITY.... "@@assign\":[\"Yes\"]}}}}}}}" } }
以下示例添加或更改备份策略的说明。
$
aws organizations update-policy \ --policy-id p-i9j8k7l6m5 \ --description "My new description"{ "Policy": { "PolicySummary": { "Id": "p-i9j8k7l6m5", "Arn": "arn:aws:organizations::123456789012:policy/o-aa111bb222/backup_policy/p-i9j8k7l6m5", "Name": "Renamed policy", "Description": "My new description", "Type": "BACKUP_POLICY", "AwsManaged": false }, "Content": "{\"plans\":{\"TestBackupPlan\":{\"regions\":{\"@@assign\": ....TRUNCATED FOR BREVITY.... "@@assign\":[\"Yes\"]}}}}}}}" } }
以下示例更改了附加到备份JSON策略的策略文档。在此示例中,内容取自一个名为
policy.json
的文件,使用以下文本:{ "plans": { "PII_Backup_Plan": { "regions": { "@@assign": [ "ap-northeast-2", "us-east-1", "eu-north-1" ] }, "rules": { "Hourly": { "schedule_expression": { "@@assign": "cron(0 5/1 ? * * *)" }, "start_backup_window_minutes": { "@@assign": "480" }, "complete_backup_window_minutes": { "@@assign": "10080" }, "lifecycle": { "move_to_cold_storage_after_days": { "@@assign": "180" }, "delete_after_days": { "@@assign": "270" }, "opt_in_to_archive_for_supported_resources": {"@@assign": false} }, "target_backup_vault_name": { "@@assign": "FortKnox" }, "copy_actions": { "arn:aws:backup:us-east-1:$account:backup-vault:secondary-vault": { "lifecycle": { "move_to_cold_storage_after_days": { "@@assign": "10" }, "delete_after_days": { "@@assign": "100" }, "opt_in_to_archive_for_supported_resources": {"@@assign": false} } } } } }, "selections": { "tags": { "datatype": { "iam_role_arn": { "@@assign": "arn:aws:iam::$account:role/MyIamRole" }, "tag_key": { "@@assign": "dataType" }, "tag_value": { "@@assign": [ "PII" ] } } } } } } }
$
aws organizations update-policy \ --policy-id p-i9j8k7l6m5 \ --content file://policy.json{ "Policy": { "PolicySummary": { "Id": "p-i9j8k7l6m5", "Arn": "arn:aws:organizations::123456789012:policy/o-aa111bb222/backup_policy/p-i9j8k7l6m5", "Name": "Renamed policy", "Description": "My new description", "Type": "BACKUP_POLICY", "AwsManaged": false }, "Content": "{\"plans\":{\"TestBackupPlan\":{\"regions\":{\"@@assign\": ....TRUNCATED FOR BREVITY.... "@@assign\":[\"Yes\"]}}}}}}}" }
-
Amazon SDKs: UpdatePolicy
-
更新标签政策
最小权限
要更新标签策略,您必须具有运行以下操作的权限:
-
organizations:UpdatePolicy
在同一政策声明中包含包含指定策略ARN的Resource
元素(或 “*”) -
organizations:DescribePolicy
在同一政策声明中包含包含指定策略ARN的Resource
元素(或 “*”)
- Amazon Web Services Management Console
-
更新标签策略
-
登录 。Amazon Organizations 控制台
。您必须在组织的管理账户中以IAM用户身份登录、代入IAM角色或以 root 用户身份登录(不推荐)。 -
在 Tag policies (标签策略)
页面上,选择要更新的标签策略。 -
选择编辑策略。
-
您可以输入一个新的 Policy name (策略名称)、Policy description (策略说明)。您可以使用可视化编辑器或通过编辑来更改策略内容JSON。
-
完成更新标签策略后,选择 Save changes (保存更改)。
-
- Amazon CLI & Amazon SDKs
-
更新策略
您可以使用以下命令之一来更新策略:
-
Amazon CLI: 更新政策
以下示例重命名标签策略。
$
aws organizations update-policy \ --policy-id p-i9j8k7l6m5 \ --name "Renamed tag policy"{ "Policy": { "PolicySummary": { "Id": "p-i9j8k7l6m5", "Arn": "arn:aws:organizations::123456789012:policy/o-aa111bb222/tag_policy/p-i9j8k7l6m5", "Name": "Renamed tag policy", "Type": "TAG_POLICY", "AwsManaged": false }, "Content": "{\n\"tags\":{\n\"CostCenter\":{\n\"tag_key\":{\n\"@@assign\":\"CostCenter\"\n}\n}\n}\n}\n\n" } }
以下示例添加或更改标签策略的说明。
$
aws organizations update-policy \ --policy-id p-i9j8k7l6m5 \ --description "My new tag policy description"{ "Policy": { "PolicySummary": { "Id": "p-i9j8k7l6m5", "Arn": "arn:aws:organizations::123456789012:policy/o-aa111bb222/tag_policy/p-i9j8k7l6m5", "Name": "Renamed tag policy", "Description": "My new tag policy description", "Type": "TAG_POLICY", "AwsManaged": false }, "Content": "{\n\"tags\":{\n\"CostCenter\":{\n\"tag_key\":{\n\"@@assign\":\"CostCenter\"\n}\n}\n}\n}\n\n" } }
以下示例更改了附加到 AI 服务选择退出JSON策略的策略文档。在此示例中,内容取自一个名为
policy.json
的文件,使用以下文本:{ "tags": { "Stage": { "tag_key": { "@@assign": "Stage" }, "tag_value": { "@@assign": [ "Production", "Test" ] } } } }
$
aws organizations update-policy \ --policy-id p-i9j8k7l6m5 \ --content file://policy.json{ "Policy": { "PolicySummary": { "Id": "p-i9j8k7l6m5", "Arn": "arn:aws:organizations::123456789012:policy/o-aa111bb222/tag_policy/p-i9j8k7l6m5", "Name": "Renamed tag policy", "Description": "My new tag policy description", "Type": "TAG_POLICY", "AwsManaged": false }, "Content": "{\"tags\":{\"Stage\":{\"tag_key\":{\"@@assign\":\"Stage\"},\"tag_value\":{\"@@assign\":[\"Production\",\"Test\"]},\"enforced_for\":{\"@@assign\":[\"ec2:instance\"]}}}}" }
-
Amazon SDKs: UpdatePolicy
-
更新 AI 服务选择退出政策
最小权限
要更新 AI 服务选择退出策略,您必须具有运行以下操作的权限:
-
organizations:UpdatePolicy
在同一政策声明中包含包含指定策略ARN的Resource
元素(或 “*”) -
organizations:DescribePolicy
在同一政策声明中有一个Resource
元素,其中包括指定政策的 Amazon 资源名称 (ARN)(或 “*”)
- Amazon Web Services Management Console
-
更新 AI 服务选择退出策略
-
登录 。Amazon Organizations 控制台
。您必须在组织的管理账户中以IAM用户身份登录、代入IAM角色或以 root 用户身份登录(不推荐)。 -
在 AI services opt-out policies (AI 服务选择退出策略)
页面上,选择要更新的策略的名称。 -
在策略的详细信息页面上,选择 Edit policy (编辑策略)。
-
您可以输入新的策略名称、策略描述或编辑JSON策略文本。有关 AI 服务选择退出策略语法的信息,请参阅AI 服务选择退出策略语法和示例。有关可用作起始点的策略的示例,请参阅AI 服务选择退出策略示例。
-
完成更新策略后,选择保存更改。
-
- Amazon CLI & Amazon SDKs
-
更新策略
您可以使用以下命令之一来更新策略:
-
Amazon CLI: 更新政策
以下示例重命名 AI 服务选择退出策略。
$
aws organizations update-policy \ --policy-id p-i9j8k7l6m5 \ --name "Renamed policy"{ "Policy": { "PolicySummary": { "Id": "p-i9j8k7l6m5", "Arn": "arn:aws:organizations::123456789012:policy/o-aa111bb222/aiservices_opt_out_policy/p-i9j8k7l6m5", "Name": "Renamed policy", "Type": "AISERVICES_OPT_OUT_POLICY", "AwsManaged": false }, "Content": "{\"services\":{\"default\":{\"opt_out_policy\": ....TRUNCATED FOR BREVITY... :{\"@@assign\":\"optIn\"}}}}" } }
以下示例添加或更改 AI 服务选择退出策略的说明。
$
aws organizations update-policy \ --policy-id p-i9j8k7l6m5 \ --description "My new description"{ "Policy": { "PolicySummary": { "Id": "p-i9j8k7l6m5", "Arn": "arn:aws:organizations::123456789012:policy/o-aa111bb222/aiservices_opt_out_policy/p-i9j8k7l6m5", "Name": "Renamed policy", "Description": "My new description", "Type": "AISERVICES_OPT_OUT_POLICY", "AwsManaged": false }, "Content": "{\"services\":{\"default\":{\"opt_out_policy\": ....TRUNCATED FOR BREVITY... :{\"@@assign\":\"optIn\"}}}}" } }
以下示例更改了附加到 AI 服务选择退出JSON策略的策略文档。在此示例中,内容取自一个名为
policy.json
的文件,使用以下文本:{ "services": { "default": { "opt_out_policy": { "@@assign": "optOut" } }, "comprehend": { "opt_out_policy": { "@@operators_allowed_for_child_policies": ["@@none"], "@@assign": "optOut" } }, "rekognition": { "opt_out_policy": { "@@assign": "optIn" } } } }
$
aws organizations update-policy \ --policy-id p-i9j8k7l6m5 \ --content file://policy.json{ "Policy": { "PolicySummary": { "Id": "p-i9j8k7l6m5", "Arn": "arn:aws:organizations::123456789012:policy/o-aa111bb222/aiservices_opt_out_policy/p-i9j8k7l6m5", "Name": "Renamed policy", "Description": "My new description", "Type": "AISERVICES_OPT_OUT_POLICY", "AwsManaged": false }, "Content": "{\n\"services\": {\n\"default\": {\n\" ....TRUNCATED FOR BREVITY.... ": \"optIn\"\n}\n}\n}\n}\n"} }
-
Amazon SDKs: UpdatePolicy
-
更新服务控制策略 (SCP)
当登录到您组织的管理账户后,您可以重命名或更改策略内容。更改内容会SCP立即影响所有关联账户中的所有用户、群组和角色。
最小权限
要更新SCP,您需要获得运行以下操作的权限:
-
organizations:UpdatePolicy
在同一政策声明中包含包含指定策略ARN的Resource
元素(或 “*”) -
organizations:DescribePolicy
在同一政策声明中包含包含指定策略ARN的Resource
元素(或 “*”)
- Amazon Web Services Management Console
-
更新策略
-
登录 。Amazon Organizations 控制台
。您必须在组织的管理账户中以IAM用户身份登录、代入IAM角色或以 root 用户身份登录(不推荐)。 -
在服务控制策略
页面上,选择要更新的策略的名称。 -
在策略的详细信息页面上,选择 Edit policy (编辑策略)。
-
进行以下任何或全部更改:
-
您可以通过在 Policy name (策略名称) 中输入新名称来重命名策略。
-
您可以通过在 Policy description (策略说明) 中输入新文本来更改策略说明。
-
您可以通过在左侧窗格中按JSON格式编辑策略来编辑策略文本。或者,您可以在右侧的编辑器中选择一个语句,然后使用控件更改其元素。有关每个控件的更多详细信息,请参阅本主题前面的创建SCP过程。
-
-
完成后,选择保存更改。
-
- Amazon CLI & Amazon SDKs
-
更新策略
可以使用以下命令之一来更新策略:
-
Amazon CLI: 更新政策
以下示例重命名策略。
$
aws organizations update-policy \ --policy-id p-i9j8k7l6m5 \ --name "MyRenamedPolicy"{ "Policy": { "PolicySummary": { "Id": "p-i9j8k7l6m5", "Arn": "arn:aws:organizations::123456789012:policy/o-aa111bb222/service_control_policy/p-i9j8k7l6m5", "Name": "MyRenamedPolicy", "Description": "Blocks all IAM actions", "Type": "SERVICE_CONTROL_POLICY", "AwsManaged": false }, "Content": "{\"Version\":\"2012-10-17\",\"Statement\":[{\"Sid\":\"Statement1\",\"Effect\":\"Deny\",\"Action\":[\"iam:*\"],\"Resource\":[\"*\"]}]}" } }
以下示例添加或更改服务控制策略的说明。
$
aws organizations update-policy \ --policy-id p-i9j8k7l6m5 \ --description "My new policy description"{ "Policy": { "PolicySummary": { "Id": "p-i9j8k7l6m5", "Arn": "arn:aws:organizations::123456789012:policy/o-aa111bb222/service_control_policy/p-i9j8k7l6m5", "Name": "MyRenamedPolicy", "Description": "My new policy description", "Type": "SERVICE_CONTROL_POLICY", "AwsManaged": false }, "Content": "{\"Version\":\"2012-10-17\",\"Statement\":[{\"Sid\":\"Statement1\",\"Effect\":\"Deny\",\"Action\":[\"iam:*\"],\"Resource\":[\"*\"]}]}" } }
以下示例SCP通过指定包含新策略文本的文件来更改的JSON策略文档。
$
aws organizations update-policy \ --policy-id p-zlfw1r64 --content file://MyNewPolicyText.json{ "Policy": { "PolicySummary": { "Id": "p-i9j8k7l6m5", "Arn": "arn:aws:organizations::123456789012:policy/o-aa111bb222/service_control_policy/p-i9j8k7l6m5", "Name": "MyRenamedPolicy", "Description": "My new policy description", "Type": "SERVICE_CONTROL_POLICY", "AwsManaged": false }, "Content": "{\"Version\":\"2012-10-17\",\"Statement\":[{\"Sid\":\"AModifiedPolicy\",\"Effect\":\"Deny\",\"Action\":[\"iam:*\"],\"Resource\":[\"*\"]}]}" } }
-
Amazon SDKs: UpdatePolicy
-