Anfügen und Trennen von Tag-Richtlinien - AWS Organizations
Trennen einer Tag-Richtlinie

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Anfügen und Trennen von Tag-Richtlinien

Sie können Tag-Richtlinien sowohl für eine ganze Organisation als auch für Organisationseinheiten (OUs) sowie einzelne Konten verwenden.

  • Wenn Sie eine Tag-Richtlinie an den Organisationsstamm anhängen, gilt die Tag-Richtlinie für alle Organisationseinheiten und -Konten der Stammmitglieder.

  • Wenn Sie eine Tag-Richtlinie an eine OU anhängen, gilt diese Tag-Richtlinie für die Konten, die zur OU gehören. Diese Konten unterliegen auch jeder Tag-Richtlinie, die mit dem Organisationsstamm verknüpft ist.

  • Wenn Sie eine Tag-Richtlinie an ein Konto anhängen, gilt diese Tag-Richtlinie für das Konto. Darüber hinaus unterliegt dieses Konto allen Tag-Richtlinien, die mit dem Organisationsstamm verknüpft sind, sowie allen Tag-Richtlinien, die einer OU zugeordnet sind, zu der das Konto gehört.

Die Aggregation aller Tag-Richtlinien, die das Konto erbt, sowie jede direkt mit dem Konto verknüpfte Tag-Richtlinie ist die effektive Tag-Richtlinie. Weitere Informationen finden Sie unter Vererbung von Verwaltungsrichtlinien verstehen.

Wichtig

Ressourcen ohne Tags werden in den Ergebnisses nicht als nichtkonform angezeigt.

Mindestberechtigungen

Um Tag-Richtlinien anzuhängen, müssen Sie über die Berechtigung zum Ausführen der folgenden Aktion verfügen:

  • organizations:AttachPolicy

Sie können eine Tag-Richtlinie anfügen, indem Sie entweder zur Richtlinie oder zum Stammverzeichnis, zur Organisationseinheit oder zum Konto navigieren, an das bzw. die Sie die Richtlinie anfügen möchten.

So fügen Sie eine Tag-Richtlinie an, indem Sie zum Stamm, zur Organisationseinheit oder zum Konto navigieren

  1. Melden Sie sich an der AWS Organizations -Konsole an. Sie müssen sich im Verwaltungskonto der Organisation als IAM-Benutzer anmelden, eine IAM-Rolle annehmen oder als Root-Benutzer anmelden (nicht empfohlen).

  2. Navigieren Sie auf der Seite AWS-Konten zu dem Stamm, der OU oder dem Konto, dem Sie eine Richtlinie anfügen möchten, und wählen Sie dann den Namen aus. Möglicherweise müssen Sie Organisationseinheiten erweitern (wählen Sie die Option ), um die gewünschte Organisationseinheit oder das gewünschte Konto zu finden.

  3. Wählen Sie auf der Registerkarte Richtlinien im Eintrag für Tag-Richtlinien die Option Anfügen.

  4. Suchen Sie die gewünschte Richtlinie und wählen Sie Richtlinie anfügen aus.

    Die Liste der angehängten Tag-Richtlinien auf der Registerkarte Richtlinien wird aktualisiert, um die neue Ergänzung aufzunehmen. Die Richtlinienänderung wird sofort wirksam.

So fügen Sie eine Tag-Richtlinie hinzu, indem Sie zur Richtlinie navigieren

  1. Melden Sie sich an der AWS Organizations -Konsole an. Sie müssen sich im Verwaltungskonto der Organisation als IAM-Benutzer anmelden, eine IAM-Rolle annehmen oder als Root-Benutzer anmelden (nicht empfohlen).

  2. Wählen Sie auf der Seite Tag-Richtlinien den Namen der Richtlinie aus, die Sie anfügen möchten.

  3. Klicken Sie in der Registerkarte Ziele auf Anfügen.

  4. Aktivieren Sie das Optionsfeld neben dem Stammverzeichnis, der Organisationseinheit oder dem Konto, an das bzw. die Sie die Richtlinie anfügen möchten. Möglicherweise müssen Sie Organisationseinheiten erweitern (wählen Sie die Option ), um die gewünschte Organisationseinheit oder das gewünschte Konto zu finden.

  5. Wählen Sie Richtlinie anfügen aus.

    Die Liste der angehängten Tag-Richtlinien auf der Registerkarte Ziele wird aktualisiert, um die neue Ergänzung aufzunehmen. Die Richtlinienänderung wird sofort wirksam.

Um eine Tag-Richtlinie an das Stammverzeichnis, die Organisationseinheit oder das Konto anzuhängen

Die folgenden Codebeispiele veranschaulichen die VerwendungAttachPolicy.

.NET
AWS SDK for .NET
Anmerkung

Es gibt noch mehr dazu GitHub. Sie sehen das vollständige Beispiel und erfahren, wie Sie das AWS -Code-Beispiel-Repository einrichten und ausführen. 

    using System;
    using System.Threading.Tasks;
    using Amazon.Organizations;
    using Amazon.Organizations.Model;

    /// <summary>
    /// Shows how to attach an AWS Organizations policy to an organization,
    /// an organizational unit, or an account.
    /// </summary>
    public class AttachPolicy
    {
        /// <summary>
        /// Initializes the Organizations client object and then calls the
        /// AttachPolicyAsync method to attach the policy to the root
        /// organization.
        /// </summary>
        public static async Task Main()
        {
            IAmazonOrganizations client = new AmazonOrganizationsClient();
            var policyId = "p-00000000";
            var targetId = "r-0000";

            var request = new AttachPolicyRequest
            {
                PolicyId = policyId,
                TargetId = targetId,
            };

            var response = await client.AttachPolicyAsync(request);

            if (response.HttpStatusCode == System.Net.HttpStatusCode.OK)
            {
                Console.WriteLine($"Successfully attached Policy ID {policyId} to Target ID: {targetId}.");
            }
            else
            {
                Console.WriteLine("Was not successful in attaching the policy.");
            }
        }
    }

  • Einzelheiten zur API finden Sie AttachPolicyin der AWS SDK for .NET API-Referenz.

CLI
AWS CLI

So hängen Sie eine Richtlinie an ein Root-Konto, eine Organisationseinheit oder ein Konto an

Beispiel 1

Das folgende Beispiel zeigt, wie eine Service Control Policy (SCP) an eine Organisationseinheit angehängt wird:

aws organizations attach-policy
                --policy-id p-examplepolicyid111
                --target-id ou-examplerootid111-exampleouid111

Beispiel 2

Das folgende Beispiel zeigt, wie eine Dienststeuerungsrichtlinie direkt an ein Konto angehängt wird:

aws organizations attach-policy
                --policy-id p-examplepolicyid111
                --target-id 333333333333

  • Einzelheiten zur API finden Sie AttachPolicyin der AWS CLI Befehlsreferenz.

Python
SDK für Python (Boto3)
Anmerkung

Es gibt noch mehr dazu GitHub. Sie sehen das vollständige Beispiel und erfahren, wie Sie das AWS -Code-Beispiel-Repository einrichten und ausführen. 

def attach_policy(policy_id, target_id, orgs_client):
    """
    Attaches a policy to a target. The target is an organization root, account, or
    organizational unit.

    :param policy_id: The ID of the policy to attach.
    :param target_id: The ID of the resources to attach the policy to.
    :param orgs_client: The Boto3 Organizations client.
    """
    try:
        orgs_client.attach_policy(PolicyId=policy_id, TargetId=target_id)
        logger.info("Attached policy %s to target %s.", policy_id, target_id)
    except ClientError:
        logger.exception(
            "Couldn't attach policy %s to target %s.", policy_id, target_id
        )
        raise

  • Einzelheiten zur API finden Sie AttachPolicyin AWS SDK for Python (Boto3) API Reference.

Die Richtlinienänderung wird sofort wirksam

Weitere Vorgehensweisen

Nach dem Hinzufügen einer Tag-Richtlinie, können Sie herausfinden, wie konform Ihre Ressourcen mit dieser Tag-Richtlinie sind. Verwenden Sie dazu die Resource-Groups-Konsole. Weitere Informationen finden Sie unter Evaluierung der Konformität für ein Konto im Tagging AWS Resource User Guide.

Trennen einer Tag-Richtlinie

Wenn Sie am Verwaltungskonto Ihrer Organisation angemeldet sind, können Sie eine Tag-Richtlinie vom Organisationsstamm, von der Organisationseinheit oder vom Konto trennen. Nach dem Trennen der Tag-Richtlinie von einem Element, gilt diese Richtlinie nicht mehr für Konten, auf die sich das jetzt getrennte Element ausgewirkt hat. Führen Sie zum Trennen einer Richtlinie die folgenden Schritte aus.

Mindestberechtigungen

Um eine Tag-Richtlinie vom Organisationsstamm, der OU oder dem Konto zu trennen, müssen Sie über die Berechtigung zum Ausführen der folgenden Aktion verfügen:

  • organizations:DetachPolicy

Sie können eine Tag-Richtlinie trennen, indem Sie entweder zur Richtlinie oder zum Stammverzeichnis, zur Organisationseinheit oder zum Konto navigieren, von dem bzw. der Sie die Richtlinie trennen möchten.

So trennen Sie eine Tag-Richtlinie durch Navigieren zum Stammverzeichnis, zur Organisationseinheit oder zum Konto, dem sie angefügt ist

  1. Melden Sie sich an der AWS Organizations -Konsole an. Sie müssen sich im Verwaltungskonto der Organisation als IAM-Benutzer anmelden, eine IAM-Rolle annehmen oder als Root-Benutzer anmelden (nicht empfohlen).

  2. Navigieren Sie auf der Seite AWS-Konten zu dem Stamm, der OU oder dem Konto, von dem Sie eine Richtlinie trennen möchten. Möglicherweise müssen Sie Organisationseinheiten erweitern (wählen Sie die Option ), um die gewünschte Organisationseinheit oder das gewünschte Konto zu finden. Wählen Sie den Namen des Stammes, der Organisationseinheit oder des Kontos aus.

  3. Wählen Sie auf der Registerkarte Richtlinien das Optionsfeld neben der Tag-Richtlinie aus, die Sie trennen möchten und wählen Sie dann Trennen aus.

  4. Wählen Sie im Bestätigungsdialogfeld Richtlinie trennen aus.

    Die Liste der angehängten Tag-Richtlinien wird aktualisiert. Die Richtlinienänderung wird sofort wirksam.

So trennen Sie eine Tag-Richtlinie durch Navigieren zur Richtlinie

  1. Melden Sie sich an der AWS Organizations -Konsole an. Sie müssen sich im Verwaltungskonto der Organisation als IAM-Benutzer anmelden, eine IAM-Rolle annehmen oder als Root-Benutzer anmelden (nicht empfohlen).

  2. Wählen Sie auf der Seite Tag-Richtlinien den Namen der Richtlinie aus, die Sie von einem Stamm, einer OU oder einem Konto trennen möchten.

  3. Wählen Sie auf der Registerkarte Ziele das Optionsfeld neben dem Stamm, der OU oder dem Konto aus, von dem Sie die Richtlinie trennen möchten. Möglicherweise müssen Sie Organisationseinheiten erweitern (wählen Sie die Option ), um die gewünschte Organisationseinheit oder das gewünschte Konto zu finden.

  4. Wählen Sie Detach (Trennen) aus.

  5. Wählen Sie im Bestätigungsdialogfeld Trennen aus.

    Die Liste der angehängten Tag-Richtlinien wird aktualisiert. Die Richtlinienänderung wird sofort wirksam.

Um eine Tag-Richtlinie vom Stammverzeichnis, der Organisationseinheit oder dem Konto zu trennen

Die folgenden Codebeispiele veranschaulichen die VerwendungDetachPolicy.

.NET
AWS SDK for .NET
Anmerkung

Es gibt noch mehr dazu GitHub. Sie sehen das vollständige Beispiel und erfahren, wie Sie das AWS -Code-Beispiel-Repository einrichten und ausführen. 

    using System;
    using System.Threading.Tasks;
    using Amazon.Organizations;
    using Amazon.Organizations.Model;

    /// <summary>
    /// Shows how to detach a policy from an AWS Organizations organization,
    /// organizational unit, or account.
    /// </summary>
    public class DetachPolicy
    {
        /// <summary>
        /// Initializes the Organizations client object and uses it to call
        /// DetachPolicyAsync to detach the policy.
        /// </summary>
        public static async Task Main()
        {
            // Create the client object using the default account.
            IAmazonOrganizations client = new AmazonOrganizationsClient();

            var policyId = "p-00000000";
            var targetId = "r-0000";

            var request = new DetachPolicyRequest
            {
                PolicyId = policyId,
                TargetId = targetId,
            };

            var response = await client.DetachPolicyAsync(request);

            if (response.HttpStatusCode == System.Net.HttpStatusCode.OK)
            {
                Console.WriteLine($"Successfully detached policy with Policy Id: {policyId}.");
            }
            else
            {
                Console.WriteLine("Could not detach the policy.");
            }
        }
    }

  • Einzelheiten zur API finden Sie DetachPolicyin der AWS SDK for .NET API-Referenz.

CLI
AWS CLI

So trennen Sie eine Richtlinie von einem Root-, OU- oder Konto

Das folgende Beispiel zeigt, wie eine Richtlinie von einer Organisationseinheit getrennt wird:

aws organizations  detach-policy  --target-id ou-examplerootid111-exampleouid111 --policy-id p-examplepolicyid111

  • Einzelheiten zur API finden Sie DetachPolicyin der AWS CLI Befehlsreferenz.

Python
SDK für Python (Boto3)
Anmerkung

Es gibt noch mehr dazu GitHub. Sie sehen das vollständige Beispiel und erfahren, wie Sie das AWS -Code-Beispiel-Repository einrichten und ausführen. 

def detach_policy(policy_id, target_id, orgs_client):
    """
    Detaches a policy from a target.

    :param policy_id: The ID of the policy to detach.
    :param target_id: The ID of the resource where the policy is currently attached.
    :param orgs_client: The Boto3 Organizations client.
    """
    try:
        orgs_client.detach_policy(PolicyId=policy_id, TargetId=target_id)
        logger.info("Detached policy %s from target %s.", policy_id, target_id)
    except ClientError:
        logger.exception(
            "Couldn't detach policy %s from target %s.", policy_id, target_id
        )
        raise

  • Einzelheiten zur API finden Sie DetachPolicyin AWS SDK for Python (Boto3) API Reference.

Die Richtlinienänderung wird sofort wirksam.