Separar las políticas de la organización con AWS Organizations - AWS Organizations
Separe las políticas

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Separar las políticas de la organización con AWS Organizations

En este tema se describe cómo separar las políticas de. AWS Organizations Una política define los controles que se desean aplicar a un grupo de Cuentas de AWS. AWS Organizations admite las políticas de administración y las políticas de autorización.

Separe las políticas con AWS Organizations

Permisos mínimos

Para separar una política de la raíz, la unidad organizativa o la cuenta de la organización, debe tener permiso para ejecutar la siguiente acción:

  • organizations:DetachPolicy

nota

No puedes separar la última SCP de una raíz, una unidad organizativa o una cuenta. Debe haber al menos una SCP asociada a cada raíz, unidad organizativa y cuenta en todo momento.

Service control policies (SCPs)

Para desvincular una, SCP vaya a la política o a la raíz, unidad organizativa o cuenta de la que desee desvincular la política.

Para separar una, navegue hasta SCP la raíz, la unidad organizativa o la cuenta a la que está asociada

  1. Inicie sesión en la consola de AWS Organizations. Debe iniciar sesión como IAM usuario, asumir un IAM rol o iniciar sesión como usuario raíz (no se recomienda) en la cuenta de administración de la organización.

  2. En la página Cuentas de AWS desplácese hasta el nodo raíz, unidad organizativa o cuenta de la que desea desconectar una política. Puede que tenga que ampliar OUs (elegir Gray cloud icon representing cloud computing or storage services. ) para encontrar la OU o la cuenta que desee. Elija el nombre del nodo raíz, unidad organizativa o cuenta.

  3. En la pestaña Políticas, elija el botón de radio situado junto al SCP que desee separar y, a continuación, seleccione Separar.

  4. En el cuadro de diálogo de confirmación, elija Desconectar política.

    Se actualiza la lista de adjuntosSCPs. El cambio de política provocado por la desconexión SCP entra en vigor de forma inmediata. Por ejemplo, la desvinculación de un afecta SCP inmediatamente a los permisos de IAM los usuarios y las funciones de la cuenta o cuentas anteriormente asociadas a la organización raíz o unidad organizativa anteriormente asociada.

Para separar unaSCP, navegue hasta la política

  1. Inicie sesión en la consola de AWS Organizations. Debe iniciar sesión como IAM usuario, asumir un IAM rol o iniciar sesión como usuario raíz (no se recomienda) en la cuenta de administración de la organización.

  2. En la página Políticas de control de servicios, elija el nombre de la política que desea desconectar de un nodo raíz, unidad organizativa o cuenta.

  3. En la pestaña de Objetivos, elija el botón de opción situado junto al nodo raíz, unidad organizativa o cuenta de la que desea desconectar la política. Puede que tenga que ampliar OUs (elegir Gray cloud icon representing cloud computing or storage services. ) para encontrar la OU o la cuenta que desee.

  4. Elija Desasociar.

  5. En el cuadro de diálogo de confirmación, elija Desconectar.

    La lista de archivos adjuntos SCPs está actualizada. El cambio de política provocado por la desconexión SCP entra en vigor de forma inmediata. Por ejemplo, la desvinculación de un afecta SCP inmediatamente a los permisos de IAM los usuarios y las funciones de la cuenta o cuentas anteriormente asociadas a la organización raíz o unidad organizativa anteriormente asociada.

Backup policies

Puede desconectar una política de copia de seguridad navegando hasta la política o el nodo raíz, unidad organizativa o cuenta de la que desee desconectar la política.

Para desconectar una política de copia de seguridad navegando hasta el nodo raíz, unidad organizativa o cuenta a la que está adjunta

  1. Inicie sesión en la consola de AWS Organizations. Debe iniciar sesión como IAM usuario, asumir un IAM rol o iniciar sesión como usuario raíz (no se recomienda) en la cuenta de administración de la organización.

  2. En la página Cuentas de AWS desplácese hasta el nodo raíz, unidad organizativa o cuenta de la que desea desconectar una política. Puede que tenga que ampliar OUs (elegir Gray cloud icon representing cloud computing or storage services. ) para encontrar la OU o la cuenta que desee. Elija el nombre del nodo raíz, unidad organizativa o cuenta.

  3. En la pestaña Políticas elija el botón de opción situado junto a la política de copia de seguridad que desea desconectar y, a continuación, elija Desconectar.

  4. En el cuadro de diálogo de confirmación, elija Desconectar política.

    La lista de políticas de copia de seguridad asociadas se actualiza. El cambio en la política surtirá efecto de inmediato.

Para desconectar una política de copia de seguridad navegando hasta la política

  1. Inicie sesión en la consola de AWS Organizations. Debe iniciar sesión como IAM usuario, asumir un IAM rol o iniciar sesión como usuario raíz (no se recomienda) en la cuenta de administración de la organización.

  2. En la página Políticas de copia de seguridad elija el nombre de la política que desea desconectar de un nodo raíz, unidad organizativa o cuenta.

  3. En la pestaña de Objetivos, elija el botón de opción situado junto al nodo raíz, unidad organizativa o cuenta de la que desea desconectar la política. Puede que tenga que ampliar OUs (elegir Gray cloud icon representing cloud computing or storage services. ) para encontrar la OU o la cuenta que desee.

  4. Elija Desasociar.

  5. En el cuadro de diálogo de confirmación, elija Desconectar.

    La lista de políticas de copia de seguridad asociadas se actualiza. El cambio en la política surtirá efecto de inmediato.

Tag policies

Puede desconectar una política de etiquetas navegando hasta la política o el nodo raíz, unidad organizativa o cuenta de la que desee desconectar la política.

Para desconectar una política de etiqueta navegando hasta el nodo raíz, unidad organizativa o cuenta a la que está adjunta

  1. Inicie sesión en la consola de AWS Organizations. Debe iniciar sesión como IAM usuario, asumir un IAM rol o iniciar sesión como usuario raíz (no se recomienda) en la cuenta de administración de la organización.

  2. En la página Cuentas de AWS desplácese hasta el nodo raíz, unidad organizativa o cuenta de la que desea desconectar una política. Puede que tenga que ampliar OUs (elegir Gray cloud icon representing cloud computing or storage services. ) para encontrar la OU o la cuenta que desee. Elija el nombre del nodo raíz, unidad organizativa o cuenta.

  3. En la pestaña Políticas, elija el botón de opción situado junto a la política de etiquetas que desea desconectar y, a continuación, elija Desconectar.

  4. En el cuadro de diálogo de confirmación, elija Desconectar política.

    Actualización de la lista de políticas de etiquetas asociadas. El cambio en la política surtirá efecto de inmediato.

Para desconectar una política de etiquetas navegando hasta la política

  1. Inicie sesión en la consola de AWS Organizations. Debe iniciar sesión como IAM usuario, asumir un IAM rol o iniciar sesión como usuario raíz (no se recomienda) en la cuenta de administración de la organización.

  2. En la página Políticas de etiquetas, elija el nombre de la política que desea desconectar de un nodo raíz, unidad organizativa o cuenta.

  3. En la pestaña de Objetivos, elija el botón de opción situado junto al nodo raíz, unidad organizativa o cuenta de la que desea desconectar la política. Puede que tenga que ampliar OUs (elegir Gray cloud icon representing cloud computing or storage services. ) para encontrar la OU o la cuenta que desee.

  4. Elija Desasociar.

  5. En el cuadro de diálogo de confirmación, elija Desconectar.

    Actualización de la lista de políticas de etiquetas asociadas. El cambio en la política surtirá efecto de inmediato.

Chatbot policies

Para separar una política de chatbot, ve a la política o a la raíz, unidad organizativa o cuenta de la que deseas desvincular la política.

Para desvincular una política de chatbot, navega hasta la raíz, la unidad organizativa o la cuenta a la que está asociada

  1. Inicie sesión en la consola de AWS Organizations. Debes iniciar sesión como IAM usuario, asumir un IAM rol o iniciar sesión como usuario raíz (no se recomienda) en la cuenta de administración de la organización.

  2. En la página Cuentas de AWS desplácese hasta el nodo raíz, unidad organizativa o cuenta de la que desea desconectar una política. Puede que tenga que ampliar OUs (elegir Gray cloud icon representing cloud computing or storage services. ) para encontrar la OU o la cuenta que desee. Elija el nombre del nodo raíz, unidad organizativa o cuenta.

  3. En la pestaña Políticas, selecciona el botón de radio situado junto a la política del chatbot que quieres separar y, a continuación, selecciona Separar.

  4. En el cuadro de diálogo de confirmación, elija Desconectar política.

    Se actualiza la lista de políticas de chatbots adjuntas. El cambio en la política surtirá efecto de inmediato.

Para separar una política de chatbot, navegue hasta la política

  1. Inicie sesión en la consola de AWS Organizations. Debes iniciar sesión como IAM usuario, asumir un IAM rol o iniciar sesión como usuario raíz (no se recomienda) en la cuenta de administración de la organización.

  2. En la página de políticas del Chatbot, elige el nombre de la política que quieres separar de una raíz, unidad organizativa o cuenta.

  3. En la pestaña de Objetivos, elija el botón de opción situado junto al nodo raíz, unidad organizativa o cuenta de la que desea desconectar la política. Puede que tengas que expandirte OUs (elegir Gray cloud icon representing cloud computing or storage services. ) para encontrar la OU o la cuenta que deseas.

  4. Elija Desasociar.

  5. En el cuadro de diálogo de confirmación, elija Desconectar.

    Se ha actualizado la lista de políticas de chatbots adjuntas. El cambio en la política surtirá efecto de inmediato.

AI services opt-out policies

Puede desconectar una política de exclusión de servicios de IA navegando hasta la política o el nodo raíz, unidad organizativa o cuenta de la que desee desconectar la política.

Para desconectar una política de exclusión de servicios de IA navegando hasta el nodo raíz, unidad organizativa o cuenta a la que está adjunta

  1. Inicie sesión en la consola de AWS Organizations. Debes iniciar sesión como IAM usuario, asumir un IAM rol o iniciar sesión como usuario raíz (no se recomienda) en la cuenta de administración de la organización.

  2. En la página Cuentas de AWS desplácese hasta el nodo raíz, unidad organizativa o cuenta de la que desea desconectar una política. Puede que tenga que ampliar OUs (elegir Gray cloud icon representing cloud computing or storage services. ) para encontrar la OU o la cuenta que desee. Elija el nombre del nodo raíz, unidad organizativa o cuenta.

  3. En la página Políticas, elija el botón de opción situado junto a la política de exclusión de servicios de IA que desea desconectar y, a continuación, elija Desconectar.

  4. En el cuadro de diálogo de confirmación, elija Desconectar política.

    Se actualiza la lista de políticas de exclusión de servicios de IA adjuntas. El cambio en la política surtirá efecto de inmediato.

Para separar una política de exclusión de servicios de IA navegando a la política

  1. Inicie sesión en la consola de AWS Organizations. Debe iniciar sesión como IAM usuario, asumir un IAM rol o iniciar sesión como usuario raíz (no se recomienda) en la cuenta de administración de la organización.

  2. En la página Políticas de exclusión de servicios de IA, elija el nombre de la política que desea desconectar de un nodo raíz, unidad organizativa o cuenta.

  3. En la pestaña de Objetivos, elija el botón de opción situado junto al nodo raíz, unidad organizativa o cuenta de la que desea desconectar la política. Puede que tenga que ampliar OUs (elegir Gray cloud icon representing cloud computing or storage services. ) para encontrar la OU o la cuenta que desee.

  4. Elija Desasociar.

  5. En el cuadro de diálogo de confirmación, elija Desconectar.

    Se actualiza la lista de políticas de exclusión de servicios de IA adjuntas. El cambio en la política surtirá efecto de inmediato.

El cambio de política entra en vigor de forma inmediata y afecta a los permisos de IAM los usuarios y las funciones de la cuenta asociada o de todas las cuentas de la unidad organizativa o raíz asociada

Para adjuntar una política

En los siguientes ejemplos de código, se muestra cómo utilizar DetachPolicy.

.NET
AWS SDK for .NET
nota

Hay más en marcha GitHub. Busque el ejemplo completo y aprenda a configurar y ejecutar en el Repositorio de ejemplos de código de AWS. 

    using System;
    using System.Threading.Tasks;
    using Amazon.Organizations;
    using Amazon.Organizations.Model;

    /// <summary>
    /// Shows how to detach a policy from an AWS Organizations organization,
    /// organizational unit, or account.
    /// </summary>
    public class DetachPolicy
    {
        /// <summary>
        /// Initializes the Organizations client object and uses it to call
        /// DetachPolicyAsync to detach the policy.
        /// </summary>
        public static async Task Main()
        {
            // Create the client object using the default account.
            IAmazonOrganizations client = new AmazonOrganizationsClient();

            var policyId = "p-00000000";
            var targetId = "r-0000";

            var request = new DetachPolicyRequest
            {
                PolicyId = policyId,
                TargetId = targetId,
            };

            var response = await client.DetachPolicyAsync(request);

            if (response.HttpStatusCode == System.Net.HttpStatusCode.OK)
            {
                Console.WriteLine($"Successfully detached policy with Policy Id: {policyId}.");
            }
            else
            {
                Console.WriteLine("Could not detach the policy.");
            }
        }
    }

  • Para API obtener más información, consulte DetachPolicyla AWS SDK for .NET APIReferencia.

CLI
AWS CLI

Desasociación de una política de un nodo raíz, unidad organizativa o cuenta

En el siguiente ejemplo se muestra cómo desasociar una política de una unidad organizativa:

aws organizations  detach-policy  --target-id ou-examplerootid111-exampleouid111 --policy-id p-examplepolicyid111

  • Para API obtener más información, consulte DetachPolicyla Referencia de AWS CLI comandos.

Python
SDKpara Python (Boto3)
nota

Hay más información. GitHub Busque el ejemplo completo y aprenda a configurar y ejecutar en el Repositorio de ejemplos de código de AWS. 

def detach_policy(policy_id, target_id, orgs_client):
    """
    Detaches a policy from a target.

    :param policy_id: The ID of the policy to detach.
    :param target_id: The ID of the resource where the policy is currently attached.
    :param orgs_client: The Boto3 Organizations client.
    """
    try:
        orgs_client.detach_policy(PolicyId=policy_id, TargetId=target_id)
        logger.info("Detached policy %s from target %s.", policy_id, target_id)
    except ClientError:
        logger.exception(
            "Couldn't detach policy %s from target %s.", policy_id, target_id
        )
        raise

  • Para API obtener más información, consulte DetachPolicyla AWS SDKreferencia de Python (Boto3). API

El cambio de política entra en vigor inmediatamente y afecta a los permisos de IAM los usuarios y las funciones de la cuenta adjunta o de todas las cuentas de la unidad organizativa o raíz adjunta