Création d'une politique de désactivation des services IA Mise à jour d'une politique de désactivation des services IA Modification des balises attachées à une politique de désactivation des services IA Suppression d'une politique de désactivation des services IA

Création, mise à jour et suppression de politiques de désactivation des services IA

Dans cette rubrique :

Après avoir activé les politiques de désactivation des services IA pour votre organisation, vous pouvez créer une politique.
Lorsque vos exigences de désactivation changent, vous pouvez mettre à jour une politique existante.
Lorsque vous n'avez plus besoin d'une politique et que vous l'avez détachée de toutes les UO et de tous les comptes, vous pouvez la supprimer.

Création d'une politique de désactivation des services IA

Autorisations minimales

Pour créer une politique de désactivation des services IA, vous devez disposer de l'autorisation d'exécuter l'action suivante :

organizations:CreatePolicy

AWS Management Console

Pour créer une politique de désactivation des services IA

Connectez-vous à la console AWS Organizations. Vous devez vous connecter en tant qu'utilisateur IAM, assumer un rôle IAM ou vous connecter en tant qu'utilisateur racine (non recommandé) dans le compte de gestion de l'organisation.
Sur la page Politiques de désactivation des services IA choisissez Créer une politique.
Dans la page Créer une politique de désactivation des services IA, saisissez un Nom de politique et éventuellement une description de la politique.
(Facultatif) Vous pouvez ajouter une ou plusieurs balises à la politique en choisissant Ajouter une balise, puis en saisissant une clé et éventuellement une valeur. Laisser la valeur vide la définit à une chaîne vide ; elle ne prend pas la valeur null. Vous pouvez attacher jusqu'à 50 balises à une politique. Pour de plus amples informations, consultez Balisage de ressources AWS Organizations.
Saisissez ou collez le texte de la politique dans l'onglet JSON. Pour plus d'informations sur la syntaxe des politiques de désactivation des services IA, consultez Syntaxe des politiques de désactivation des services IA et exemples. Pour obtenir des exemples de politiques que vous pouvez utiliser comme point de départ, consultez Exemples de politique de désactivation des services IA.
Lorsque vous avez terminé la modification de votre politique, choisissez Créer la politique dans l'angle inférieur droit de la page.

AWS CLI & AWS SDKs

Pour créer une politique de désactivation des services IA

Vous pouvez utiliser l'une des commandes suivantes pour créer une politique de balises :

AWS CLI : create-policy

Créez une politique de désactivation des services IA comme ci-dessous et stockez-la dans un fichier texte. Notez que « optOut » et « optIn » sont sensibles à la casse.
```
{
    "services": {
        "default": {
            "opt_out_policy": {
                "@@assign": "optOut"
            }
        },
        "rekognition": {
            "opt_out_policy": {
                "@@assign": "optIn"
            }
        }
    }
}
```
Cette politique de désactivation des services IA spécifie que tous les comptes concernés par la politique sont exclus de tous les services IA, à l'exception d'Amazon Rekognition.

Importez le fichier de politique JSON pour créer une nouvelle politique dans l'organisation. Dans cet exemple, le fichier JSON précédent était nommé policy.json.


$ aws organizations create-policy \
    --type AISERVICES_OPT_OUT_POLICY \
    --name "MyTestPolicy" \
    --description "My test policy" \
    --content file://policy.json
{
    "Policy": {
        "Content": "{\"services\":{\"default\":{\"opt_out_policy\":{\"@@assign\":\"optOut\"}},\"rekognition\":{\"opt_out_policy\":{\"@@assign\":\"optIn\"}}}}",
        "PolicySummary": {
            "Id": "p-i9j8k7l6m5"
            "Arn": "arn:aws:organizations::o-aa111bb222:policy/aiservices_opt_out_policy/p-i9j8k7l6m5",
            "Description": "My test policy",
            "Name": "MyTestPolicy",
            "Type": "AISERVICES_OPT_OUT_POLICY"
        }
    }
}

AWS SDK : CreatePolicy

Suite des opérations

Une fois que vous avez créé une politique de désactivation des services IA, vous pouvez mettre en œuvre vos choix de désactivation. Pour ce faire, vous pouvez associer la politique à la racine de l'organisation, aux unités organisationnelles (UO), Comptes AWS au sein de votre organisation, ou à une combinaison de ces éléments.

Mise à jour d'une politique de désactivation des services IA

Autorisations minimales

Pour mettre à jour une politique de désactivation des services IA, vous devez avoir l'autorisation d'effectuer les actions suivantes :

organizations:UpdatePolicy avec un élément Resource dans la même instruction de politique que celle qui inclut le nom ARN de la politique spécifiée (ou « * »).
organizations:DescribePolicy avec un élément Resource dans la même instruction de politique que celle qui inclut l''Amazon Resource Name (ARN) de la politique spécifiée (ou « * »).

AWS Management Console

Pour mettre à jour une politique de désactivation des services IA

Connectez-vous à la console AWS Organizations. Vous devez vous connecter en tant qu'utilisateur IAM, assumer un rôle IAM ou vous connecter en tant qu'utilisateur racine (non recommandé) dans le compte de gestion de l'organisation.
Sur la page Politiques de désactivation des services IA, choisissez le nom de la politique que vous souhaitez mettre à jour.
Sur la page de détails de la politique, choisissez Modifier la politique.
Vous pouvez saisir un nouveau Nom de la politique, une Description de la politique ou modifier le texte de politique JSON. Pour plus d'informations sur la syntaxe des politiques de désactivation des services IA, consultez Syntaxe des politiques de désactivation des services IA et exemples. Pour obtenir des exemples de politiques que vous pouvez utiliser comme point de départ, consultez Exemples de politique de désactivation des services IA.
Lorsque vous avez terminé de mettre à jour la politique, choisissez Enregistrer les modifications.

AWS CLI & AWS SDKs

Pour mettre à jour une politique

Vous pouvez utiliser l'une des méthodes suivantes pour mettre à jour une politique :

AWS CLI : update-policy

L'exemple suivant renomme une politique de désactivation des services IA.


$ aws organizations update-policy \
    --policy-id p-i9j8k7l6m5 \
    --name "Renamed policy"
{
    "Policy": {
        "PolicySummary": {
            "Id": "p-i9j8k7l6m5",
            "Arn": "arn:aws:organizations::123456789012:policy/o-aa111bb222/aiservices_opt_out_policy/p-i9j8k7l6m5",
            "Name": "Renamed policy",
            "Type": "AISERVICES_OPT_OUT_POLICY",
            "AwsManaged": false
        },
        "Content": "{\"services\":{\"default\":{\"opt_out_policy\":   ....TRUNCATED FOR BREVITY...   :{\"@@assign\":\"optIn\"}}}}"
    }
}

L'exemple suivant montre comment ajouter ou modifier la description d'une politique de désactivation des services IA.


$ aws organizations update-policy \
    --policy-id p-i9j8k7l6m5 \
    --description "My new description"
{
    "Policy": {
        "PolicySummary": {
            "Id": "p-i9j8k7l6m5",
            "Arn": "arn:aws:organizations::123456789012:policy/o-aa111bb222/aiservices_opt_out_policy/p-i9j8k7l6m5",
            "Name": "Renamed policy",
            "Description": "My new description",
            "Type": "AISERVICES_OPT_OUT_POLICY",
            "AwsManaged": false
        },
        "Content": "{\"services\":{\"default\":{\"opt_out_policy\":   ....TRUNCATED FOR BREVITY...   :{\"@@assign\":\"optIn\"}}}}"
    }
}

L'exemple suivant modifie le document de politique JSON attaché à une politique de désactivation des services IA. Dans cet exemple, le contenu est extrait d'un fichier appelé policy.json et contenant le texte suivant :


{
    "services": {
        "default": {
            "opt_out_policy": {
                "@@assign": "optOut"
            }
        },
        "comprehend": {
            "opt_out_policy": {
                "@@operators_allowed_for_child_policies": ["@@none"],
                "@@assign": "optOut"
            }
        },
        "rekognition": {
            "opt_out_policy": {
                "@@assign": "optIn"
            }
        }
    }
}


$ aws organizations update-policy \
    --policy-id p-i9j8k7l6m5 \
    --content file://policy.json
{
    "Policy": {
        "PolicySummary": {
            "Id": "p-i9j8k7l6m5",
            "Arn": "arn:aws:organizations::123456789012:policy/o-aa111bb222/aiservices_opt_out_policy/p-i9j8k7l6m5",
            "Name": "Renamed policy",
            "Description": "My new description",
            "Type": "AISERVICES_OPT_OUT_POLICY",
            "AwsManaged": false
        },
         "Content": "{\n\"services\": {\n\"default\": {\n\"   ....TRUNCATED FOR BREVITY....    ": \"optIn\"\n}\n}\n}\n}\n"}
}

AWS SDK : UpdatePolicy

Modification des balises attachées à une politique de désactivation des services IA

Lorsque vous vous connectez au compte de gestion de votre organisation, vous pouvez ajouter ou supprimer les balises attachées à une politique de désinscription des services IA. Pour plus d’informations sur le balisage, consultez Balisage de ressources AWS Organizations.

Autorisations minimales

Pour modifier les balises attachées à une politique de désactivation des services IA dans votre organisation AWS , vous devez disposer des autorisations suivantes :

organizations:DescribeOrganization — requis uniquement si vous utilisez la console Organizations
organizations:DescribePolicy — requis uniquement si vous utilisez la console Organizations
organizations:TagResource
organizations:UntagResource

AWS Management Console

Pour modifier les balises attachées à une politique de désactivation des services IA

Connectez-vous à la console AWS Organizations. Vous devez vous connecter en tant qu'utilisateur IAM, assumer un rôle IAM ou vous connecter en tant qu'utilisateur racine (non recommandé) dans le compte de gestion de l'organisation.
Dans la page Politiques de désactivation des services IA, choisissez le nom de la politique à laquelle sont attachées les balises que vous souhaitez modifier.
Sur la page de détails de la politique choisie, choisissez l'onglet Balises, puis Gérer les balises.
Vous pouvez effectuer l'une des actions suivantes sur cette page :
- Modifiez la valeur d'une balise en entrant une nouvelle valeur en remplacement de l'ancienne. Vous ne pouvez pas modifier la clé. Pour changer une clé, vous devez supprimer la balise avec l'ancienne clé et ajouter une balise avec la nouvelle clé.
- Vous pouvez supprimer une balise existante en choisissant Supprimer.
- Ajoutez une nouvelle paire clé/valeur de balise. Choisissez Ajouter une balise, puis entrez le nouveau nom de la clé et éventuellement une valeur dans les champs prévus. Si vous laissez vide le champ Valeur, la valeur est une chaîne vide ; elle ne prend pas la valeur null.
Choisissez Enregistrer les modifications une fois que vous avez effectué tous les ajouts, suppressions et modifications que vous souhaitez.

AWS CLI & AWS SDKs

Pour modifier les balises attachées à une politique de désactivation des services IA

Vous pouvez utiliser l'une des commandes suivantes pour modifier les balises attachées à une politique de désactivation des services IA :

AWS CLI : tag-resource et untag-resource
AWS SDK : TagResourceet UntagResource

Suppression d'une politique de désactivation des services IA

Quand vous êtes connecté au compte de gestion de votre organisation, vous pouvez supprimer une politique dont vous n'avez plus besoin dans votre organisation.

Avant de supprimer une politique, vous devez d'abord la détacher de toutes les entités attachées.

Autorisations minimales

Pour supprimer une politique, vous devez avoir l'autorisation d'effectuer l'action suivante :

organizations:DescribePolicy (console uniquement — pour accéder à la politique)
organizations:DeletePolicy

Pour supprimer une politique de désactivation des services IA

Connectez-vous à la console AWS Organizations. Vous devez vous connecter en tant qu'utilisateur IAM, assumer un rôle IAM ou vous connecter en tant qu'utilisateur racine (non recommandé) dans le compte de gestion de l'organisation.
Sur la page Politiques de désactivation des services IA, choisissez le nom de la politique que vous souhaitez supprimer.
La politique à supprimer doit d'abord être détachée de l'ensemble des racines, unités d'organisation et comptes. Choisissez l'onglet Cibles, cochez la case d'option en regard de chaque racine, unité d'organisation ou compte affiché dans la liste Cibles, puis choisissez Détacher. Dans la boîte de dialogue de confirmation, choisissez Détacher. Répétez l'opération jusqu'à ce que toutes les cibles soient supprimées.
En haut de la page, choisissez Supprimer.
Dans la boîte de dialogue de confirmation, saisissez le nom de la politique, puis choisissez Supprimer.

Pour supprimer une politique de désinscription des services d'IA

Les exemples de code suivants montrent comment utiliserDeletePolicy.

.NET

AWS SDK for .NET

Note

Il y en a plus à ce sujet GitHub. Trouvez l'exemple complet et découvrez comment le configurer et l'exécuter dans le référentiel d'exemples de code AWS.


    using System;
    using System.Threading.Tasks;
    using Amazon.Organizations;
    using Amazon.Organizations.Model;

    /// <summary>
    /// Deletes an existing AWS Organizations policy.
    /// </summary>
    public class DeletePolicy
    {
        /// <summary>
        /// Initializes the Organizations client object and then uses it to
        /// delete the policy with the specified policyId.
        /// </summary>
        public static async Task Main()
        {
            // Create the client object using the default account.
            IAmazonOrganizations client = new AmazonOrganizationsClient();

            var policyId = "p-00000000";

            var request = new DeletePolicyRequest
            {
                PolicyId = policyId,
            };

            var response = await client.DeletePolicyAsync(request);

            if (response.HttpStatusCode == System.Net.HttpStatusCode.OK)
            {
                Console.WriteLine($"Successfully deleted Policy: {policyId}.");
            }
            else
            {
                Console.WriteLine($"Could not delete Policy: {policyId}.");
            }
        }
    }

Pour plus de détails sur l'API, reportez-vous DeletePolicyà la section Référence des AWS SDK for .NET API.

CLI

AWS CLI

Pour supprimer une politique

L'exemple suivant montre comment supprimer une politique d'une organisation. L'exemple suppose que vous avez précédemment détaché la politique de toutes les entités :


aws organizations delete-policy --policy-id p-examplepolicyid111

Pour plus de détails sur l'API, reportez-vous DeletePolicyà la section Référence des AWS CLI commandes.

Python

SDK pour Python (Boto3)

Note

Il y en a plus à ce sujet GitHub. Trouvez l'exemple complet et découvrez comment le configurer et l'exécuter dans le référentiel d'exemples de code AWS.


def delete_policy(policy_id, orgs_client):
    """
    Deletes a policy.

    :param policy_id: The ID of the policy to delete.
    :param orgs_client: The Boto3 Organizations client.
    """
    try:
        orgs_client.delete_policy(PolicyId=policy_id)
        logger.info("Deleted policy %s.", policy_id)
    except ClientError:
        logger.exception("Couldn't delete policy %s.", policy_id)
        raise

Pour plus de détails sur l'API, consultez DeletePolicyle AWS manuel de référence de l'API SDK for Python (Boto3).

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Politiques de désactivation des services IA

Attachement et détachement