使用更新组织政策 Amazon Organizations - Amazon Organizations
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

使用更新组织政策 Amazon Organizations

当您的政策要求发生变化时,您可以更新现有政策。

本主题介绍如何使用更新策略 Amazon Organizations。 策略定义了您要应用于一组的控制措施 Amazon Web Services 账户. Amazon Organizations 支持管理策略和授权策略。

更新备份策略

登录到组织的管理账户后,您可以编辑需要在组织中进行更改的策略。

最小权限

要更新备份策略,您必须具有运行以下操作的权限:

  • organizations:UpdatePolicy在同一政策声明中包含要更新的政策ARN的Resource元素(或 “*”)

  • organizations:DescribePolicy在同一政策声明中包含要更新的政策ARN的Resource元素(或 “*”)

Amazon Web Services Management Console
更新备份策略
  1. 登录 。Amazon Organizations 控制台。您必须在组织的管理账户中以IAM用户身份登录、代入IAM角色或以 root 用户身份登录(不推荐)。

  2. Backup policies (备份策略) 页面上,选择要更新的策略的名称。

  3. 选择编辑策略

  4. 您可以输入一个新的 Policy name (策略名称)Policy description (策略说明)。您可以使用可视化编辑器或直接编辑来更改策略内容JSON

  5. 完成更新策略后,选择保存更改

Amazon CLI & Amazon SDKs
更新备份策略

您可以使用以下命令之一来更新备份策略:

  • Amazon CLI: 更新政策

    以下示例重命名备份策略。

    $ aws organizations update-policy \ --policy-id p-i9j8k7l6m5 \ --name "Renamed policy" { "Policy": { "PolicySummary": { "Id": "p-i9j8k7l6m5", "Arn": "arn:aws:organizations::123456789012:policy/o-aa111bb222/backup_policy/p-i9j8k7l6m5", "Name": "Renamed policy", "Type": "BACKUP_POLICY", "AwsManaged": false }, "Content": "{\"plans\":{\"TestBackupPlan\":{\"regions\":{\"@@assign\": ....TRUNCATED FOR BREVITY.... "@@assign\":[\"Yes\"]}}}}}}}" } }

    以下示例添加或更改备份策略的说明。

    $ aws organizations update-policy \ --policy-id p-i9j8k7l6m5 \ --description "My new description" { "Policy": { "PolicySummary": { "Id": "p-i9j8k7l6m5", "Arn": "arn:aws:organizations::123456789012:policy/o-aa111bb222/backup_policy/p-i9j8k7l6m5", "Name": "Renamed policy", "Description": "My new description", "Type": "BACKUP_POLICY", "AwsManaged": false }, "Content": "{\"plans\":{\"TestBackupPlan\":{\"regions\":{\"@@assign\": ....TRUNCATED FOR BREVITY.... "@@assign\":[\"Yes\"]}}}}}}}" } }

    以下示例更改了附加到备份JSON策略的策略文档。在此示例中,内容取自一个名为 policy.json 的文件,使用以下文本:

    { "plans": { "PII_Backup_Plan": { "regions": { "@@assign": [ "ap-northeast-2", "us-east-1", "eu-north-1" ] }, "rules": { "Hourly": { "schedule_expression": { "@@assign": "cron(0 5/1 ? * * *)" }, "start_backup_window_minutes": { "@@assign": "480" }, "complete_backup_window_minutes": { "@@assign": "10080" }, "lifecycle": { "move_to_cold_storage_after_days": { "@@assign": "180" }, "delete_after_days": { "@@assign": "270" }, "opt_in_to_archive_for_supported_resources": {"@@assign": false} }, "target_backup_vault_name": { "@@assign": "FortKnox" }, "copy_actions": { "arn:aws:backup:us-east-1:$account:backup-vault:secondary-vault": { "lifecycle": { "move_to_cold_storage_after_days": { "@@assign": "10" }, "delete_after_days": { "@@assign": "100" }, "opt_in_to_archive_for_supported_resources": {"@@assign": false} } } } } }, "selections": { "tags": { "datatype": { "iam_role_arn": { "@@assign": "arn:aws:iam::$account:role/MyIamRole" }, "tag_key": { "@@assign": "dataType" }, "tag_value": { "@@assign": [ "PII" ] } } } } } } }
    $ aws organizations update-policy \ --policy-id p-i9j8k7l6m5 \ --content file://policy.json { "Policy": { "PolicySummary": { "Id": "p-i9j8k7l6m5", "Arn": "arn:aws:organizations::123456789012:policy/o-aa111bb222/backup_policy/p-i9j8k7l6m5", "Name": "Renamed policy", "Description": "My new description", "Type": "BACKUP_POLICY", "AwsManaged": false }, "Content": "{\"plans\":{\"TestBackupPlan\":{\"regions\":{\"@@assign\": ....TRUNCATED FOR BREVITY.... "@@assign\":[\"Yes\"]}}}}}}}" }
  • Amazon SDKs: UpdatePolicy

更新标签政策

最小权限

要更新标签策略,您必须具有运行以下操作的权限:

  • organizations:UpdatePolicy在同一政策声明中包含包含指定策略ARN的Resource元素(或 “*”)

  • organizations:DescribePolicy在同一政策声明中包含包含指定策略ARN的Resource元素(或 “*”)

Amazon Web Services Management Console
更新标签策略
  1. 登录 。Amazon Organizations 控制台。您必须在组织的管理账户中以IAM用户身份登录、代入IAM角色或以 root 用户身份登录(不推荐)。

  2. Tag policies (标签策略) 页面上,选择要更新的标签策略。

  3. 选择编辑策略

  4. 您可以输入一个新的 Policy name (策略名称)Policy description (策略说明)。您可以使用可视化编辑器或通过编辑来更改策略内容JSON

  5. 完成更新标签策略后,选择 Save changes (保存更改)

Amazon CLI & Amazon SDKs
更新策略

您可以使用以下命令之一来更新策略:

  • Amazon CLI: 更新政策

    以下示例重命名标签策略。

    $ aws organizations update-policy \ --policy-id p-i9j8k7l6m5 \ --name "Renamed tag policy" { "Policy": { "PolicySummary": { "Id": "p-i9j8k7l6m5", "Arn": "arn:aws:organizations::123456789012:policy/o-aa111bb222/tag_policy/p-i9j8k7l6m5", "Name": "Renamed tag policy", "Type": "TAG_POLICY", "AwsManaged": false }, "Content": "{\n\"tags\":{\n\"CostCenter\":{\n\"tag_key\":{\n\"@@assign\":\"CostCenter\"\n}\n}\n}\n}\n\n" } }

    以下示例添加或更改标签策略的说明。

    $ aws organizations update-policy \ --policy-id p-i9j8k7l6m5 \ --description "My new tag policy description" { "Policy": { "PolicySummary": { "Id": "p-i9j8k7l6m5", "Arn": "arn:aws:organizations::123456789012:policy/o-aa111bb222/tag_policy/p-i9j8k7l6m5", "Name": "Renamed tag policy", "Description": "My new tag policy description", "Type": "TAG_POLICY", "AwsManaged": false }, "Content": "{\n\"tags\":{\n\"CostCenter\":{\n\"tag_key\":{\n\"@@assign\":\"CostCenter\"\n}\n}\n}\n}\n\n" } }

    以下示例更改了附加到 AI 服务选择退出JSON策略的策略文档。在此示例中,内容取自一个名为 policy.json 的文件,使用以下文本:

    { "tags": { "Stage": { "tag_key": { "@@assign": "Stage" }, "tag_value": { "@@assign": [ "Production", "Test" ] } } } }
    $ aws organizations update-policy \ --policy-id p-i9j8k7l6m5 \ --content file://policy.json { "Policy": { "PolicySummary": { "Id": "p-i9j8k7l6m5", "Arn": "arn:aws:organizations::123456789012:policy/o-aa111bb222/tag_policy/p-i9j8k7l6m5", "Name": "Renamed tag policy", "Description": "My new tag policy description", "Type": "TAG_POLICY", "AwsManaged": false }, "Content": "{\"tags\":{\"Stage\":{\"tag_key\":{\"@@assign\":\"Stage\"},\"tag_value\":{\"@@assign\":[\"Production\",\"Test\"]},\"enforced_for\":{\"@@assign\":[\"ec2:instance\"]}}}}" }
  • Amazon SDKs: UpdatePolicy

更新 AI 服务选择退出政策

最小权限

要更新 AI 服务选择退出策略,您必须具有运行以下操作的权限:

  • organizations:UpdatePolicy在同一政策声明中包含包含指定策略ARN的Resource元素(或 “*”)

  • organizations:DescribePolicy在同一政策声明中有一个Resource元素,其中包括指定政策的 Amazon 资源名称 (ARN)(或 “*”)

Amazon Web Services Management Console
更新 AI 服务选择退出策略
  1. 登录 。Amazon Organizations 控制台。您必须在组织的管理账户中以IAM用户身份登录、代入IAM角色或以 root 用户身份登录(不推荐)。

  2. AI services opt-out policies (AI 服务选择退出策略) 页面上,选择要更新的策略的名称。

  3. 在策略的详细信息页面上,选择 Edit policy (编辑策略)

  4. 您可以输入新的策略名称策略描述或编辑JSON策略文本。有关 AI 服务选择退出策略语法的信息,请参阅AI 服务选择退出策略语法和示例。有关可用作起始点的策略的示例,请参阅AI 服务选择退出策略示例

  5. 完成更新策略后,选择保存更改

Amazon CLI & Amazon SDKs
更新策略

您可以使用以下命令之一来更新策略:

  • Amazon CLI: 更新政策

    以下示例重命名 AI 服务选择退出策略。

    $ aws organizations update-policy \ --policy-id p-i9j8k7l6m5 \ --name "Renamed policy" { "Policy": { "PolicySummary": { "Id": "p-i9j8k7l6m5", "Arn": "arn:aws:organizations::123456789012:policy/o-aa111bb222/aiservices_opt_out_policy/p-i9j8k7l6m5", "Name": "Renamed policy", "Type": "AISERVICES_OPT_OUT_POLICY", "AwsManaged": false }, "Content": "{\"services\":{\"default\":{\"opt_out_policy\": ....TRUNCATED FOR BREVITY... :{\"@@assign\":\"optIn\"}}}}" } }

    以下示例添加或更改 AI 服务选择退出策略的说明。

    $ aws organizations update-policy \ --policy-id p-i9j8k7l6m5 \ --description "My new description" { "Policy": { "PolicySummary": { "Id": "p-i9j8k7l6m5", "Arn": "arn:aws:organizations::123456789012:policy/o-aa111bb222/aiservices_opt_out_policy/p-i9j8k7l6m5", "Name": "Renamed policy", "Description": "My new description", "Type": "AISERVICES_OPT_OUT_POLICY", "AwsManaged": false }, "Content": "{\"services\":{\"default\":{\"opt_out_policy\": ....TRUNCATED FOR BREVITY... :{\"@@assign\":\"optIn\"}}}}" } }

    以下示例更改了附加到 AI 服务选择退出JSON策略的策略文档。在此示例中,内容取自一个名为 policy.json 的文件,使用以下文本:

    { "services": { "default": { "opt_out_policy": { "@@assign": "optOut" } }, "comprehend": { "opt_out_policy": { "@@operators_allowed_for_child_policies": ["@@none"], "@@assign": "optOut" } }, "rekognition": { "opt_out_policy": { "@@assign": "optIn" } } } }
    $ aws organizations update-policy \ --policy-id p-i9j8k7l6m5 \ --content file://policy.json { "Policy": { "PolicySummary": { "Id": "p-i9j8k7l6m5", "Arn": "arn:aws:organizations::123456789012:policy/o-aa111bb222/aiservices_opt_out_policy/p-i9j8k7l6m5", "Name": "Renamed policy", "Description": "My new description", "Type": "AISERVICES_OPT_OUT_POLICY", "AwsManaged": false }, "Content": "{\n\"services\": {\n\"default\": {\n\" ....TRUNCATED FOR BREVITY.... ": \"optIn\"\n}\n}\n}\n}\n"} }
  • Amazon SDKs: UpdatePolicy

更新服务控制策略 (SCP)

当登录到您组织的管理账户后,您可以重命名或更改策略内容。更改内容会SCP立即影响所有关联账户中的所有用户、群组和角色。

最小权限

要更新SCP,您需要获得运行以下操作的权限:

  • organizations:UpdatePolicy在同一政策声明中包含包含指定策略ARN的Resource元素(或 “*”)

  • organizations:DescribePolicy在同一政策声明中包含包含指定策略ARN的Resource元素(或 “*”)

Amazon Web Services Management Console
更新策略
  1. 登录 。Amazon Organizations 控制台。您必须在组织的管理账户中以IAM用户身份登录、代入IAM角色或以 root 用户身份登录(不推荐)。

  2. 服务控制策略页面上,选择要更新的策略的名称。

  3. 在策略的详细信息页面上,选择 Edit policy (编辑策略)

  4. 进行以下任何或全部更改:

    • 您可以通过在 Policy name (策略名称) 中输入新名称来重命名策略。

    • 您可以通过在 Policy description (策略说明) 中输入新文本来更改策略说明。

    • 您可以通过在左侧窗格中按JSON格式编辑策略来编辑策略文本。或者,您可以在右侧的编辑器中选择一个语句,然后使用控件更改其元素。有关每个控件的更多详细信息,请参阅本主题前面的创建SCP过程

  5. 完成后,选择保存更改

Amazon CLI & Amazon SDKs
更新策略

可以使用以下命令之一来更新策略:

  • Amazon CLI: 更新政策

    以下示例重命名策略。

    $ aws organizations update-policy \ --policy-id p-i9j8k7l6m5 \ --name "MyRenamedPolicy" { "Policy": { "PolicySummary": { "Id": "p-i9j8k7l6m5", "Arn": "arn:aws:organizations::123456789012:policy/o-aa111bb222/service_control_policy/p-i9j8k7l6m5", "Name": "MyRenamedPolicy", "Description": "Blocks all IAM actions", "Type": "SERVICE_CONTROL_POLICY", "AwsManaged": false }, "Content": "{\"Version\":\"2012-10-17\",\"Statement\":[{\"Sid\":\"Statement1\",\"Effect\":\"Deny\",\"Action\":[\"iam:*\"],\"Resource\":[\"*\"]}]}" } }

    以下示例添加或更改服务控制策略的说明。

    $ aws organizations update-policy \ --policy-id p-i9j8k7l6m5 \ --description "My new policy description" { "Policy": { "PolicySummary": { "Id": "p-i9j8k7l6m5", "Arn": "arn:aws:organizations::123456789012:policy/o-aa111bb222/service_control_policy/p-i9j8k7l6m5", "Name": "MyRenamedPolicy", "Description": "My new policy description", "Type": "SERVICE_CONTROL_POLICY", "AwsManaged": false }, "Content": "{\"Version\":\"2012-10-17\",\"Statement\":[{\"Sid\":\"Statement1\",\"Effect\":\"Deny\",\"Action\":[\"iam:*\"],\"Resource\":[\"*\"]}]}" } }

    以下示例SCP通过指定包含新策略文本的文件来更改的JSON策略文档。

    $ aws organizations update-policy \ --policy-id p-zlfw1r64 --content file://MyNewPolicyText.json { "Policy": { "PolicySummary": { "Id": "p-i9j8k7l6m5", "Arn": "arn:aws:organizations::123456789012:policy/o-aa111bb222/service_control_policy/p-i9j8k7l6m5", "Name": "MyRenamedPolicy", "Description": "My new policy description", "Type": "SERVICE_CONTROL_POLICY", "AwsManaged": false }, "Content": "{\"Version\":\"2012-10-17\",\"Statement\":[{\"Sid\":\"AModifiedPolicy\",\"Effect\":\"Deny\",\"Action\":[\"iam:*\"],\"Resource\":[\"*\"]}]}" } }
  • Amazon SDKs: UpdatePolicy