Zuordnen und Trennen von KI-Service-Opt-Out-Richtlinien - AWS Organizations
Trennen einer Richtlinie zur Abmeldung von KI-Services

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Zuordnen und Trennen von KI-Service-Opt-Out-Richtlinien

Sie können Opt-Out-Richtlinien für künstliche Intelligenz (KI) sowohl für eine ganze Organisation als auch für Organisationseinheiten (OUs) und einzelne Konten verwenden. Worauf die KI-Services-Opt-Out-Richtlinie angewendet wird, hängt davon ab, an welches Organisationselement Sie es anfügen:

  • Wenn Sie Ihrem Organisationsstamm eine Opt-Out-Richtlinie für KI-Dienste hinzufügen, gilt die Richtlinie für alle Organisationseinheiten und Konten, einschließlich des Verwaltungskontos.

  • Wenn Sie eine KI-Services-Opt-Out-Richtlinie an eine Organisationseinheit (OU) anfügen, gilt diese Richtlinie für die Konten, die zu der OU oder einer ihrer untergeordneten Organisationseinheiten gehören. Diese Konten unterliegen auch jeder Richtlinie, die an den Organisationsstamm angefügt ist.

  • Wenn Sie eine KI-Services-Opt-Out-Richtlinie an ein Konto, anfügen, gilt diese Richtlinie nur für dieses Konto. Das Konto unterliegt auch jeder Richtlinie, die an den Organisationsstamm und alle Organisationseinheiten angefügt ist, zu denen das Konto gehört.

Die Aggregation aller KI-Services-Opt-Out-Richtlinien, die das Konto vom Stamm und den übergeordneten Organisationseinheiten erbt, sowie aller Richtlinien, die direkt an das Konto angefügt sind, ist die effektive Richtlinie. Weitere Informationen zur Zusammenführung von Richtlinien zu einer effektiven Richtlinie finden Sie unter Vererbung von Verwaltungsrichtlinien verstehen.

Mindestberechtigungen

Um KI-Services-Opt-Out-Richtlinien anzuhängen, müssen Sie über die Berechtigung zum Ausführen der folgenden Aktion verfügen:

  • organizations:AttachPolicy

Sie können eine Richtlinie für eine KI-Services anfügen, indem Sie entweder zur Richtlinie oder zum Stammverzeichnis, zur Organisationseinheit oder zum Konto, an das Sie die Richtlinie anfügen möchten, navigieren.

So fügen Sie eine Richtlinie für die Abmeldung von KI-Services an, indem Sie zum Stamm, zur Organisationseinheit oder zum Konto navigieren

  1. Melden Sie sich an der AWS Organizations -Konsole an. Sie müssen sich im Verwaltungskonto der Organisation als IAM-Benutzer anmelden, eine IAM-Rolle annehmen oder als Root-Benutzer anmelden (nicht empfohlen).

  2. Navigieren Sie auf der Seite AWS-Konten zu dem Stamm, der OU oder dem Konto, dem Sie eine Richtlinie anfügen möchten, und wählen Sie dann den Namen aus. Möglicherweise müssen Sie Organisationseinheiten erweitern (wählen Sie die Option ), um die gewünschte Organisationseinheit oder das gewünschte Konto zu finden.

  3. Wählen Sie auf der Registerkarte Richtlinien im Eintrag für KI-Services-Opt-Out-Richtlinien die Option Anfügen.

  4. Suchen Sie die gewünschte Richtlinie und wählen Sie Richtlinie anfügen aus.

    Die Liste der angehängten KI-Services-Opt-Out-Richtlinien auf der Registerkarte Richtlinien wird aktualisiert, um die neue Ergänzung aufzunehmen. Die Richtlinienänderung wird sofort wirksam.

So fügen Sie eine Deaktivierungsrichtlinie für KI-Services an, indem Sie zur Richtlinie navigieren

  1. Melden Sie sich an der AWS Organizations -Konsole an. Sie müssen sich im Verwaltungskonto der Organisation als IAM-Benutzer anmelden, eine IAM-Rolle annehmen oder als Root-Benutzer anmelden (nicht empfohlen).

  2. Wählen Sie auf der Seite KI-Services-Opt-Out-Richtlinien den Namen der Richtlinie aus, die Sie anfügen möchten.

  3. Klicken Sie in der Registerkarte Ziele auf Anfügen.

  4. Aktivieren Sie das Optionsfeld neben dem Stammverzeichnis, der Organisationseinheit oder dem Konto, an das bzw. die Sie die Richtlinie anfügen möchten. Möglicherweise müssen Sie Organisationseinheiten erweitern (wählen Sie die Option ), um die gewünschte Organisationseinheit oder das gewünschte Konto zu finden.

  5. Wählen Sie Richtlinie anfügen aus.

    Die Liste der angehängten KI-Services-Opt-Out-Richtlinien auf der Registerkarte Ziele wird aktualisiert, um die neue Ergänzung aufzunehmen. Die Richtlinienänderung wird sofort wirksam.

Um die Opt-Out-Richtlinie für KI-Dienste aus dem Stammverzeichnis, der Organisationseinheit oder dem Konto der Organisation anzuhängen

Die folgenden Codebeispiele zeigen die VerwendungAttachPolicy.

.NET
AWS SDK for .NET
Anmerkung

Es gibt noch mehr dazu GitHub. Sie sehen das vollständige Beispiel und erfahren, wie Sie das AWS -Code-Beispiel-Repository einrichten und ausführen. 

    using System;
    using System.Threading.Tasks;
    using Amazon.Organizations;
    using Amazon.Organizations.Model;

    /// <summary>
    /// Shows how to attach an AWS Organizations policy to an organization,
    /// an organizational unit, or an account.
    /// </summary>
    public class AttachPolicy
    {
        /// <summary>
        /// Initializes the Organizations client object and then calls the
        /// AttachPolicyAsync method to attach the policy to the root
        /// organization.
        /// </summary>
        public static async Task Main()
        {
            IAmazonOrganizations client = new AmazonOrganizationsClient();
            var policyId = "p-00000000";
            var targetId = "r-0000";

            var request = new AttachPolicyRequest
            {
                PolicyId = policyId,
                TargetId = targetId,
            };

            var response = await client.AttachPolicyAsync(request);

            if (response.HttpStatusCode == System.Net.HttpStatusCode.OK)
            {
                Console.WriteLine($"Successfully attached Policy ID {policyId} to Target ID: {targetId}.");
            }
            else
            {
                Console.WriteLine("Was not successful in attaching the policy.");
            }
        }
    }

  • Einzelheiten zur API finden Sie AttachPolicyin der AWS SDK for .NET API-Referenz.

CLI
AWS CLI

So hängen Sie eine Richtlinie an ein Root-Konto, eine Organisationseinheit oder ein Konto an

Beispiel 1

Das folgende Beispiel zeigt, wie eine Service Control Policy (SCP) an eine Organisationseinheit angehängt wird:

aws organizations attach-policy
                --policy-id p-examplepolicyid111
                --target-id ou-examplerootid111-exampleouid111

Beispiel 2

Das folgende Beispiel zeigt, wie eine Dienststeuerungsrichtlinie direkt an ein Konto angehängt wird:

aws organizations attach-policy
                --policy-id p-examplepolicyid111
                --target-id 333333333333

  • Einzelheiten zur API finden Sie AttachPolicyin der AWS CLI Befehlsreferenz.

Python
SDK für Python (Boto3)
Anmerkung

Es gibt noch mehr dazu GitHub. Sie sehen das vollständige Beispiel und erfahren, wie Sie das AWS -Code-Beispiel-Repository einrichten und ausführen. 

def attach_policy(policy_id, target_id, orgs_client):
    """
    Attaches a policy to a target. The target is an organization root, account, or
    organizational unit.

    :param policy_id: The ID of the policy to attach.
    :param target_id: The ID of the resources to attach the policy to.
    :param orgs_client: The Boto3 Organizations client.
    """
    try:
        orgs_client.attach_policy(PolicyId=policy_id, TargetId=target_id)
        logger.info("Attached policy %s to target %s.", policy_id, target_id)
    except ClientError:
        logger.exception(
            "Couldn't attach policy %s to target %s.", policy_id, target_id
        )
        raise

  • Einzelheiten zur API finden Sie AttachPolicyin AWS SDK for Python (Boto3) API Reference.

Die Richtlinienänderung wird sofort wirksam

Trennen einer Richtlinie zur Abmeldung von KI-Services

Wenn Sie im Verwaltungskonto Ihrer Organisation angemeldet sind, können Sie eine KI-Services-Opt-Out-Richtlinie vom Organisationsstamm, der OU oder vom Konto, dem sie hinzugefügt ist, trennen. Nach dem Trennen der KI-Services-Opt-Out-Richtlinie von einem Element, gilt diese Richtlinie nicht mehr für Konten, auf die sich das jetzt getrennte Element zuvor ausgewirkt hat. Führen Sie zum Trennen einer Richtlinie die folgenden Schritte aus.

Mindestberechtigungen

Um eine KI-Services-Opt-Out-Richtlinie vom Organisationsstamm, der OU oder dem Konto zu trennen, müssen Sie über die Berechtigung zum Ausführen der folgenden Aktion verfügen:

  • organizations:DetachPolicy

Sie können eine Richtlinie für eine KI-Services trennen, indem Sie entweder zur Richtlinie oder zum Stammverzeichnis, zur Organisationseinheit oder zum Konto, von denen Sie die Richtlinie trennen möchten, navigieren.

So trennen Sie eine Richtlinie für die Abmeldung von KI-Services, indem Sie zum Stamm, zur Organisationseinheit oder zum Konto navigieren, an die sie angefügt ist

  1. Melden Sie sich an der AWS Organizations -Konsole an. Sie müssen sich im Verwaltungskonto der Organisation als IAM-Benutzer anmelden, eine IAM-Rolle annehmen oder als Root-Benutzer anmelden (nicht empfohlen).

  2. Navigieren Sie auf der Seite AWS-Konten zu dem Stamm, der OU oder dem Konto, von dem Sie eine Richtlinie trennen möchten. Möglicherweise müssen Sie Organisationseinheiten erweitern (wählen Sie die Option ), um die gewünschte Organisationseinheit oder das gewünschte Konto zu finden. Wählen Sie den Namen des Stamms, der Organisationseinheit oder des Kontos aus.

  3. Wählen Sie auf der Registerkarte Richtlinien das Optionsfeld neben der KI-Services-Opt-Out-Richtlinie aus, die Sie trennen möchten und wählen Sie dann Trennen aus.

  4. Wählen Sie im Bestätigungsdialogfeld Richtlinie trennen aus.

    Die Liste der angehängten Abmelderichtlinien für KI-Services wird aktualisiert. Die Richtlinienänderung wird sofort wirksam.

So trennen Sie eine Deaktivierungsrichtlinie für KI-Services, indem Sie zur Richtlinie navigieren

  1. Melden Sie sich an der AWS Organizations -Konsole an. Sie müssen sich im Verwaltungskonto der Organisation als IAM-Benutzer anmelden, eine IAM-Rolle annehmen oder als Root-Benutzer anmelden (nicht empfohlen).

  2. Wählen Sie auf der Seite KI-Service-Opt-Out-Richtlinien den Namen der Richtlinie aus, die Sie von einem Stamm, einer OU oder einem Konto trennen möchten.

  3. Wählen Sie auf der Registerkarte Ziele das Optionsfeld neben dem Stamm, der OU oder dem Konto aus, von dem Sie die Richtlinie trennen möchten. Möglicherweise müssen Sie Organisationseinheiten erweitern (wählen Sie die Option ), um die gewünschte Organisationseinheit oder das gewünschte Konto zu finden.

  4. Wählen Sie Detach (Trennen) aus.

  5. Wählen Sie im Bestätigungsdialogfeld Trennen aus.

    Die Liste der angehängten Abmelderichtlinien für KI-Services wird aktualisiert. Die Richtlinienänderung wird sofort wirksam.

Um eine Opt-Out-Richtlinie für KI-Dienste vom Stammverzeichnis, der Organisationseinheit oder dem Konto der Organisation zu trennen

Die folgenden Codebeispiele zeigen die VerwendungDetachPolicy.

.NET
AWS SDK for .NET
Anmerkung

Es gibt noch mehr dazu GitHub. Sie sehen das vollständige Beispiel und erfahren, wie Sie das AWS -Code-Beispiel-Repository einrichten und ausführen. 

    using System;
    using System.Threading.Tasks;
    using Amazon.Organizations;
    using Amazon.Organizations.Model;

    /// <summary>
    /// Shows how to detach a policy from an AWS Organizations organization,
    /// organizational unit, or account.
    /// </summary>
    public class DetachPolicy
    {
        /// <summary>
        /// Initializes the Organizations client object and uses it to call
        /// DetachPolicyAsync to detach the policy.
        /// </summary>
        public static async Task Main()
        {
            // Create the client object using the default account.
            IAmazonOrganizations client = new AmazonOrganizationsClient();

            var policyId = "p-00000000";
            var targetId = "r-0000";

            var request = new DetachPolicyRequest
            {
                PolicyId = policyId,
                TargetId = targetId,
            };

            var response = await client.DetachPolicyAsync(request);

            if (response.HttpStatusCode == System.Net.HttpStatusCode.OK)
            {
                Console.WriteLine($"Successfully detached policy with Policy Id: {policyId}.");
            }
            else
            {
                Console.WriteLine("Could not detach the policy.");
            }
        }
    }

  • Einzelheiten zur API finden Sie DetachPolicyin der AWS SDK for .NET API-Referenz.

CLI
AWS CLI

So trennen Sie eine Richtlinie von einem Root-, OU- oder Konto

Das folgende Beispiel zeigt, wie eine Richtlinie von einer Organisationseinheit getrennt wird:

aws organizations  detach-policy  --target-id ou-examplerootid111-exampleouid111 --policy-id p-examplepolicyid111

  • Einzelheiten zur API finden Sie DetachPolicyin der AWS CLI Befehlsreferenz.

Python
SDK für Python (Boto3)
Anmerkung

Es gibt noch mehr dazu GitHub. Sie sehen das vollständige Beispiel und erfahren, wie Sie das AWS -Code-Beispiel-Repository einrichten und ausführen. 

def detach_policy(policy_id, target_id, orgs_client):
    """
    Detaches a policy from a target.

    :param policy_id: The ID of the policy to detach.
    :param target_id: The ID of the resource where the policy is currently attached.
    :param orgs_client: The Boto3 Organizations client.
    """
    try:
        orgs_client.detach_policy(PolicyId=policy_id, TargetId=target_id)
        logger.info("Detached policy %s from target %s.", policy_id, target_id)
    except ClientError:
        logger.exception(
            "Couldn't detach policy %s from target %s.", policy_id, target_id
        )
        raise

  • Einzelheiten zur API finden Sie DetachPolicyin AWS SDK for Python (Boto3) API Reference.

Die Richtlinienänderung wird sofort wirksam.