Desvinculación de políticas de la organización con AWS Organizations - AWS Organizations
Desvinculación de políticas

Desvinculación de políticas de la organización con AWS Organizations

En este tema se explica cómo desvincular políticas con AWS Organizations. Una política define los controles que desea aplicar a un grupo de Cuentas de AWS.

Desvinculación de políticas con AWS Organizations

Permisos mínimos

Para desvincular una política de la raíz de una organización, unidad organizativa o cuenta, debe tener permiso para poner en marcha la siguiente acción:

  • organizations:DetachPolicy

nota

No puede desvincular la última política de autorización (SCP o RCP) de una raíz, una unidad organizativa o una cuenta. Debe haber al menos una SCP o RCP asociada a cada nodo raíz, unidad organizativa y cuenta en todo momento.

Service control policies (SCPs)

Puede desconectar una SCP navegando hasta la política o el nodo raíz, unidad organizativa o cuenta a la que desee desconectar la política.

Para desconectar una SCP navegando hasta el nodo raíz, unidad organizativa o cuenta a la que está adjunta

  1. Inicie sesión en la consola de AWS Organizations. Debe iniciar sesión como usuario de IAM, asumir un rol de IAM; o iniciar sesión como usuario raíz (no se recomienda) en la cuenta de administración de la organización.

  2. En la página Cuentas de AWS desplácese hasta el nodo raíz, unidad organizativa o cuenta de la que desea desconectar una política. Es posible que tenga que expandir las unidades organizativas (elija la opción Gray cloud icon representing cloud computing or storage services. ) para encontrar la unidad organizativa o la cuenta que desea. Elija el nombre del nodo raíz, unidad organizativa o cuenta.

  3. En la pestaña Políticas, elija el botón de opción situado junto a la SCP que desea desconectar y, a continuación, elija Desconectar.

  4. En el cuadro de diálogo de confirmación, elija Desconectar política.

    La lista de SCP asociadas se actualiza. El cambio de política que se origina al desconectar la SCP entra en vigor inmediatamente. Por ejemplo, cuando se desasocia una SCP, este cambio afecta inmediatamente a los permisos de los usuarios y roles de IAM de la cuenta o cuentas anteriormente asociadas situados bajo el nodo raíz de la organización o unidad organizativa anteriormente asociadas.

Para desconectar una SCP navegando a la política

  1. Inicie sesión en la consola de AWS Organizations. Debe iniciar sesión como usuario de IAM, asumir un rol de IAM; o iniciar sesión como usuario raíz (no se recomienda) en la cuenta de administración de la organización.

  2. En la página Políticas de control de servicios, elija el nombre de la política que desea desconectar de un nodo raíz, unidad organizativa o cuenta.

  3. En la pestaña de Objetivos, elija el botón de opción situado junto al nodo raíz, unidad organizativa o cuenta de la que desea desconectar la política. Es posible que tenga que expandir las unidades organizativas (elija la opción Gray cloud icon representing cloud computing or storage services. ) para encontrar la unidad organizativa o la cuenta que desea.

  4. Elija Desasociar.

  5. En el cuadro de diálogo de confirmación, elija Desconectar.

    La lista de SCP asociadas se actualiza. El cambio de política que se origina al desconectar la SCP entra en vigor inmediatamente. Por ejemplo, cuando se desasocia una SCP, este cambio afecta inmediatamente a los permisos de los usuarios y roles de IAM de la cuenta o cuentas anteriormente asociadas situados bajo el nodo raíz de la organización o unidad organizativa anteriormente asociadas.

Resource control policies (RCPs)

Puede desvincular una RCP navegando hasta la política o el nodo raíz, unidad organizativa o cuenta a la que desee desvincular la política. Después de desvincular una RCP de una entidad, dicha RCP ya no se aplica a ningún recurso que estuviera afectado por la entidad ahora desvinculada.

nota

No se puede desvincular la política RCPFullAWSAccess

La política RCPFullAWSAccess se asocia automáticamente a la raíz, a todas las unidades organizativas y a todas las cuentas de la organización. No se puede desvincular esta política.

Cómo desvincular una RCP dirigiéndose al nodo raíz, unidad organizativa o cuenta a la que está asociada

  1. Inicie sesión en la consola de AWS Organizations. Debe iniciar sesión como usuario de IAM, asumir un rol de IAM; o iniciar sesión como usuario raíz (no se recomienda) en la cuenta de administración de la organización.

  2. En la página Cuentas de AWS desplácese hasta el nodo raíz, unidad organizativa o cuenta de la que desea desconectar una política. Es posible que tenga que expandir las unidades organizativas (elija la opción Gray cloud icon representing cloud computing or storage services. ) para encontrar la unidad organizativa o la cuenta que desea. Elija el nombre del nodo raíz, unidad organizativa o cuenta.

  3. En la pestaña Policies (Políticas), elija el botón de opción situado junto a la RCP que desea desvincular y, a continuación, elija Detach (Desvincular).

  4. En el cuadro de diálogo de confirmación, elija Desconectar política.

    Se actualizó la lista de RCP asociadas. El cambio de política que se origina al desvincular la RCP entra en vigor inmediatamente. Por ejemplo, cuando se desvincula una RCP, este cambio afecta inmediatamente a los permisos de los usuarios y roles de IAM de la cuenta o cuentas anteriormente asociadas situados bajo el nodo raíz de la organización o unidad organizativa anteriormente asociadas.

Cómo desvincular una RCP dirigiéndose a la política

  1. Inicie sesión en la consola de AWS Organizations. Debe iniciar sesión como usuario de IAM, asumir un rol de IAM; o iniciar sesión como usuario raíz (no se recomienda) en la cuenta de administración de la organización.

  2. En la página Resource control policy (Política de control de recursos), elija el nombre de la política que desea desvincular de un nodo raíz, unidad organizativa o cuenta.

  3. En la pestaña de Objetivos, elija el botón de opción situado junto al nodo raíz, unidad organizativa o cuenta de la que desea desconectar la política. Es posible que tenga que expandir las unidades organizativas (elija la opción Gray cloud icon representing cloud computing or storage services. ) para encontrar la unidad organizativa o la cuenta que desea.

  4. Elija Desasociar.

  5. En el cuadro de diálogo de confirmación, elija Desconectar.

    Se actualizó la lista de RCP asociadas. El cambio de política que se origina al desvincular la RCP entra en vigor inmediatamente. Por ejemplo, cuando se desvincula una RCP, este cambio afecta inmediatamente a los permisos de los usuarios y roles de IAM de la cuenta o cuentas anteriormente asociadas situados bajo el nodo raíz de la organización o unidad organizativa anteriormente asociadas.

Declarative policies

Puede desvincular una política declarativa dirigiéndose hasta la política o el nodo raíz, unidad organizativa o cuenta de la que desee desvincular la política.

Cómo desvincular una política declarativa dirigíendose al nodo raíz, unidad organizativa o cuenta a la que está asociada

  1. Inicie sesión en la consola de AWS Organizations. Debe iniciar sesión como usuario de IAM, asumir un rol de IAM; o iniciar sesión como usuario raíz (no se recomienda) en la cuenta de administración de la organización.

  2. En la página Cuentas de AWS desplácese hasta el nodo raíz, unidad organizativa o cuenta de la que desea desconectar una política. Es posible que tenga que expandir las unidades organizativas (elija la opción Gray cloud icon representing cloud computing or storage services. ) para encontrar la unidad organizativa o la cuenta que desea. Elija el nombre del nodo raíz, unidad organizativa o cuenta.

  3. En la pestaña Policies (Políticas), elija el botón de opción situado junto a la política declarativa que desea desvincular y, a continuación, elija Detach (Desvincular).

  4. En el cuadro de diálogo de confirmación, elija Desconectar política.

    Actualización de la lista de políticas declarativa asociadas. El cambio en la política surtirá efecto de inmediato.

Cómo desvincular una política declarativa dirigiéndose a la política

  1. Inicie sesión en la consola de AWS Organizations. Debe iniciar sesión como usuario de IAM, asumir un rol de IAM; o iniciar sesión como usuario raíz (no se recomienda) en la cuenta de administración de la organización.

  2. En la página Políticas declarativas, elija el nombre de la política que desea desvincular de un nodo raíz, unidad organizativa o cuenta.

  3. En la pestaña de Objetivos, elija el botón de opción situado junto al nodo raíz, unidad organizativa o cuenta de la que desea desconectar la política. Es posible que tenga que expandir las unidades organizativas (elija la opción Gray cloud icon representing cloud computing or storage services. ) para encontrar la unidad organizativa o la cuenta que desea.

  4. Elija Desasociar.

  5. En el cuadro de diálogo de confirmación, elija Desconectar.

    Actualización de la lista de políticas declarativa asociadas. El cambio en la política surtirá efecto de inmediato.

Backup policies

Puede desconectar una política de copia de seguridad navegando hasta la política o el nodo raíz, unidad organizativa o cuenta de la que desee desconectar la política.

Para desconectar una política de copia de seguridad navegando hasta el nodo raíz, unidad organizativa o cuenta a la que está adjunta

  1. Inicie sesión en la consola de AWS Organizations. Debe iniciar sesión como usuario de IAM, asumir un rol de IAM; o iniciar sesión como usuario raíz (no se recomienda) en la cuenta de administración de la organización.

  2. En la página Cuentas de AWS desplácese hasta el nodo raíz, unidad organizativa o cuenta de la que desea desconectar una política. Es posible que tenga que expandir las unidades organizativas (elija la opción Gray cloud icon representing cloud computing or storage services. ) para encontrar la unidad organizativa o la cuenta que desea. Elija el nombre del nodo raíz, unidad organizativa o cuenta.

  3. En la pestaña Políticas elija el botón de opción situado junto a la política de copia de seguridad que desea desconectar y, a continuación, elija Desconectar.

  4. En el cuadro de diálogo de confirmación, elija Desconectar política.

    La lista de políticas de copia de seguridad asociadas se actualiza. El cambio en la política surtirá efecto de inmediato.

Para desconectar una política de copia de seguridad navegando hasta la política

  1. Inicie sesión en la consola de AWS Organizations. Debe iniciar sesión como usuario de IAM, asumir un rol de IAM; o iniciar sesión como usuario raíz (no se recomienda) en la cuenta de administración de la organización.

  2. En la página Políticas de copia de seguridad elija el nombre de la política que desea desconectar de un nodo raíz, unidad organizativa o cuenta.

  3. En la pestaña de Objetivos, elija el botón de opción situado junto al nodo raíz, unidad organizativa o cuenta de la que desea desconectar la política. Es posible que tenga que expandir las unidades organizativas (elija la opción Gray cloud icon representing cloud computing or storage services. ) para encontrar la unidad organizativa o la cuenta que desea.

  4. Elija Desasociar.

  5. En el cuadro de diálogo de confirmación, elija Desconectar.

    La lista de políticas de copia de seguridad asociadas se actualiza. El cambio en la política surtirá efecto de inmediato.

Tag policies

Puede desconectar una política de etiquetas navegando hasta la política o el nodo raíz, unidad organizativa o cuenta de la que desee desconectar la política.

Para desconectar una política de etiqueta navegando hasta el nodo raíz, unidad organizativa o cuenta a la que está adjunta

  1. Inicie sesión en la consola de AWS Organizations. Debe iniciar sesión como usuario de IAM, asumir un rol de IAM; o iniciar sesión como usuario raíz (no se recomienda) en la cuenta de administración de la organización.

  2. En la página Cuentas de AWS desplácese hasta el nodo raíz, unidad organizativa o cuenta de la que desea desconectar una política. Es posible que tenga que expandir las unidades organizativas (elija la opción Gray cloud icon representing cloud computing or storage services. ) para encontrar la unidad organizativa o la cuenta que desea. Elija el nombre del nodo raíz, unidad organizativa o cuenta.

  3. En la pestaña Políticas, elija el botón de opción situado junto a la política de etiquetas que desea desconectar y, a continuación, elija Desconectar.

  4. En el cuadro de diálogo de confirmación, elija Desconectar política.

    Actualización de la lista de políticas de etiquetas asociadas. El cambio en la política surtirá efecto de inmediato.

Para desconectar una política de etiquetas navegando hasta la política

  1. Inicie sesión en la consola de AWS Organizations. Debe iniciar sesión como usuario de IAM, asumir un rol de IAM; o iniciar sesión como usuario raíz (no se recomienda) en la cuenta de administración de la organización.

  2. En la página Políticas de etiquetas, elija el nombre de la política que desea desconectar de un nodo raíz, unidad organizativa o cuenta.

  3. En la pestaña de Objetivos, elija el botón de opción situado junto al nodo raíz, unidad organizativa o cuenta de la que desea desconectar la política. Es posible que tenga que expandir las unidades organizativas (elija la opción Gray cloud icon representing cloud computing or storage services. ) para encontrar la unidad organizativa o la cuenta que desea.

  4. Elija Desasociar.

  5. En el cuadro de diálogo de confirmación, elija Desconectar.

    Actualización de la lista de políticas de etiquetas asociadas. El cambio en la política surtirá efecto de inmediato.

Chat applications policies

Puede desvincular una política de aplicaciones de chat dirigiéndose hasta la política o el nodo raíz, unidad organizativa o cuenta de donde vaya a desvincular la política.

Cómo desvincular una política de aplicaciones de chat dirigiéndose al nodo raíz, unidad organizativa o cuenta a la que está asociada

  1. Inicie sesión en la consola de AWS Organizations. Debe iniciar sesión como usuario de IAM, asumir un rol de IAM; o iniciar sesión como usuario raíz (no se recomienda) en la cuenta de administración de la organización.

  2. En la página Cuentas de AWS desplácese hasta el nodo raíz, unidad organizativa o cuenta de la que desea desconectar una política. Es posible que tenga que expandir las unidades organizativas (elija la opción Gray cloud icon representing cloud computing or storage services. ) para encontrar la unidad organizativa o la cuenta que desea. Elija el nombre del nodo raíz, unidad organizativa o cuenta.

  3. En la pestaña Policies (Políticas), elija el botón de opción situado junto a la política de aplicaciones de chat que desea desvincular y, a continuación, elija Detach (Desvincular).

  4. En el cuadro de diálogo de confirmación, elija Desconectar política.

    La lista de políticas de aplicaciones de chat asociadas está actualizada. El cambio en la política surtirá efecto de inmediato.

Cómo desvincular una política de aplicaciones de chat dirigiéndose a la política

  1. Inicie sesión en la consola de AWS Organizations. Debe iniciar sesión como usuario de IAM, asumir un rol de IAM; o iniciar sesión como usuario raíz (no se recomienda) en la cuenta de administración de la organización.

  2. En la página Políticas de chatbot, elija el nombre de la política que desea desconectar de un nodo raíz, unidad organizativa o cuenta.

  3. En la pestaña de Objetivos, elija el botón de opción situado junto al nodo raíz, unidad organizativa o cuenta de la que desea desconectar la política. Es posible que tenga que expandir las unidades organizativas (elija la opción Gray cloud icon representing cloud computing or storage services. ) para encontrar la unidad organizativa o la cuenta que desea.

  4. Elija Desasociar.

  5. En el cuadro de diálogo de confirmación, elija Desconectar.

    La lista de políticas de aplicaciones de chat asociadas está actualizada. El cambio en la política surtirá efecto de inmediato.

AI services opt-out policies

Puede desconectar una política de exclusión de servicios de IA navegando hasta la política o el nodo raíz, unidad organizativa o cuenta de la que desee desconectar la política.

Para desconectar una política de exclusión de servicios de IA navegando hasta el nodo raíz, unidad organizativa o cuenta a la que está adjunta

  1. Inicie sesión en la consola de AWS Organizations. Debe iniciar sesión como usuario de IAM, asumir un rol de IAM; o iniciar sesión como usuario raíz (no se recomienda) en la cuenta de administración de la organización.

  2. En la página Cuentas de AWS desplácese hasta el nodo raíz, unidad organizativa o cuenta de la que desea desconectar una política. Es posible que tenga que expandir las unidades organizativas (elija la opción Gray cloud icon representing cloud computing or storage services. ) para encontrar la unidad organizativa o la cuenta que desea. Elija el nombre del nodo raíz, unidad organizativa o cuenta.

  3. En la página Políticas, elija el botón de opción situado junto a la política de exclusión de servicios de IA que desea desconectar y, a continuación, elija Desconectar.

  4. En el cuadro de diálogo de confirmación, elija Desconectar política.

    Se actualiza la lista de políticas de exclusión de servicios de IA adjuntas. El cambio en la política surtirá efecto de inmediato.

Para separar una política de exclusión de servicios de IA navegando a la política

  1. Inicie sesión en la consola de AWS Organizations. Debe iniciar sesión como usuario de IAM, asumir un rol de IAM; o iniciar sesión como usuario raíz (no se recomienda) en la cuenta de administración de la organización.

  2. En la página Políticas de exclusión de servicios de IA, elija el nombre de la política que desea desconectar de un nodo raíz, unidad organizativa o cuenta.

  3. En la pestaña de Objetivos, elija el botón de opción situado junto al nodo raíz, unidad organizativa o cuenta de la que desea desconectar la política. Es posible que tenga que expandir las unidades organizativas (elija la opción Gray cloud icon representing cloud computing or storage services. ) para encontrar la unidad organizativa o la cuenta que desea.

  4. Elija Desasociar.

  5. En el cuadro de diálogo de confirmación, elija Desconectar.

    Se actualiza la lista de políticas de exclusión de servicios de IA adjuntas. El cambio en la política surtirá efecto de inmediato.

Security Hub policies

Puede desvincular una política de Security Hub dirigiéndose a la política o el nodo raíz, unidad organizativa o cuenta de la que desee desvincular la política.

Cómo desvincular una política de Security Hub dirigiéndose al nodo raíz, unidad organizativa o cuenta a la que está asociada

  1. Inicie sesión en la consola de AWS Organizations. Debe iniciar sesión como usuario de IAM, asumir un rol de IAM; o iniciar sesión como usuario raíz (no se recomienda) en la cuenta de administración de la organización.

  2. En la página Cuentas de AWS desplácese hasta el nodo raíz, unidad organizativa o cuenta de la que desea desconectar una política. Es posible que tenga que expandir las unidades organizativas (elija la opción Gray cloud icon representing cloud computing or storage services. ) para encontrar la unidad organizativa o la cuenta que desea. Elija el nombre del nodo raíz, unidad organizativa o cuenta.

  3. En la pestaña Policies (Políticas), elija el botón de opción situado junto a la política de chatbot que desea desvincular y, a continuación, elija Detach (Desvincular).

  4. En el cuadro de diálogo de confirmación, elija Desconectar política.

    Actualización de la lista de políticas de Security Hub. El cambio en la política surtirá efecto de inmediato.

Cómo desvincular una política de Security Hub dirigiéndose a la política

  1. Inicie sesión en la consola de AWS Organizations. Debe iniciar sesión como usuario de IAM, asumir un rol de IAM; o iniciar sesión como usuario raíz (no se recomienda) en la cuenta de administración de la organización.

  2. En la página Security Hub policies (Políticas de Security Hub), elija el nombre de la política que desea desvincular de un nodo raíz, unidad organizativa o cuenta.

  3. En la pestaña de Objetivos, elija el botón de opción situado junto al nodo raíz, unidad organizativa o cuenta de la que desea desconectar la política. Es posible que tenga que expandir las unidades organizativas (elija la opción Gray cloud icon representing cloud computing or storage services. ) para encontrar la unidad organizativa o la cuenta que desea.

  4. Elija Desasociar.

  5. En el cuadro de diálogo de confirmación, elija Desconectar.

    Actualización de la lista de políticas de etiquetas asociadas. El cambio en la política surtirá efecto de inmediato.

Para vincular una política

En los siguientes ejemplos de código se muestra cómo se utiliza DetachPolicy.

.NET
SDK para .NET
nota

Hay más en GitHub. Busque el ejemplo completo y aprenda a configurar y ejecutar en el Repositorio de ejemplos de código de AWS. 

    using System;
    using System.Threading.Tasks;
    using Amazon.Organizations;
    using Amazon.Organizations.Model;

    /// <summary>
    /// Shows how to detach a policy from an AWS Organizations organization,
    /// organizational unit, or account.
    /// </summary>
    public class DetachPolicy
    {
        /// <summary>
        /// Initializes the Organizations client object and uses it to call
        /// DetachPolicyAsync to detach the policy.
        /// </summary>
        public static async Task Main()
        {
            // Create the client object using the default account.
            IAmazonOrganizations client = new AmazonOrganizationsClient();

            var policyId = "p-00000000";
            var targetId = "r-0000";

            var request = new DetachPolicyRequest
            {
                PolicyId = policyId,
                TargetId = targetId,
            };

            var response = await client.DetachPolicyAsync(request);

            if (response.HttpStatusCode == System.Net.HttpStatusCode.OK)
            {
                Console.WriteLine($"Successfully detached policy with Policy Id: {policyId}.");
            }
            else
            {
                Console.WriteLine("Could not detach the policy.");
            }
        }
    }

  • Para obtener información sobre la API, consulte DetachPolicy en la Referencia de la API de AWS SDK para .NET.

CLI
AWS CLI

Desasociación de una política de un nodo raíz, unidad organizativa o cuenta

En el siguiente ejemplo se muestra cómo desasociar una política de una unidad organizativa:

aws organizations  detach-policy  --target-id ou-examplerootid111-exampleouid111 --policy-id p-examplepolicyid111

  • Para obtener información sobre la API, consulte DetachPolicy en la Referencia de comandos de la AWS CLI.

Python
SDK para Python (Boto3)
nota

Hay más en GitHub. Busque el ejemplo completo y aprenda a configurar y ejecutar en el Repositorio de ejemplos de código de AWS. 

def detach_policy(policy_id, target_id, orgs_client):
    """
    Detaches a policy from a target.

    :param policy_id: The ID of the policy to detach.
    :param target_id: The ID of the resource where the policy is currently attached.
    :param orgs_client: The Boto3 Organizations client.
    """
    try:
        orgs_client.detach_policy(PolicyId=policy_id, TargetId=target_id)
        logger.info("Detached policy %s from target %s.", policy_id, target_id)
    except ClientError:
        logger.exception(
            "Couldn't detach policy %s from target %s.", policy_id, target_id
        )
        raise

  • Para obtener información sobre la API, consulte DetachPolicy en la Referencia de la API de AWS SDK para Python (Boto3).

El cambio en la política se hace efectivo de manera inmediata, afectando a los permisos, roles y recursos de los usuarios IAM, si procede, de la cuenta asociada o de todas las cuentas situadas bajo el nodo raíz o la unidad organizativa.