Separando as políticas da organização com AWS Organizations

Este tópico descreve como desvincular políticas com o AWS Organizations. Uma política define os controles que você deseja aplicar a um grupo de Contas da AWS.

Tópicos

desvincular políticas

Separe as políticas com AWS Organizations

Permissões mínimas

Para desvincular uma política da raiz da organização, OU ou conta, você deve ter permissão para executar a seguinte ação:

organizations:DetachPolicy

nota

Não é possível desanexar a última política de autorização (SCP ou RCP) de uma raiz, uma UO ou uma conta. Deve haver pelo menos uma SCP e um RCP anexada a cada raiz, UO e conta durante todo o tempo.

Service control policies (SCPs)

Você pode desvincular uma SCP navegando até a política ou até a raiz, UO ou conta da qual você deseja desvincular a política.

Para desvincular uma SCP navegando até a raiz, UO ou conta à qual ela está anexada

Faça login no console do AWS Organizations. Você deve fazer login como um usuário do IAM, assumir um perfil do IAM ou fazer login como usuário-raiz (não recomendado) na conta gerencial da organização.
Na página Contas da AWS, navegue até a raiz, UO ou conta da qual você deseja desvincular uma política. Talvez seja necessário expandir OUs (escolher a ) para encontrar a OU ou a conta que você deseja. Escolha o nome da raiz, UO ou conta.
Na guia Policies (Políticas), escolha o botão de opção ao lado da SCP que você deseja desvincular e selecione Detach (Desvincular).
Na caixa de diálogo de confirmação, escolha Detach policy (Desvincular política).

A lista de anexos SCPs é atualizada. A alteração da política causada pela desvinculação da SCP entra em vigor imediatamente. Por exemplo, a desvinculação de uma SCP afeta imediatamente as permissões de usuários e funções do IAM na conta anexada anteriormente ou contas abaixo da raiz ou UO anexada anteriormente.

Para desvincular uma SCP navegando até a política

Faça login no console do AWS Organizations. Você deve fazer login como um usuário do IAM, assumir um perfil do IAM ou fazer login como usuário-raiz (não recomendado) na conta gerencial da organização.
Na página Service control policies (Políticas de controle de serviço), escolha o nome da política que você deseja desvincular de uma raiz, UO ou conta.
Na guia Targets (Alvos), escolha o botão de opção ao lado da raiz, UO ou conta da qual você deseja desvincular a política. Talvez seja necessário expandir OUs (escolher a ) para encontrar a OU ou a conta que você deseja.
Escolha Detach (Desvincular).
Na caixa de diálogo de confirmação, escolha Detach (Desvincular).

A lista de anexos SCPs é atualizada. A alteração da política causada pela desvinculação da SCP entra em vigor imediatamente. Por exemplo, a desvinculação de uma SCP afeta imediatamente as permissões de usuários e funções do IAM na conta anexada anteriormente ou contas abaixo da raiz ou UO anexada anteriormente.

Resource control policies (RCPs)

Você pode desvincular uma RCP navegando até a política ou até a raiz, UO ou conta da qual você deseja desvincular a política. Depois de desvincular uma RCP de uma entidade, essa RCP não se aplicará a nenhuma conta afetada pela entidade agora desvinculada.

nota

Você não pode desvincular a política RCPFullAWSAccess

A política RCPFullAWSAccess é anexada automaticamente à raiz, a cada UO e a cada conta em sua organização. Você não pode desanexar essa política.

Desvincular uma RCP navegando até a raiz, UO ou conta à qual ela está anexada

Faça login no console do AWS Organizations. Você deve fazer login como um usuário do IAM, assumir um perfil do IAM ou fazer login como usuário-raiz (não recomendado) na conta gerencial da organização.
Na página Contas da AWS, navegue até a raiz, UO ou conta da qual você deseja desvincular uma política. Talvez seja necessário expandir OUs (escolher a ) para encontrar a OU ou a conta que você deseja. Escolha o nome da raiz, UO ou conta.
Na guia Políticas, escolha o botão de opção ao lado da RCP que você deseja desvincular e selecione Desvincular.
Na caixa de diálogo de confirmação, escolha Detach policy (Desvincular política).

A lista de anexos RCPs é atualizada. A alteração da política causada pela desvinculação da RCP entra em vigor imediatamente. Por exemplo, a desvinculação de uma RCP afeta imediatamente as permissões de usuários e funções do IAM na conta anexada anteriormente ou contas abaixo da raiz ou UO anexada anteriormente.

Desvincular uma RCP navegando até a política

Faça login no console do AWS Organizations. Você deve fazer login como um usuário do IAM, assumir um perfil do IAM ou fazer login como usuário-raiz (não recomendado) na conta gerencial da organização.
Na página Políticas de controle de serviço, escolha o nome da política que você deseja desvincular de uma raiz, UO ou conta.
Na guia Targets (Alvos), escolha o botão de opção ao lado da raiz, UO ou conta da qual você deseja desvincular a política. Talvez seja necessário expandir OUs (escolher a ) para encontrar a OU ou a conta que você deseja.
Escolha Detach (Desvincular).
Na caixa de diálogo de confirmação, escolha Detach (Desvincular).

A lista de anexos RCPs é atualizada. A alteração da política causada pela desvinculação da RCP entra em vigor imediatamente. Por exemplo, a desvinculação de uma RCP afeta imediatamente as permissões de usuários e funções do IAM na conta anexada anteriormente ou contas abaixo da raiz ou UO anexada anteriormente.

Declarative policies

Você pode desvincular uma política declarativa navegando até a política ou até a raiz, UO ou conta da qual você deseja desvincular a política.

Desvincular uma política declarativa navegando até a raiz, UO ou conta à qual ela está anexada

Faça login no console do AWS Organizations. Você deve fazer login como um usuário do IAM, assumir um perfil do IAM ou fazer login como usuário-raiz (não recomendado) na conta gerencial da organização.
Na página Contas da AWS, navegue até a raiz, UO ou conta da qual você deseja desvincular uma política. Talvez seja necessário expandir OUs (escolher a ) para encontrar a OU ou a conta que você deseja. Escolha o nome da raiz, UO ou conta.
Na guia Políticas, escolha o botão de opção ao lado da política declarativa que você deseja desvincular e selecione Desvincular.
Na caixa de diálogo de confirmação, escolha Detach policy (Desvincular política).

A lista de políticas declarativas anexada é atualizada. A política entra em vigor imediatamente.

Desvincular uma política declarativa navegando até a política

Faça login no console do AWS Organizations. Você deve fazer login como um usuário do IAM, assumir um perfil do IAM ou fazer login como usuário-raiz (não recomendado) na conta gerencial da organização.
Na página Políticas declarativas, escolha o nome da política que você deseja desvincular de uma raiz, UO ou conta.
Na guia Targets (Alvos), escolha o botão de opção ao lado da raiz, UO ou conta da qual você deseja desvincular a política. Talvez seja necessário expandir OUs (escolher a ) para encontrar a OU ou a conta que você deseja.
Escolha Detach (Desvincular).
Na caixa de diálogo de confirmação, escolha Detach (Desvincular).

A lista de políticas declarativas anexada é atualizada. A política entra em vigor imediatamente.

Backup policies

Você pode desvincular uma política de backup navegando até a política ou até a raiz, UO ou conta da qual você deseja desvincular a política.

Para desvincular uma política de backup navegando até a raiz, UO ou conta à qual ela está anexada

Faça login no console do AWS Organizations. Você deve fazer login como um usuário do IAM, assumir um perfil do IAM ou fazer login como usuário-raiz (não recomendado) na conta gerencial da organização.
Na página Contas da AWS, navegue até a raiz, UO ou conta da qual você deseja desvincular uma política. Talvez seja necessário expandir OUs (escolher a ) para encontrar a OU ou a conta que você deseja. Escolha o nome da raiz, UO ou conta.
Na guia Policies (Políticas), escolha o botão de opção ao lado da política de backup que você deseja desvincular e selecione Detach (Desvincular).
Na caixa de diálogo de confirmação, escolha Detach policy (Desvincular política).

A lista de política de backup anexada é atualizada. A política entra em vigor imediatamente.

Para desvincular uma política de backup navegando até a política

Faça login no console do AWS Organizations. Você deve fazer login como um usuário do IAM, assumir um perfil do IAM ou fazer login como usuário-raiz (não recomendado) na conta gerencial da organização.
Na página Backup policies (Políticas de backup, escolha o nome da política que você deseja desvincular de uma raiz, UO ou conta.
Na guia Targets (Alvos), escolha o botão de opção ao lado da raiz, UO ou conta da qual você deseja desvincular a política. Talvez seja necessário expandir OUs (escolher a ) para encontrar a OU ou a conta que você deseja.
Escolha Detach (Desvincular).
Na caixa de diálogo de confirmação, escolha Detach (Desvincular).

A lista de política de backup anexada é atualizada. A política entra em vigor imediatamente.

Tag policies

Você pode desvincular uma política de tag navegando até a política ou até a raiz, UO ou conta da qual você deseja desvincular a política.

Para desvincular uma política de tag navegando até a raiz, UO ou conta à qual ela está anexada

Faça login no console do AWS Organizations. Você deve fazer login como um usuário do IAM, assumir um perfil do IAM ou fazer login como usuário-raiz (não recomendado) na conta gerencial da organização.
Na página Contas da AWS, navegue até a raiz, UO ou conta da qual você deseja desvincular uma política. Talvez seja necessário expandir OUs (escolher a ) para encontrar a OU ou a conta que você deseja. Escolha o nome da raiz, UO ou conta.
Na guia Policies (Políticas), escolha o botão de opção ao lado da política de tag que você deseja desvincular e selecione Detach (Desvincular).
Na caixa de diálogo de confirmação, escolha Detach policy (Desvincular política).

A lista de políticas de tag anexada é atualizada. A política entra em vigor imediatamente.

Para desvincular uma política de tag navegando até a política

Faça login no console do AWS Organizations. Você deve fazer login como um usuário do IAM, assumir um perfil do IAM ou fazer login como usuário-raiz (não recomendado) na conta gerencial da organização.
Na página Tag policies (Políticas de tag), escolha o nome da política que você deseja desvincular de uma raiz, UO ou conta.
Na guia Targets (Alvos), escolha o botão de opção ao lado da raiz, UO ou conta da qual você deseja desvincular a política. Talvez seja necessário expandir OUs (escolher a ) para encontrar a OU ou a conta que você deseja.
Escolha Detach (Desvincular).
Na caixa de diálogo de confirmação, escolha Detach (Desvincular).

A lista de políticas de tag anexada é atualizada. A política entra em vigor imediatamente.

Chat applications policies

Você pode desvincular uma política de aplicativos de chat navegando até a política ou até a raiz, UO ou conta da qual você deseja desvincular a política.

Para desvincular uma política de aplicativos de chat navegando até a raiz, UO ou conta à qual ela está anexada

Faça login no console do AWS Organizations. Você deve fazer login como um usuário do IAM, assumir um perfil do IAM ou fazer login como usuário-raiz (não recomendado) na conta gerencial da organização.
Na página Contas da AWS, navegue até a raiz, UO ou conta da qual você deseja desvincular uma política. Talvez seja necessário expandir OUs (escolher a ) para encontrar a OU ou a conta que você deseja. Escolha o nome da raiz, UO ou conta.
Na guia Políticas, escolha o botão de opção ao lado da política de aplicativos de chat que você deseja desvincular e selecione Desvincular.
Na caixa de diálogo de confirmação, escolha Detach policy (Desvincular política).

A lista de políticas de aplicativos de chat anexada é atualizada. A política entra em vigor imediatamente.

Desvincular uma política de aplicativos de chat navegando até a política

Faça login no console do AWS Organizations. Você deve fazer login como um usuário do IAM, assumir um perfil do IAM ou fazer login como usuário-raiz (não recomendado) na conta gerencial da organização.
Na página Chatbot policies, escolha o nome da política que você deseja desvincular de uma raiz, OU ou conta.
Na guia Targets (Alvos), escolha o botão de opção ao lado da raiz, UO ou conta da qual você deseja desvincular a política. Talvez seja necessário expandir OUs (escolher a ) para encontrar a OU ou a conta que você deseja.
Escolha Detach (Desvincular).
Na caixa de diálogo de confirmação, escolha Detach (Desvincular).

A lista de políticas de aplicativos de chat anexada é atualizada. A política entra em vigor imediatamente.

AI services opt-out policies

Você pode desvincular uma política de exclusão dos serviços de IA navegando até a política ou até a raiz, UO ou conta da qual você deseja desvincular a política.

Para desvincular uma política de exclusão dos serviços de IA navegando até a raiz, UO ou conta à qual ela está anexada

Faça login no console do AWS Organizations. Você deve fazer login como um usuário do IAM, assumir um perfil do IAM ou fazer login como usuário-raiz (não recomendado) na conta gerencial da organização.
Na página Contas da AWS, navegue até a raiz, UO ou conta da qual você deseja desvincular uma política. Talvez seja necessário expandir OUs (escolher a ) para encontrar a OU ou a conta que você deseja. Escolha o nome da raiz, UO ou conta.
Na guia Policies (Políticas), escolha o botão de opção ao lado da política de exclusão dos serviços de IA que você deseja desvincular e selecione Desvincular.
Na caixa de diálogo de confirmação, escolha Detach policy (Desvincular política).

A lista de políticas de exclusão dos serviços de IA anexadas é atualizada. A política entra em vigor imediatamente.

Para desvincular uma política de exclusão dos serviços de IA navegando até a política

Faça login no console do AWS Organizations. Você deve fazer login como um usuário do IAM, assumir um perfil do IAM ou fazer login como usuário-raiz (não recomendado) na conta gerencial da organização.
Na página AI services opt-out policies (Políticas de exclusão dos serviços de IA), escolha o nome da política que você deseja desvincular de uma raiz, UO ou conta.
Na guia Targets (Alvos), escolha o botão de opção ao lado da raiz, UO ou conta da qual você deseja desvincular a política. Talvez seja necessário expandir OUs (escolher a ) para encontrar a OU ou a conta que você deseja.
Escolha Detach (Desvincular).
Na caixa de diálogo de confirmação, escolha Detach (Desvincular).

A lista de políticas de exclusão dos serviços de IA anexadas é atualizada. A política entra em vigor imediatamente.

Security Hub CSPM policies

Você pode desanexar uma política CSPM do Security Hub navegando até a política ou até a raiz, OU ou conta da qual você deseja desanexar a política.

Para desanexar uma política CSPM do Security Hub navegando até a raiz, a OU ou a conta à qual ela está anexada

Faça login no console do AWS Organizations. Você deve fazer login como um usuário do IAM, assumir um perfil do IAM ou fazer login como usuário-raiz (não recomendado) na conta gerencial da organização.
Na página Contas da AWS, navegue até a raiz, UO ou conta da qual você deseja desvincular uma política. Talvez seja necessário expandir OUs (escolher a ) para encontrar a OU ou a conta que você deseja. Escolha o nome da raiz, UO ou conta.
Na guia Políticas, escolha o botão de rádio ao lado da política CSPM do Security Hub que você deseja desanexar e, em seguida, escolha Desanexar.
Na caixa de diálogo de confirmação, escolha Detach policy (Desvincular política).

A lista de políticas CSPM anexadas do Security Hub é atualizada. A política entra em vigor imediatamente.

Para separar uma política CSPM do Security Hub navegando até a política

Faça login no console do AWS Organizations. Você deve fazer login como um usuário do IAM, assumir um perfil do IAM ou fazer login como usuário-raiz (não recomendado) na conta gerencial da organização.
Na página Políticas de Security Hub, escolha o nome da política que você deseja desvincular de uma raiz, UO ou conta.
Na guia Targets (Alvos), escolha o botão de opção ao lado da raiz, UO ou conta da qual você deseja desvincular a política. Talvez seja necessário expandir OUs (escolher a ) para encontrar a OU ou a conta que você deseja.
Escolha Detach (Desvincular).
Na caixa de diálogo de confirmação, escolha Detach (Desvincular).

A lista de políticas CSPM anexadas do Security Hub é atualizada. A política entra em vigor imediatamente.

Anexar a política

Os exemplos de código a seguir mostram como usar o DetachPolicy.

.NET

SDK para .NET

nota

Tem mais sobre GitHub. Encontre o exemplo completo e saiba como configurar e executar no AWS Code Examples Repository.


    using System;
    using System.Threading.Tasks;
    using Amazon.Organizations;
    using Amazon.Organizations.Model;

    /// <summary>
    /// Shows how to detach a policy from an AWS Organizations organization,
    /// organizational unit, or account.
    /// </summary>
    public class DetachPolicy
    {
        /// <summary>
        /// Initializes the Organizations client object and uses it to call
        /// DetachPolicyAsync to detach the policy.
        /// </summary>
        public static async Task Main()
        {
            // Create the client object using the default account.
            IAmazonOrganizations client = new AmazonOrganizationsClient();

            var policyId = "p-00000000";
            var targetId = "r-0000";

            var request = new DetachPolicyRequest
            {
                PolicyId = policyId,
                TargetId = targetId,
            };

            var response = await client.DetachPolicyAsync(request);

            if (response.HttpStatusCode == System.Net.HttpStatusCode.OK)
            {
                Console.WriteLine($"Successfully detached policy with Policy Id: {policyId}.");
            }
            else
            {
                Console.WriteLine("Could not detach the policy.");
            }
        }
    }

Para obter detalhes da API, consulte DetachPolicya Referência AWS SDK para .NET da API.

CLI

AWS CLI

Como separar uma política de uma raiz, UO ou conta

O seguinte exemplo mostra como separar uma política de uma UO:


aws organizations  detach-policy  --target-id ou-examplerootid111-exampleouid111 --policy-id p-examplepolicyid111

Para obter detalhes da API, consulte DetachPolicyem Referência de AWS CLI Comandos.

Python

SDK para Python (Boto3)

nota

Tem mais sobre GitHub. Encontre o exemplo completo e saiba como configurar e executar no AWS Code Examples Repository.


def detach_policy(policy_id, target_id, orgs_client):
    """
    Detaches a policy from a target.

    :param policy_id: The ID of the policy to detach.
    :param target_id: The ID of the resource where the policy is currently attached.
    :param orgs_client: The Boto3 Organizations client.
    """
    try:
        orgs_client.detach_policy(PolicyId=policy_id, TargetId=target_id)
        logger.info("Detached policy %s from target %s.", policy_id, target_id)
    except ClientError:
        logger.exception(
            "Couldn't detach policy %s from target %s.", policy_id, target_id
        )
        raise

Para obter detalhes da API, consulte a DetachPolicyReferência da API AWS SDK for Python (Boto3).

A alteração da política tem efeito imediatamente, afetando as permissões de usuários, funções e recursos do IAM, se aplicável, na conta anexada ou em todas as contas na raiz ou UO anexada.

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Como vincular políticas

Obter detalhes da política