Vinculación de las políticas de la organización con AWS Organizations - AWS Organizations
Vinculación de políticas

Vinculación de las políticas de la organización con AWS Organizations

En este tema se explica cómo vincular políticas con AWS Organizations. Una política define los controles que desea aplicar a un grupo de Cuentas de AWS. AWS Organizations admite políticas de administración y políticas de autorización.

Vinculación de políticas con AWS Organizations

Permisos mínimos

Para vincular políticas, debe tener permiso para poner en marcha la siguiente acción:

  • organizations:AttachPolicy

Permisos mínimos

Para asociar una SCP a un nodo raíz, una unidad organizativa o una cuenta, necesita permiso para ejecutar la siguiente acción:

  • organizations:AttachPolicy con un elemento Resource en la misma declaración de política que incluye "*" o el Nombre de recurso de Amazon (ARN) de la política especificada y el ARN del nodo raíz, unidad organizativa o cuenta a la que desea adjuntar la política

Service control policies (SCPs)

Puede asociar una SCP navegando hasta la política o el nodo raíz, unidad organizativa o cuenta a la que desee adjuntar la política.

Para asociar una SCP navegando hasta el nodo raíz, unidad organizativa o cuenta

  1. Inicie sesión en la consola de AWS Organizations. Debe iniciar sesión como usuario de IAM, asumir un rol de IAM; o iniciar sesión como usuario raíz (no se recomienda) en la cuenta de administración de la organización.

  2. En la página Cuentas de AWS, desplácese y luego marque la casilla de verificación situada junto al nodo raíz, unidad organizativa o cuenta a la que desea adjuntar una SCP. Es posible que tenga que expandir las unidades organizativas (elija la opción Gray cloud icon representing cloud computing or storage services. ) para encontrar la unidad organizativa o la cuenta que desea.

  3. En la pestaña Políticas, en la entrada de Políticas de control de servicios, elija Adjuntar.

  4. Busque la política que desea y elija Asociar política.

    La lista de SCP asociadas en la pestaña Políticas se actualiza para incluir la nueva adición. El cambio en la política se hace efectivo de manera inmediata, afectando a los permisos y los roles de los usuarios IAM de la cuenta asociada o de todas las cuentas situadas bajo el nodo raíz o la unidad organizativa.

Para adjuntar una SCP navegando a la política

  1. Inicie sesión en la consola de AWS Organizations. Debe iniciar sesión como usuario de IAM, asumir un rol de IAM; o iniciar sesión como usuario raíz (no se recomienda) en la cuenta de administración de la organización.

  2. En la página Políticas de control de servicios elija el nombre de la política que desea adjuntar.

  3. En la pestaña Objetivos, seleccione Adjuntar.

  4. Elija el botón de opción situado junto al nodo raíz, unidad organizativa o cuenta a la que desea adjuntar la política. Es posible que tenga que expandir las unidades organizativas (elija la opción Gray cloud icon representing cloud computing or storage services. ) para encontrar la unidad organizativa o la cuenta que desea.

  5. Elija Asociar política.

    La lista de SCP asociadas en los Objetivos se actualiza para incluir la nueva adición. El cambio en la política se hace efectivo de manera inmediata, afectando a los permisos y los roles de los usuarios IAM de la cuenta asociada o de todas las cuentas situadas bajo el nodo raíz o la unidad organizativa.

Backup policies

Puede asociar una política de copia de seguridad navegando hasta la política o el nodo raíz, unidad organizativa o cuenta a la que desee adjuntar la política.

Para asociar una política de copia de seguridad navegando hasta el nodo raíz, unidad organizativa o cuenta

  1. Inicie sesión en la consola de AWS Organizations. Debe iniciar sesión como usuario de IAM, asumir un rol de IAM; o iniciar sesión como usuario raíz (no se recomienda) en la cuenta de administración de la organización.

  2. En la página Cuentas de AWS, busque y seleccione el nombre del nodo raíz, unidad organizativa o cuenta a la que desea asociar la política. Es posible que tenga que expandir las unidades organizativas (elija la opción Gray cloud icon representing cloud computing or storage services. ) para encontrar la unidad organizativa o la cuenta que desea.

  3. En la pestaña Políticas, en la entrada de Políticas de copia de seguridad, elija Adjuntar.

  4. Busque la política que desea y elija Asociar política.

    La lista de políticas de copia de seguridad asociadas en la pestaña Políticas se actualiza para incluir la nueva adición. El cambio en la política surtirá efecto de inmediato.

Para adjuntar una política de copia de seguridad navegando a la política

  1. Inicie sesión en la consola de AWS Organizations. Debe iniciar sesión como usuario de IAM, asumir un rol de IAM; o iniciar sesión como usuario raíz (no se recomienda) en la cuenta de administración de la organización.

  2. En la página Políticas de copia de seguridad elija el nombre de la política que desea adjuntar.

  3. En la pestaña Objetivos, seleccione Adjuntar.

  4. Elija el botón de opción situado junto al nodo raíz, unidad organizativa o cuenta a la que desea adjuntar la política. Es posible que tenga que expandir las unidades organizativas (elija la opción Gray cloud icon representing cloud computing or storage services. ) para encontrar la unidad organizativa o la cuenta que desea.

  5. Elija Asociar política.

    La lista de políticas de copia de seguridad asociadas en la pestaña Objetivos se actualiza para incluir la nueva adición. El cambio en la política surtirá efecto de inmediato.

Tag policies

Puede asociar una política de etiquetas navegando hasta la política o el nodo raíz, unidad organizativa o cuenta a la que desee adjuntar la política.

Para asociar una política de etiquetas navegando hasta el nodo raíz, unidad organizativa o cuenta

  1. Inicie sesión en la consola de AWS Organizations. Debe iniciar sesión como usuario de IAM, asumir un rol de IAM; o iniciar sesión como usuario raíz (no se recomienda) en la cuenta de administración de la organización.

  2. En la página Cuentas de AWS, busque y seleccione el nombre del nodo raíz, unidad organizativa o cuenta a la que desea asociar la política. Es posible que tenga que expandir las unidades organizativas (elija la opción Gray cloud icon representing cloud computing or storage services. ) para encontrar la unidad organizativa o la cuenta que desea.

  3. En la pestaña Políticas, en la entrada de Políticas de etiquetas, elija Adjuntar.

  4. Busque la política que desea y elija Asociar política.

    La lista de políticas de etiquetas asociadas en la pestaña Políticas se actualiza para incluir la nueva adición. El cambio en la política surtirá efecto de inmediato.

Para adjuntar una política de etiquetas navegando a la política

  1. Inicie sesión en la consola de AWS Organizations. Debe iniciar sesión como usuario de IAM, asumir un rol de IAM; o iniciar sesión como usuario raíz (no se recomienda) en la cuenta de administración de la organización.

  2. En la página Políticas de etiquetas, elija el nombre de la política que desea adjuntar.

  3. En la pestaña Objetivos, seleccione Adjuntar.

  4. Elija el botón de opción situado junto al nodo raíz, unidad organizativa o cuenta a la que desea adjuntar la política. Es posible que tenga que expandir las unidades organizativas (elija la opción Gray cloud icon representing cloud computing or storage services. ) para encontrar la unidad organizativa o la cuenta que desea.

  5. Elija Asociar política.

    La lista de políticas de etiquetas asociadas en la pestaña Objetivos se actualiza para incluir la nueva adición. El cambio en la política surtirá efecto de inmediato.

Chatbot policies

Puede asociar una política de etiquetas navegando hasta la política o el nodo raíz, unidad organizativa o cuenta a la que desee adjuntar la política.

Para vincular una política de chatbots navegando hasta el nodo raíz, unidad organizativa o cuenta

  1. Inicie sesión en la consola de AWS Organizations. Debe iniciar sesión como usuario de IAM, asumir un rol de IAM; o iniciar sesión como usuario raíz (no se recomienda) en la cuenta de administración de la organización.

  2. En la página Cuentas de AWS, busque y seleccione el nombre del nodo raíz, unidad organizativa o cuenta a la que desea asociar la política. Es posible que tenga que expandir las unidades organizativas (elija la opción Gray cloud icon representing cloud computing or storage services. ) para encontrar la unidad organizativa o la cuenta que desea.

  3. En la pestaña Políticas, en la entrada de Políticas de chatbots, elija Adjuntar.

  4. Busque la política que desea y elija Asociar política.

    La lista de políticas de chatbots asociadas en la pestaña Políticas se actualiza para incluir la nueva adición. El cambio en la política surtirá efecto de inmediato.

Para vincular una política de etiquetas navegando a la política

  1. Inicie sesión en la consola de AWS Organizations. Debe iniciar sesión como usuario de IAM, asumir un rol de IAM; o iniciar sesión como usuario raíz (no se recomienda) en la cuenta de administración de la organización.

  2. En la página Políticas de chatbots, elija el nombre de la política que desea vincular.

  3. En la pestaña Objetivos, seleccione Adjuntar.

  4. Elija el botón de opción situado junto al nodo raíz, unidad organizativa o cuenta a la que desea adjuntar la política. Es posible que tenga que expandir las unidades organizativas (elija la opción Gray cloud icon representing cloud computing or storage services. ) para encontrar la unidad organizativa o la cuenta que desea.

  5. Elija Asociar política.

    La lista de políticas de chatbots vinculadas en la pestaña Objetivos se actualiza para incluir la nueva adición. El cambio en la política surtirá efecto de inmediato.

AI services opt-out policies

Puede asociar una política de exclusión de servicios de IA navegando hasta la política o el nodo raíz, unidad organizativa o cuenta a la que desee adjuntar la política.

Para asociar una política de exclusión de servicios de IA navegando hasta el nodo raíz, unidad organizativa o cuenta

  1. Inicie sesión en la consola de AWS Organizations. Debe iniciar sesión como usuario de IAM, asumir un rol de IAM; o iniciar sesión como usuario raíz (no se recomienda) en la cuenta de administración de la organización.

  2. En la página Cuentas de AWS, busque y seleccione el nombre del nodo raíz, unidad organizativa o cuenta a la que desea asociar la política. Es posible que tenga que expandir las unidades organizativas (elija la opción Gray cloud icon representing cloud computing or storage services. ) para encontrar la unidad organizativa o la cuenta que desea.

  3. En la pestaña Políticas, en la entrada de Políticas de exclusión de servicios de IA, elija Adjuntar.

  4. Busque la política que desea y elija Asociar política.

    La lista de políticas de exclusión de los servicios de IA adjuntas en la pestaña Políticas se actualiza para incluir la nueva adición. El cambio en la política surtirá efecto de inmediato.

Para adjuntar una política de exclusión de servicios de IA navegando hasta la política

  1. Inicie sesión en la consola de AWS Organizations. Debe iniciar sesión como usuario de IAM, asumir un rol de IAM; o iniciar sesión como usuario raíz (no se recomienda) en la cuenta de administración de la organización.

  2. En la página Políticas de exclusión de servicios de IA, elija el nombre de la política que desea adjuntar.

  3. En la pestaña Objetivos, seleccione Adjuntar.

  4. Elija el botón de opción situado junto al nodo raíz, unidad organizativa o cuenta a la que desea adjuntar la política. Es posible que tenga que expandir las unidades organizativas (elija la opción Gray cloud icon representing cloud computing or storage services. ) para encontrar la unidad organizativa o la cuenta que desea.

  5. Elija Asociar política.

    La lista de políticas de exclusión de los servicios de IA adjuntas en la pestaña Objetivos se actualiza para incluir la nueva adición. El cambio en la política surtirá efecto de inmediato.

El cambio en la política se hace efectivo de manera inmediata, afectando a los permisos y los roles de los usuarios IAM de la cuenta asociada o de todas las cuentas situadas bajo el nodo raíz o la OU.

Para vincular una política

Los siguientes ejemplos de código muestran cómo utilizar AttachPolicy.

.NET
AWS SDK for .NET
nota

Hay más información en GitHub. Busque el ejemplo completo y aprenda a configurar y ejecutar en el Repositorio de ejemplos de código de AWS. 

    using System;
    using System.Threading.Tasks;
    using Amazon.Organizations;
    using Amazon.Organizations.Model;

    /// <summary>
    /// Shows how to attach an AWS Organizations policy to an organization,
    /// an organizational unit, or an account.
    /// </summary>
    public class AttachPolicy
    {
        /// <summary>
        /// Initializes the Organizations client object and then calls the
        /// AttachPolicyAsync method to attach the policy to the root
        /// organization.
        /// </summary>
        public static async Task Main()
        {
            IAmazonOrganizations client = new AmazonOrganizationsClient();
            var policyId = "p-00000000";
            var targetId = "r-0000";

            var request = new AttachPolicyRequest
            {
                PolicyId = policyId,
                TargetId = targetId,
            };

            var response = await client.AttachPolicyAsync(request);

            if (response.HttpStatusCode == System.Net.HttpStatusCode.OK)
            {
                Console.WriteLine($"Successfully attached Policy ID {policyId} to Target ID: {targetId}.");
            }
            else
            {
                Console.WriteLine("Was not successful in attaching the policy.");
            }
        }
    }

  • Para obtener información sobre la API, consulte AttachPolicy en la Referencia de la API AWS SDK for .NET.

CLI
AWS CLI

Asociación de una política a un nodo raíz, unidad organizativa o cuenta

Ejemplo 1

El siguiente ejemplo de código muestra cómo adjuntar una política de control de servicio (SCP) a una unidad organizativa.

aws organizations attach-policy
                --policy-id p-examplepolicyid111
                --target-id ou-examplerootid111-exampleouid111

Ejemplo 2

El siguiente ejemplo de código muestra cómo adjuntar una política de control de servicio directamente a una cuenta:

aws organizations attach-policy
                --policy-id p-examplepolicyid111
                --target-id 333333333333

  • Para obtener información sobre la API, consulte AttachPolicy en la Referencia de comandos de la AWS CLI.

Python
SDK para Python (Boto3)
nota

Hay más en GitHub. Busque el ejemplo completo y aprenda a configurar y ejecutar en el Repositorio de ejemplos de código de AWS. 

def attach_policy(policy_id, target_id, orgs_client):
    """
    Attaches a policy to a target. The target is an organization root, account, or
    organizational unit.

    :param policy_id: The ID of the policy to attach.
    :param target_id: The ID of the resources to attach the policy to.
    :param orgs_client: The Boto3 Organizations client.
    """
    try:
        orgs_client.attach_policy(PolicyId=policy_id, TargetId=target_id)
        logger.info("Attached policy %s to target %s.", policy_id, target_id)
    except ClientError:
        logger.exception(
            "Couldn't attach policy %s to target %s.", policy_id, target_id
        )
        raise

  • Para obtener información sobre la API, consulte AttachPolicy en la Referencia de la API de SDK de AWS para Python (Boto3).

El cambio en la política se hace efectivo de manera inmediata, afectando a los permisos y los roles de los usuarios IAM de la cuenta asociada o de todas las cuentas situadas bajo el nodo raíz o la OU.