禁用策略类型 - AWS Organizations
注意事项禁用策略类型

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

禁用策略类型

如果您不想再在组织中使用某种策略类型,则可以禁用该类型以防止其意外使用。您只能从组织的管理账户或指定为委派管理员的成员账户禁用策略类型。

注意事项

已禁用的策略会与所有实体分离,但不会被删除

禁用策略类型时,指定类型的所有策略都会自动从组织根中的所有实体分离。策略不会 被删除。

(仅限服务控制策略类型)根中的所有实体最初仅附加到默认 FullAWSAccess SCP

(仅限服务控制策略类型)如果稍后重新启用 SCP 策略类型,则组织根中的所有实体最初仅附加到默认 FullAWSAccess SCP。当组织中禁用 SCP 时,SCP 到实体的附件将丢失。如果以后要重新启用 SCP,则必须根据需要将其重新附加到组织的根、OU 和账户。

禁用策略类型

最小权限

要禁用 SCP,您需要运行以下操作的权限:

  • organizations:DisablePolicyType

  • organizations:DescribeOrganization – 仅当使用 Organizations 控制台时才需要

  • organizations:ListRoots – 仅当使用 Organizations 控制台时才需要

AWS 管理控制台
禁用策略类型

  1. 登录 AWS Organizations 控制台。您必须以 IAM 用户的身份登录,担任 IAM 角色;或在组织的管理账户中以根用户的身份登录(不推荐)。

  2. Policies (策略) 页面上,选择要禁用的策略的名称。

  3. 在策略类型页面上,选择 Disable policy type (禁用策略类型)

  4. 在确认对话框中,输入单词 disable,然后选择 Disable (禁用)

    指定类型的可用策略列表将消失。

AWS CLI & AWS SDKs
禁用策略类型

可以使用以下命令之一禁用策略类型:

  • AWS CLI:disable-policy-type

    以下示例说明如何为组织禁用备份策略。请注意,您必须指定组织根的 ID。

    $ aws organizations disable-policy-type \
    --root-id r-a1b2 \
    --policy-type BACKUP_POLICY
{
    "Root": {
        "Id": "r-a1b2",
        "Arn": "arn:aws:organizations::123456789012:root/o-aa111bb222/r-a1b2",
        "Name": "Root",
        "PolicyTypes": []
    }
}

    输出中的 PolicyTypes 列表不再包含指定的策略类型。

  • AWS SDK:DisablePolicyType