Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

# AWS Organizations Richtlinien mithilfe AWS CodePipeline von Amazon Bedrock als Code verwalten
<a name="manage-organizations-policies-as-code"></a>

*André Cavalcante und Mariana Pessoa de Queiroz, Amazon Web Services*

## Zusammenfassung
<a name="manage-organizations-policies-as-code-summary"></a>

Sie können *Autorisierungsrichtlinien* verwenden, AWS Organizations um den Zugriff für Prinzipale und Ressourcen in Ihren Mitgliedskonten zentral zu konfigurieren und zu verwalten. [Richtlinien zur Dienststeuerung (SCPs)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html) definieren die maximal verfügbaren Berechtigungen für die AWS Identity and Access Management (IAM-) Rollen und Benutzer in Ihrer Organisation. [Richtlinien zur Ressourcenkontrolle (RCPs)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_rcps.html) definieren die maximal verfügbaren Berechtigungen für Ressourcen in Ihrer Organisation.

Dieses Muster hilft Ihnen bei der Verwaltung SCPs und RCPs als Infrastructure as Code (IaC), die Sie über eine CI/CD-Pipeline (Continuous Integration and Continuous Deployment) bereitstellen. Indem Sie unsere AWS CloudFormation Hashicorp Terraform zur Verwaltung dieser Richtlinien verwenden, können Sie den Aufwand reduzieren, der mit der Erstellung und Verwaltung mehrerer Autorisierungsrichtlinien verbunden ist.

Dieses Muster umfasst die folgenden Funktionen:
+ Sie erstellen, löschen und aktualisieren die Autorisierungsrichtlinien mithilfe von *Manifestdateien* (`scp-management.json`und`rcp-management.json`).
+ Sie arbeiten mit Leitplanken statt mit Richtlinien. Sie definieren Ihre Leitplanken und ihre Ziele in den Manifestdateien.
+ Die Pipeline, die AWS CodeBuild und verwendet AWS CodePipeline, führt die Leitplanken in den Manifestdateien zusammen und optimiert sie. Für jede Anweisung in der Manifestdatei fasst die Pipeline die Guardrails zu einem einzigen SCP oder RCP zusammen und wendet sie dann auf die definierten Ziele an.
+ AWS Organizations wendet die Richtlinien auf Ihre Ziele an. Bei einem *Ziel* kann es sich um eine Organisationseinheit (OU), eine Umgebung (bei der es sich um eine Gruppe von Konten handelt oder OUs die Sie in der `environments.json` Datei definieren) oder um eine Gruppe von Konten mit einem gemeinsamen [AWS Tag handeln](https://docs.aws.amazon.com/whitepapers/latest/tagging-best-practices/what-are-tags.html). AWS-Konto
+ Amazon Bedrock liest die Pipeline-Protokolle und fasst alle Richtlinienänderungen zusammen.
+ Die Pipeline erfordert eine manuelle Genehmigung. Der Genehmiger kann die von Amazon Bedrock erstellte Zusammenfassung lesen, die ihm hilft, die Änderungen zu verstehen.

## Voraussetzungen und Einschränkungen
<a name="manage-organizations-policies-as-code-prereqs"></a>

**Voraussetzungen**
+ Mehrere AWS-Konten , die als Organisation verwaltet werden in. AWS Organizations Weitere Informationen finden Sie unter [Organisation erstellen](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_org_create.html).
+ Die SCP- und RCP-Funktionen sind in aktiviert. AWS Organizations Weitere Informationen finden Sie unter [Einen Richtlinientyp aktivieren](https://docs.aws.amazon.com/organizations/latest/userguide/enable-policy-type.html).
+ [Terraform Version 1.9.8 oder höher ist installiert.](https://developer.hashicorp.com/terraform/tutorials/aws-get-started/install-cli)
+ Wenn Sie diese Lösung nicht über eine Terraform-Pipeline bereitstellen, muss die Terraform-Statusdatei in einem Amazon Simple Storage Service (Amazon S3) -Bucket [gespeichert](https://developer.hashicorp.com/terraform/language/backend/s3) werden, in AWS-Konto dem Sie die Policy-Management-Pipeline bereitstellen.
+ [Python-Version 3.13.3 oder höher ist installiert.](https://www.python.org/downloads/)

**Einschränkungen**
+ Sie können dieses Muster nicht verwenden, um Objekte zu verwalten SCPs RCPs , die außerhalb dieser CI/CD Pipeline erstellt wurden. Sie können jedoch vorhandene Richtlinien über die Pipeline neu erstellen. Weitere Informationen finden Sie unter *Migration vorhandener Richtlinien zur Pipeline im* Abschnitt [Zusätzliche Informationen](#manage-organizations-policies-as-code-additional) dieses Musters.
+ Die Anzahl der Konten und die Richtlinien in jedem Konto unterliegen den [Kontingenten und Dienstlimits](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_reference_limits.html) für AWS Organizations. OUs
+ Dieses Muster kann nicht zur Konfiguration von [Verwaltungsrichtlinien](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_management_policies.html) wie Backup-Richtlinien, Tag-Richtlinien, Chat-Anwendungsrichtlinien oder deklarativen Richtlinien verwendet werden. AWS Organizations

## Architektur
<a name="manage-organizations-policies-as-code-architecture"></a>

Das folgende Diagramm zeigt den Arbeitsablauf der Richtlinienverwaltungspipeline und der zugehörigen Ressourcen.

![\[Veröffentlichung SCPs und Durchführung RCPs einer Richtlinienverwaltungspipeline.\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/images/pattern-img/372a1ace-5b2e-4f93-9f88-b5b0519ded48/images/a2cceb99-2b93-48e0-b072-bc61a572201f.png)


Das Diagramm zeigt den folgenden Workflow:

1. Ein Benutzer überträgt Änderungen an den Dateien `scp-management.json` oder den `rcp-management.json` Manifestdateien im Hauptzweig des Remote-Repositorys.

1. Durch die Änderung des `main` Zweigs wird der Pipeline-Eingang initiiert. AWS CodePipeline

1. CodePipeline startet das `Validate-Plan` CodeBuild Projekt. Dieses Projekt verwendet ein Python-Skript im Remote-Repository, um Richtlinien und die Richtlinienmanifestdateien zu validieren. Dieses CodeBuild Projekt macht Folgendes:

   1. Überprüft, ob die SCP- und RCP-Manifestdateien eine eindeutige Anweisung IDs () `Sid` enthalten.

   1. Verwendet die `rcp-policy-processor/main.py` Python-Skripte `scp-policy-processor/main.py` und, um Guardrails im Guardrails-Ordner zu einer einzigen RCP- oder SCP-Richtlinie zu verketten. Es kombiniert Leitplanken, die dieselben, und haben. `Resource` `Action` `Condition`

   1. Wird verwendet AWS Identity and Access Management Access Analyzer , um die endgültige, optimierte Richtlinie zu validieren. Falls irgendwelche Ergebnisse vorliegen, wird die Pipeline gestoppt.

   1. Erstellt `scps.json` `rcps.json` Dateien, die Terraform verwendet, um Ressourcen zu erstellen.

   1. Führt den `terraform plan` Befehl aus, der einen Terraform-Ausführungsplan erstellt.

1. (Optional) Das `Validate-Plan` CodeBuild Projekt verwendet das `bedrock-prompt/prompt.py` Skript, um eine Aufforderung an Amazon Bedrock zu senden. Sie definieren die Aufforderung in der `bedrock-prompt/prompt.txt` Datei. Amazon Bedrock verwendet Anthropic Claude Sonnet 3.5, um durch die Analyse der Terraform- und Python-Protokolle eine Zusammenfassung der vorgeschlagenen Änderungen zu generieren.

1. CodePipeline verwendet ein Amazon Simple Notification Service (Amazon SNS) -Thema, um Genehmiger darüber zu informieren, dass Änderungen überprüft werden müssen. Wenn Amazon Bedrock eine Änderungszusammenfassung generiert hat, enthält die Benachrichtigung diese Zusammenfassung.

1. Ein Policy-Genehmiger genehmigt die Maßnahme in. CodePipeline Wenn Amazon Bedrock eine Änderungszusammenfassung generiert hat, kann der Genehmiger die Zusammenfassung CodePipeline vor der Genehmigung überprüfen.

1. CodePipeline startet das Projekt. `Apply` CodeBuild Dieses Projekt verwendet Terraform, um die RCP- und SCP-Änderungen in anzuwenden. AWS Organizations

Die mit dieser Architektur verknüpfte IaC-Vorlage stellt außerdem die folgenden Ressourcen bereit, die die Richtlinienverwaltungspipeline unterstützen:
+ Ein Amazon S3 S3-Bucket zum Speichern von CodePipeline Artefakten und Skripten wie `scp-policy-processor/main.py` und `bedrock-prompt/prompt.py`
+ Ein AWS Key Management Service (AWS KMS) -Schlüssel, der die von dieser Lösung erstellten Ressourcen verschlüsselt

## Tools
<a name="manage-organizations-policies-as-code-tools"></a>

**AWS-Services**
+ [Amazon Bedrock](https://docs.aws.amazon.com/bedrock/latest/userguide/what-is-bedrock.html) ist ein vollständig verwalteter KI-Service, der viele leistungsstarke Basismodelle über eine einheitliche API zur Nutzung verfügbar macht.
+ [AWS CodeBuild](https://docs.aws.amazon.com/codebuild/latest/userguide/welcome.html)ist ein vollständig verwalteter Build-Service, der Ihnen hilft, Quellcode zu kompilieren, Komponententests durchzuführen und Artefakte zu erstellen, die sofort einsatzbereit sind. 
+ [AWS CodePipeline](https://docs.aws.amazon.com/codepipeline/latest/userguide/welcome.html)hilft Ihnen dabei, die verschiedenen Phasen einer Softwareversion schnell zu modellieren und zu konfigurieren und die Schritte zu automatisieren, die für die kontinuierliche Veröffentlichung von Softwareänderungen erforderlich sind.
+ [AWS Organizations](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_introduction.html)ist ein Kontoverwaltungsservice, mit dem Sie mehrere Konten zu einer Organisation AWS-Konten zusammenfassen können, die Sie erstellen und zentral verwalten.
+ [AWS SDK für Python (Boto3)](https://boto3.amazonaws.com/v1/documentation/api/latest/guide/quickstart.html)ist ein Softwareentwicklungskit, mit dem Sie Ihre Python-Anwendung, -Bibliothek oder Ihr Skript integrieren können AWS-Services.
+ [Amazon Simple Storage Service (Amazon S3)](https://docs.aws.amazon.com/AmazonS3/latest/userguide/Welcome.html) ist ein cloudbasierter Objektspeicherservice, der Sie beim Speichern, Schützen und Abrufen beliebiger Datenmengen unterstützt.

**Andere Tools**
+ [HashiCorp Terraform](https://www.terraform.io/docs) ist ein IaC-Tool, mit dem Sie mithilfe von Code Cloud-Infrastruktur und -Ressourcen bereitstellen und verwalten können.

**Code-Repository**

Der Code für dieses Muster ist im [organizations-policy-pipeline](https://github.com/aws-samples/organizations-policy-pipeline) GitHub Repository verfügbar. Im Folgenden sind die wichtigsten Dateien aufgeführt, die in dem `sample-repository` Ordner enthalten sind:
+ `environments.json`Enthält in dem `environments` Ordner eine Liste von Umgebungen. *Umgebungen* sind eine Gruppe von Zielen, und sie können Organisationseinheiten (OUs) enthalten AWS-Konto IDs .
+ Im `rcp-management` Ordner:
  + Der `guardrails` Ordner enthält die einzelnen Leitplanken für Ihre RCPs
  + Der `policies` Ordner enthält die einzelnen RCPs
  + Die `rcp-management.json` Manifestdatei hilft Ihnen bei der Verwaltung von RCP-Guardrails RCPs, Full und den zugehörigen Zielen.
+ Im Ordner: `scp-management`
  + Der `guardrails` Ordner enthält die einzelnen Leitplanken für Ihre SCPs
  + Der `policies` Ordner enthält die einzelnen SCPs
  + Die `scp-management.json` Manifestdatei hilft Ihnen bei der Verwaltung von SCP-Guardrails SCPs, Full und den zugehörigen Zielen.
+ Der `utils` Ordner enthält Skripts, mit denen Sie Ihre aktuellen Dateien migrieren SCPs und RCPs sie über die Pipeline verwalten können. Weitere Informationen finden Sie im Abschnitt [Zusätzliche Informationen](#manage-organizations-policies-as-code-additional) dieses Musters.

## Best Practices
<a name="manage-organizations-policies-as-code-best-practices"></a>
+ Bevor Sie die Pipeline einrichten, empfehlen wir Ihnen, sich zu vergewissern, dass Sie die Grenzwerte Ihrer AWS Organizations [Kontingente](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_reference_limits.html) nicht erreicht haben.
+ Wir empfehlen, das AWS Organizations Verwaltungskonto nur für Aufgaben zu verwenden, die in diesem Konto ausgeführt werden müssen. Weitere Informationen finden Sie unter [Bewährte Methoden für das Verwaltungskonto](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_best-practices_mgmt-acct.html#bp_mgmt-acct_use-mgmt).

## Epen
<a name="manage-organizations-policies-as-code-epics"></a>

### Richten Sie das Zielkonto ein
<a name="set-up-the-target-account"></a>


| Aufgabe | Description | Erforderliche Fähigkeiten | 
| --- | --- | --- | 
| Erstellen Sie ein -Repository. | Erstellen Sie ein Repository, von dem aus Ihr Security Operations Team die Richtlinien verwaltet. Verwenden Sie einen der Drittanbieter für Repositorys, der dies AWS CodeConnections [unterstützt](https://docs.aws.amazon.com/dtconsole/latest/userguide/supported-versions-connections.html). | DevOps Ingenieur | 
| Delegieren Sie die Richtlinienverwaltung. | Delegieren Sie die Verwaltung der AWS Organizations Richtlinien an das Mitgliedskonto, für das Sie die Pipeline bereitstellen. Anweisungen finden Sie unter [Erstellen einer ressourcenbasierten Delegierungsrichtlinie mit](https://docs.aws.amazon.com/organizations/latest/userguide/orgs-policy-delegate.html). AWS Organizations Ein Beispiel für eine Richtlinie finden Sie unter *Beispiel für eine ressourcenbasierte Delegierungsrichtlinie* im Abschnitt [Zusätzliche Informationen dieses](#manage-organizations-policies-as-code-additional) Musters. | AWS-Administrator | 
| (Optional) Aktivieren Sie das Foundation-Modell. | Wenn Sie Zusammenfassungen der Richtlinienänderungen erstellen möchten, aktivieren Sie den Zugriff auf das Anthropic Claude 3.5 Sonnet Foundation-Modell in Amazon Bedrock in dem Land, in AWS-Konto dem Sie die Pipeline bereitstellen. Anweisungen finden [Sie unter Zugriff auf Amazon Bedrock Foundation-Modelle hinzufügen oder entfernen](https://docs.aws.amazon.com/bedrock/latest/userguide/model-access-modify.html). | Allgemeines AWS | 

### Stellen Sie die Ressourcen für die Pipeline bereit
<a name="deploy-the-resources-for-the-pipeline"></a>


| Aufgabe | Description | Erforderliche Fähigkeiten | 
| --- | --- | --- | 
| Klonen Sie das Repository | Geben Sie den folgenden Befehl ein, um das [organizations-policy-pipeline ](https://github.com/aws-samples/organizations-policy-pipeline)Repository von zu klonen GitHub:`git clone https://github.com/aws-samples/organizations-policy-pipeline.git` | DevOps Ingenieur | 
| Definieren Sie Ihre Bereitstellungsmethode. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/manage-organizations-policies-as-code.html) | DevOps Ingenieur | 
| Stellen Sie die Pipeline bereit. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/manage-organizations-policies-as-code.html) | DevOps Ingenieur, Terraform | 
| Connect zum Remote-Repository her. | Im vorherigen Schritt hat Terraform eine CodeConnections Verbindung zum Repository eines Drittanbieters hergestellt. Ändern Sie in der [AWS Developer Tools-Konsole](https://console.aws.amazon.com/codesuite/settings/connections) den Status der Verbindung von `PENDING` zu. `AVAILABLE` Anweisungen finden Sie unter [Aktualisieren einer ausstehenden Verbindung](https://docs.aws.amazon.com/dtconsole/latest/userguide/connections-update.html). | AWS DevOps | 
| Abonnieren Sie das Amazon-SNS-Thema. | Terraform hat ein Amazon SNS SNS-Thema erstellt. Abonnieren Sie einen Endpunkt für das Thema und bestätigen Sie das Abonnement, damit die Genehmiger Benachrichtigungen über ausstehende Genehmigungsaktionen in der Pipeline erhalten. Anweisungen finden Sie unter [Erstellen eines Abonnements für ein Amazon SNS SNS-Abonnement.](https://docs.aws.amazon.com/sns/latest/dg/sns-create-subscribe-endpoint-to-topic.html) | Allgemeines AWS | 

### Definieren Sie Ihre Leitplanken und Richtlinien
<a name="define-your-guardrails-and-policies"></a>


| Aufgabe | Description | Erforderliche Fähigkeiten | 
| --- | --- | --- | 
| Füllen Sie das Remote-Repository auf. | Kopieren Sie den Inhalt des `sample-repository` Ordners aus dem geklonten Repository in Ihr Remote-Repository. Dazu gehören die `utils` Ordner `environments``rcp-management`,`scp-management`, und. | DevOps Ingenieur | 
| Definieren Sie Ihre Umgebungen. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/manage-organizations-policies-as-code.html) | DevOps Ingenieur | 
| Definiere deine Leitplanken. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/manage-organizations-policies-as-code.html) | DevOps Ingenieur | 
| Definieren Sie Ihre Richtlinien. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/manage-organizations-policies-as-code.html) | DevOps Ingenieur | 

### Verwenden Sie die Manifestdatei, um die Richtlinien zu verwalten
<a name="use-the-manifest-file-to-manage-the-policies"></a>


| Aufgabe | Description | Erforderliche Fähigkeiten | 
| --- | --- | --- | 
| Konfigurieren Sie die Manifestdateien. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/manage-organizations-policies-as-code.html) | DevOps Ingenieur | 
| Starte die Pipeline. | Übernehmen Sie die Änderungen und übertragen Sie sie in den Zweig des Remote-Repositorys, den Sie in der `variables.tf` Datei definiert haben. In der Regel ist dies der `main` Branch. Die CI/CD Pipeline wird automatisch gestartet. Falls Pipeline-Fehler auftreten, finden Sie weitere Informationen im Abschnitt [zur Fehlerbehebung](#manage-organizations-policies-as-code-troubleshooting) in diesem Muster. | DevOps Ingenieur | 
| Genehmigen Sie die Änderungen. | Wenn das `Validate-Plan` CodeBuild Projekt abgeschlossen ist, erhalten die Richtliniengenehmiger eine Benachrichtigung über das Amazon SNS SNS-Thema, das Sie zuvor konfiguriert haben. Gehen Sie wie folgt vor:[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/manage-organizations-policies-as-code.html) | Allgemeines AWS, Richtliniengenehmiger | 
| Validieren Sie die Bereitstellung. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/manage-organizations-policies-as-code.html) | Allgemeines AWS | 

## Fehlerbehebung
<a name="manage-organizations-policies-as-code-troubleshooting"></a>


| Problem | Lösung | 
| --- | --- | 
| Manifeste Dateifehler in der `Validate-Plan` Phase der Pipeline | Wenn die ODER-Dateien Fehler enthalten, wird in der Pipeline-Ausgabe die Meldung „Pipeline-Fehler in der Überprüfungs `scp-management.json` - und Planungsphase für `rcp-management.json` Manifestdateien“ angezeigt. Zu den möglichen Fehlern gehören ein falscher Umgebungsname SIDs, doppelte oder ungültige Felder oder Werte. Gehen Sie wie folgt vor:[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/manage-organizations-policies-as-code.html) | 
| Ergebnisse des IAM Access Analyzer in der `Validate-Plan` Pipeline-Phase | Die Meldung „Ergebnisse in IAM Access Analyzer während der Überprüfungs- und Planungsphase“ wird in der Pipeline-Ausgabe angezeigt, wenn Fehler in der Guardrail- oder Policy-Definition vorliegen. Dieses Muster verwendet IAM Access Analyzer, um die endgültige Richtlinie zu validieren. Gehen Sie wie folgt vor:[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/manage-organizations-policies-as-code.html) | 

## Zugehörige Ressourcen
<a name="manage-organizations-policies-as-code-resources"></a>
+ [Referenz zum JSON-Richtlinienelement](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html) (IAM-Dokumentation)
+ [Richtlinien zur Ressourcenkontrolle](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_rcps.html) (AWS Organizations Dokumentation)
+ [Richtlinien zur Servicesteuerung](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html) (AWS Organizations Dokumentation)
+ [Zugriff auf Amazon Bedrock Foundation-Modelle hinzufügen oder entfernen](https://docs.aws.amazon.com/bedrock/latest/userguide/model-access-modify.html) (Amazon Bedrock-Dokumentation)
+ [Genehmigen oder lehnen Sie eine Genehmigungsaktion in CodePipeline (Dokumentation](https://docs.aws.amazon.com/codepipeline/latest/userguide/approvals-approve-or-reject.html)) CodePipeline ab

## Zusätzliche Informationen
<a name="manage-organizations-policies-as-code-additional"></a>

**Beispiel für eine ressourcenbasierte Delegierungsrichtlinie**

Im Folgenden finden Sie ein Beispiel für eine ressourcenbasierte Delegierungsrichtlinie für. AWS Organizations Sie ermöglicht dem delegierten Administratorkonto die Verwaltung SCPs und RCPs für die Organisation. Ersetzen Sie den Wert in der folgenden Beispielrichtlinie `<MEMBER_ACCOUNT_ID>` durch die ID des Kontos, für das Sie die Richtlinienverwaltungspipeline bereitstellen.

```
{
  "Version": "2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "DelegationToAudit",
      "Effect": "Allow",
      "Principal": {
        "AWS": "arn:aws:iam::<MEMBER_ACCOUNT_ID>:root"
      },
      "Action": [
        "organizations:ListTargetsForPolicy",
        "organizations:CreatePolicy",
        "organizations:DeletePolicy",
        "organizations:AttachPolicy",
        "organizations:DetachPolicy",
        "organizations:DisablePolicyType",
        "organizations:EnablePolicyType",
        "organizations:UpdatePolicy",
        "organizations:DescribeEffectivePolicy",
        "organizations:DescribePolicy",
        "organizations:DescribeResourcePolicy"
      ],
      "Resource": "*"
    }
  ]
}
```

**Migrieren vorhandener Richtlinien in die Pipeline**

Wenn Sie bereits über diese Pipeline verfügen SCPs oder RCPs die Sie über diese Pipeline migrieren und verwalten möchten, können Sie die Python-Skripte im `sample-repository/utils` Ordner des Code-Repositorys verwenden. Zu diesen Skripten gehören:
+ `check-if-scp-exists-in-env.py`— Dieses Skript prüft, ob eine angegebene Richtlinie für Ziele in einer bestimmten Umgebung gilt, die Sie in der `environments.json` Datei definieren. Geben Sie den folgenden Befehl ein, um dieses Skript auszuführen:

  ```
  python3 check-if-scp-exists-in-env.py \
     --policy-type <POLICY_TYPE> \
     --policy-name <POLICY_NAME> \
     --env-id <ENV_ID>
  ```

  Ersetzen Sie in diesem Befehl Folgendes:
  + `<POLICY_TYPE>` ist `scp` oder `rcp`
  + `<POLICY_NAME>`ist der Name des SCP oder RCP
  + `<ENV_ID>`ist die ID der Umgebung, die Sie in der Datei definiert haben `environments.json`
+ `create-environments.py`— Dieses Skript erstellt eine environments.json-Datei, die auf der aktuellen SCPs und RCPs in Ihrer Umgebung basiert. Es schließt Richtlinien aus, die über bereitgestellt werden. AWS Control Tower Geben Sie den folgenden Befehl ein, um dieses Skript auszuführen, wobei `<POLICY_TYPE>` es sich um `scp` oder `rcp` handelt:

  ```
  python create-environments.py --policy-type <POLICY_TYPE>
  ```
+ `verify-policies-capacity.py`— Dieses Skript überprüft jede von Ihnen definierte Umgebung, um festzustellen, wie viel Kapazität für jedes AWS Organizations richtlinienbezogene Kontingent noch übrig ist. Sie definieren die Umgebungen, in die die Datei eingecheckt werden soll. `environments.json` Geben Sie den folgenden Befehl ein, um dieses Skript auszuführen, wobei `<POLICY_TYPE>` es sich um `scp` oder handelt`rcp`:

  ```
  python verify-policies-capacity.py --policy-type <POLICY_TYPE>
  ```