将组织策略与分离 AWS Organizations - AWS Organizations
分离策略

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

将组织策略与分离 AWS Organizations

本主题介绍如何使用 AWS Organizations分离策略。策略定义了您要应用于一组的控制措施 AWS 账户。

将策略与分离 AWS Organizations

最小权限

要从组织根、OU 或账户分离策略,您必须具有运行以下操作的权限:

  • organizations:DetachPolicy

注意

您无法从根、OU 或账户分离最后一个授权策略(SCP 或 RCP)。每个根、OU 和账户必须始终附加有至少一个 SCP 和 RCP。

Service control policies (SCPs)

您可以导航到要从中分离策略的根、OU 或账户,为其分离 SCP。

通过导航到已附加策略的根、OU 或账户来分离 SCP

  1. 登录 AWS Organizations 控制台。您必须以 IAM 用户的身份登录,担任 IAM 角色;或在组织的管理账户中以根用户的身份登录(不推荐)。

  2. AWS 账户页面导航到要分离策略的根、OU 或账户。您可能需要展开 OUs (选择 Gray cloud icon representing cloud computing or storage services. )才能找到所需的 OU 或帐户。选择根、OU 或账户的名称。

  3. Policies (策略) 选项卡上,选择要分离的 SCP 旁边的单选按钮,然后选择 Detach (分离)

  4. 在确认对话框中,选择 Detach policy (分离策略)

    所附列表 SCPs 已更新。分离 SCP 引起的策略更改立即生效。例如,分离 SCP 会立即影响以前附加的账户或以前附加的组织根或 OU 下的账户中 IAM 用户和角色的权限。

通过导航到策略来分离 SCP

  1. 登录 AWS Organizations 控制台。您必须以 IAM 用户的身份登录,担任 IAM 角色;或在组织的管理账户中以根用户的身份登录(不推荐)。

  2. Service control policies (服务控制策略) 页面上,选择要从根、OU 或账户分离的策略的名称。

  3. Targets (目标) 选项卡上,选择要分离策略的根、OU 或账户旁边的单选按钮。您可能需要展开 OUs (选择 Gray cloud icon representing cloud computing or storage services. )才能找到所需的 OU 或帐户。

  4. 选择分离

  5. 在确认对话框中,选择 Detach (分离)

    所附列表 SCPs 已更新。分离 SCP 引起的策略更改立即生效。例如,分离 SCP 会立即影响以前附加的账户或以前附加的组织根或 OU 下的账户中 IAM 用户和角色的权限。

Resource control policies (RCPs)

您可以导航到策略或导航到要从中分离策略的根、OU 或账户来分离 RCP。从某个实体分离 RCP 后,该 RCP 将不再应用于现在分离的实体所影响的任何资源。

注意

您无法分离 RCPFullAWSAccess 策略

RCPFullAWSAccess 策略会自动附加到组织中的根、每个 OU 和每个账户。您无法分离此策略。

通过导航到其附加到的根、OU 或账户来分离 RCP

  1. 登录 AWS Organizations 控制台。您必须以 IAM 用户的身份登录,担任 IAM 角色;或在组织的管理账户中以根用户的身份登录(不推荐)。

  2. AWS 账户页面导航到要分离策略的根、OU 或账户。您可能需要展开 OUs (选择 Gray cloud icon representing cloud computing or storage services. )才能找到所需的 OU 或帐户。选择根、OU 或账户的名称。

  3. 策略选项卡上,选择要分离的 RCP 旁的单选按钮,然后选择分离

  4. 在确认对话框中,选择 Detach policy (分离策略)

    所附列表 RCPs 已更新。分离 RCP 引起的策略更改将立即生效。例如,分离 RCP 会立即影响以前附加的账户或以前附加的组织根或 OU 下的账户中 IAM 用户和角色的权限。

通过导航到策略来分离 RCP

  1. 登录 AWS Organizations 控制台。您必须以 IAM 用户的身份登录,担任 IAM 角色;或在组织的管理账户中以根用户的身份登录(不推荐)。

  2. 资源控制策略页面上,选择要从根、OU 或账户分离的策略的名称。

  3. Targets (目标) 选项卡上,选择要分离策略的根、OU 或账户旁边的单选按钮。您可能需要展开 OUs (选择 Gray cloud icon representing cloud computing or storage services. )才能找到所需的 OU 或帐户。

  4. 选择分离

  5. 在确认对话框中,选择 Detach (分离)

    所附列表 RCPs 已更新。分离 RCP 引起的策略更改将立即生效。例如,分离 RCP 会立即影响以前附加的账户或以前附加的组织根或 OU 下的账户中 IAM 用户和角色的权限。

Declarative policies

您可以导航到策略或导航到要分离策略的根、OU 或账户来分离声明性策略。

通过导航到策略附加到的根、OU 或账户来分离声明性策略

  1. 登录 AWS Organizations 控制台。您必须以 IAM 用户的身份登录,担任 IAM 角色;或在组织的管理账户中以根用户的身份登录(不推荐)。

  2. AWS 账户页面导航到要分离策略的根、OU 或账户。您可能需要展开 OUs (选择 Gray cloud icon representing cloud computing or storage services. )才能找到所需的 OU 或帐户。选择根、OU 或账户的名称。

  3. 策略选项卡上,选择要分离的声明性策略旁的单选按钮,然后选择分离

  4. 在确认对话框中,选择 Detach policy (分离策略)

    附加的声明性策略的列表会更新。策略更改会立即生效。

通过导航到策略来分离声明性策略

  1. 登录 AWS Organizations 控制台。您必须以 IAM 用户的身份登录,担任 IAM 角色;或在组织的管理账户中以根用户的身份登录(不推荐)。

  2. 声明性策略页面上,选择要从根、OU 或账户分离的策略的名称。

  3. Targets (目标) 选项卡上,选择要分离策略的根、OU 或账户旁边的单选按钮。您可能需要展开 OUs (选择 Gray cloud icon representing cloud computing or storage services. )才能找到所需的 OU 或帐户。

  4. 选择分离

  5. 在确认对话框中,选择 Detach (分离)

    附加的声明性策略的列表会更新。策略更改会立即生效。

Backup policies

您可以导航到要分离策略的根、OU 或账户,为其分离备份策略。

通过导航到已附加策略的根、OU 或账户来分离备份策略

  1. 登录 AWS Organizations 控制台。您必须以 IAM 用户的身份登录,担任 IAM 角色;或在组织的管理账户中以根用户的身份登录(不推荐)。

  2. AWS 账户页面导航到要分离策略的根、OU 或账户。您可能需要展开 OUs (选择 Gray cloud icon representing cloud computing or storage services. )才能找到所需的 OU 或帐户。选择根、OU 或账户的名称。

  3. Policies (策略) 选项卡上,选择要分离的备份策略旁边的单选按钮,然后选择 Detach (分离)

  4. 在确认对话框中,选择 Detach policy (分离策略)

    附加的备份策略的列表将更新。策略更改会立即生效。

通过导航到策略来分离备份策略

  1. 登录 AWS Organizations 控制台。您必须以 IAM 用户的身份登录,担任 IAM 角色;或在组织的管理账户中以根用户的身份登录(不推荐)。

  2. Backup policies (备份策略) 页面上,选择要从根、OU 或账户分离的策略的名称。

  3. Targets (目标) 选项卡上,选择要分离策略的根、OU 或账户旁边的单选按钮。您可能需要展开 OUs (选择 Gray cloud icon representing cloud computing or storage services. )才能找到所需的 OU 或帐户。

  4. 选择分离

  5. 在确认对话框中,选择 Detach (分离)

    附加的备份策略的列表将更新。策略更改会立即生效。

Tag policies

您可以导航到要分离策略的根、OU 或账户,为其分离标签策略。

通过导航到已附加策略的根、OU 或账户来分离标签策略

  1. 登录 AWS Organizations 控制台。您必须以 IAM 用户的身份登录,担任 IAM 角色;或在组织的管理账户中以根用户的身份登录(不推荐)。

  2. AWS 账户页面导航到要分离策略的根、OU 或账户。您可能需要展开 OUs (选择 Gray cloud icon representing cloud computing or storage services. )才能找到所需的 OU 或帐户。选择根、OU 或账户的名称。

  3. Policies (策略) 选项卡上,选择要分离的标签策略旁边的单选按钮,然后选择 Detach (分离)

  4. 在确认对话框中,选择 Detach policy (分离策略)

    附加的标签策略的列表将更新。策略更改会立即生效。

通过导航到策略来分离标签策略

  1. 登录 AWS Organizations 控制台。您必须以 IAM 用户的身份登录,担任 IAM 角色;或在组织的管理账户中以根用户的身份登录(不推荐)。

  2. Tag policies (标签策略) 页面上,选择要从根、OU 或账户分离的策略的名称。

  3. Targets (目标) 选项卡上,选择要分离策略的根、OU 或账户旁边的单选按钮。您可能需要展开 OUs (选择 Gray cloud icon representing cloud computing or storage services. )才能找到所需的 OU 或帐户。

  4. 选择分离

  5. 在确认对话框中,选择 Detach (分离)

    附加的标签策略的列表将更新。策略更改会立即生效。

Chat applications policies

您可以导航到策略或导航到要分离策略的根、OU 或账户来分离聊天应用程序政策。

通过导航到策略附加到的根、OU 或账户来分离聊天应用程序政策

  1. 登录 AWS Organizations 控制台。您必须以 IAM 用户的身份登录,担任 IAM 角色;或在组织的管理账户中以根用户的身份登录(不推荐)。

  2. AWS 账户页面导航到要分离策略的根、OU 或账户。您可能需要展开 OUs (选择 Gray cloud icon representing cloud computing or storage services. )才能找到所需的 OU 或帐户。选择根、OU 或账户的名称。

  3. 策略选项卡上,选择要分离的聊天应用程序政策旁的单选按钮,然后选择分离

  4. 在确认对话框中,选择 Detach policy (分离策略)

    附加的聊天应用程序政策的列表会更新。策略更改会立即生效。

通过导航到策略来分离聊天应用程序政策

  1. 登录 AWS Organizations 控制台。您必须以 IAM 用户的身份登录,担任 IAM 角色;或在组织的管理账户中以根用户的身份登录(不推荐)。

  2. 聊天机器人策略页面上,选择要从根、OU 或账户分离的策略的名称。

  3. Targets (目标) 选项卡上,选择要分离策略的根、OU 或账户旁边的单选按钮。您可能需要展开 OUs (选择 Gray cloud icon representing cloud computing or storage services. )才能找到所需的 OU 或帐户。

  4. 选择分离

  5. 在确认对话框中,选择 Detach (分离)

    附加的聊天应用程序政策的列表会更新。策略更改会立即生效。

AI services opt-out policies

您可以导航到要分离策略的根、OU 或账户,为其分离 AI 服务选择退出策略。

通过导航到已附加策略的根、OU 或账户来分离 AI 服务选择退出策略

  1. 登录 AWS Organizations 控制台。您必须以 IAM 用户的身份登录,担任 IAM 角色;或在组织的管理账户中以根用户的身份登录(不推荐)。

  2. AWS 账户页面导航到要分离策略的根、OU 或账户。您可能需要展开 OUs (选择 Gray cloud icon representing cloud computing or storage services. )才能找到所需的 OU 或帐户。选择根、OU 或账户的名称。

  3. Policies (策略) 选项卡上,选择要分离的 AI 服务选择退出策略旁边的单选按钮,然后选择 Detach (分离)

  4. 在确认对话框中,选择 Detach policy (分离策略)

    附加的 AI 服务选择退出策略的列表会更新。策略更改会立即生效。

通过导航到策略来分离 AI 服务选择退出策略

  1. 登录 AWS Organizations 控制台。您必须以 IAM 用户的身份登录,担任 IAM 角色;或在组织的管理账户中以根用户的身份登录(不推荐)。

  2. AI services opt-out policies (AI 服务选择退出策略) 页面上,选择要从根、OU 或账户分离的策略的名称。

  3. Targets (目标) 选项卡上,选择要分离策略的根、OU 或账户旁边的单选按钮。您可能需要展开 OUs (选择 Gray cloud icon representing cloud computing or storage services. )才能找到所需的 OU 或帐户。

  4. 选择分离

  5. 在确认对话框中,选择 Detach (分离)

    附加的 AI 服务选择退出策略的列表会更新。策略更改会立即生效。

Security Hub CSPM policies

您可以通过导航到 Security Hub CSPM 策略或要从其分离策略的根目录、OU 或账户来分离 Security Hub CSPM 策略。

要断开 Security Hub CSPM 策略,请导航到该策略所关联的根目录、组织单位或账户

  1. 登录 AWS Organizations 控制台。您必须以 IAM 用户的身份登录,担任 IAM 角色;或在组织的管理账户中以根用户的身份登录(不推荐)。

  2. AWS 账户页面导航到要分离策略的根、OU 或账户。您可能需要展开 OUs (选择 Gray cloud icon representing cloud computing or storage services. )才能找到所需的 OU 或帐户。选择根、OU 或账户的名称。

  3. 在 “策略” 选项卡上,选择要分离的 Security Hub CSPM 策略旁边的单选按钮,然后选择 “分离”。

  4. 在确认对话框中,选择 Detach policy (分离策略)

    随附的 Security Hub CSPM 策略列表已更新。策略更改会立即生效。

要断开 Security Hub CSPM 策略,请导航到该策略

  1. 登录 AWS Organizations 控制台。您必须以 IAM 用户的身份登录,担任 IAM 角色;或在组织的管理账户中以根用户的身份登录(不推荐)。

  2. Security Hub 策略页面上,选择要从根、OU 或账户分离的策略的名称。

  3. Targets (目标) 选项卡上,选择要分离策略的根、OU 或账户旁边的单选按钮。您可能需要展开 OUs (选择 Gray cloud icon representing cloud computing or storage services. )才能找到所需的 OU 或帐户。

  4. 选择分离

  5. 在确认对话框中,选择 Detach (分离)

    随附的 Security Hub CSPM 策略列表已更新。策略更改会立即生效。

附加策略

以下代码示例演示如何使用 DetachPolicy

.NET
适用于 .NET 的 SDK
注意

还有更多相关信息 GitHub。在 AWS 代码示例存储库中查找完整示例,了解如何进行设置和运行。

    using System;
    using System.Threading.Tasks;
    using Amazon.Organizations;
    using Amazon.Organizations.Model;

    /// <summary>
    /// Shows how to detach a policy from an AWS Organizations organization,
    /// organizational unit, or account.
    /// </summary>
    public class DetachPolicy
    {
        /// <summary>
        /// Initializes the Organizations client object and uses it to call
        /// DetachPolicyAsync to detach the policy.
        /// </summary>
        public static async Task Main()
        {
            // Create the client object using the default account.
            IAmazonOrganizations client = new AmazonOrganizationsClient();

            var policyId = "p-00000000";
            var targetId = "r-0000";

            var request = new DetachPolicyRequest
            {
                PolicyId = policyId,
                TargetId = targetId,
            };

            var response = await client.DetachPolicyAsync(request);

            if (response.HttpStatusCode == System.Net.HttpStatusCode.OK)
            {
                Console.WriteLine($"Successfully detached policy with Policy Id: {policyId}.");
            }
            else
            {
                Console.WriteLine("Could not detach the policy.");
            }
        }
    }

  • 有关 API 的详细信息,请参阅 适用于 .NET 的 AWS SDK API 参考DetachPolicy中的。

CLI
AWS CLI

从根、OU 或账户分离策略

以下示例演示了如何从 OU 分离策略:

aws organizations  detach-policy  --target-id ou-examplerootid111-exampleouid111 --policy-id p-examplepolicyid111

  • 有关 API 的详细信息,请参阅AWS CLI 命令参考DetachPolicy中的。

Python
适用于 Python 的 SDK(Boto3)
注意

还有更多相关信息 GitHub。在 AWS 代码示例存储库中查找完整示例,了解如何进行设置和运行。

def detach_policy(policy_id, target_id, orgs_client):
    """
    Detaches a policy from a target.

    :param policy_id: The ID of the policy to detach.
    :param target_id: The ID of the resource where the policy is currently attached.
    :param orgs_client: The Boto3 Organizations client.
    """
    try:
        orgs_client.detach_policy(PolicyId=policy_id, TargetId=target_id)
        logger.info("Detached policy %s from target %s.", policy_id, target_id)
    except ClientError:
        logger.exception(
            "Couldn't detach policy %s from target %s.", policy_id, target_id
        )
        raise

  • 有关 API 的详细信息,请参阅适用DetachPolicyPython 的AWS SDK (Boto3) API 参考

策略更改立即生效,会影响所附加账户或所附加的根或 OU 下所有账户中 IAM 用户和角色以及资源的权限(如适用)。