Attachement d'une politique de sauvegarde Détachement d'une politique de sauvegarde

Attachement et détachement de politiques de sauvegarde

Vous pouvez utiliser des politiques de sauvegarde sur l'ensemble d'une organisation, ainsi que sur des unités organisationnelles (OUs) et des comptes individuels. Gardez les points suivants à l'esprit :

Lorsque vous associez une politique de sauvegarde à la racine de votre organisation, elle s'applique à tous les membres OUs et comptes de cette racine.
Lorsque vous associez une politique de sauvegarde à une unité d'organisation, cette politique s'applique aux comptes appartenant à l'unité d'organisation ou à l'un de ses enfantsOUs. Ces comptes sont également soumis à toutes les politiques attachées à la racine de l'organisation.
Lorsque vous attachez une politique de sauvegarde à un compte, cette politique s'applique uniquement à ce compte. Le compte est également soumis à toute politique attachée à la racine de l'organisation et à toute politique à OUs laquelle le compte appartient.

L'agrégation de toutes les politiques de sauvegarde dont le compte hérite de la racine et du parentOUs, ainsi que de toutes les politiques directement associées au compte, constitue la stratégie efficace. Pour de plus amples informations sur la façon dont les politiques sont fusionnées pour constituer la politique effective, consultez Fonctionnement de l'héritage des politiques de gestion.

Attachement d'une politique de sauvegarde

Lorsque vous êtes connecté au compte de gestion de votre organisation, vous pouvez attacher une politique de sauvegarde à la racine, à l'UO ou directement à un compte de l'organisation.

Autorisations minimales

Pour attacher des politiques de sauvegarde, vous devez avoir l'autorisation d'exécuter l'action suivante :

organizations:AttachPolicy

Vous pouvez attacher une politique de sauvegarde en accédant à la politique ou à la racine, à l'unité d'organisation ou au compte auquel vous souhaitez attacher la politique.

Pour attacher une politique de sauvegarde en accédant à la racine, à l'unité d'organisation ou au compte

Connectez-vous à la console AWS Organizations. Vous devez vous connecter en tant qu'IAMutilisateur, assumer un IAM rôle ou vous connecter en tant qu'utilisateur root (ce n'est pas recommandé) dans le compte de gestion de l'organisation.
Dans la page Comptes AWS, accédez au nom de la racine, de l'unité d'organisation ou du compte auquel vous souhaitez attacher une politique et choisissez ce nom. Vous devrez peut-être développer OUs (choisir le ) pour trouver l'unité d'organisation ou le compte de votre choix.
Dans l'onglet Politiques, dans Politiques de sauvegarde, choisissez Attacher.
Recherchez la politique souhaitée et choisissez Attacher la politique.

La liste des politiques de sauvegarde attachées sur l'onglet Politiques est mise à jour pour inclure le nouvel ajout. La modification de la politique prend effet immédiatement.

Pour attacher une politique de sauvegarde en accédant à la politique

Connectez-vous à la console AWS Organizations. Vous devez vous connecter en tant qu'IAMutilisateur, assumer un IAM rôle ou vous connecter en tant qu'utilisateur root (ce n'est pas recommandé) dans le compte de gestion de l'organisation.
Sur la page Politiques de sauvegarde, choisissez le nom de la politique que vous souhaitez attacher.
Dans l'onglet Cibles, choisissez Attacher.
Choisissez la case d'option en regard de la racine, de l'unité d'organisation ou du compte auquel vous souhaitez attacher la politique. Vous devrez peut-être développer OUs (choisir le ) pour trouver l'unité d'organisation ou le compte de votre choix.
Choisissez Attacher la politique.

La liste des politiques de sauvegarde attachées sur l'onglet Cibles est mise à jour pour inclure le nouvel ajout. La modification de la politique prend effet immédiatement.

Pour associer une politique de sauvegarde à la racine, à l'unité d'organisation ou au compte de l'organisation

Les exemples de code suivants montrent comment utiliserAttachPolicy.

.NET

AWS SDK for .NET

Note

Il y en a plus à ce sujet GitHub. Trouvez l'exemple complet et découvrez comment le configurer et l'exécuter dans le référentiel d'exemples de code AWS.


    using System;
    using System.Threading.Tasks;
    using Amazon.Organizations;
    using Amazon.Organizations.Model;

    /// <summary>
    /// Shows how to attach an AWS Organizations policy to an organization,
    /// an organizational unit, or an account.
    /// </summary>
    public class AttachPolicy
    {
        /// <summary>
        /// Initializes the Organizations client object and then calls the
        /// AttachPolicyAsync method to attach the policy to the root
        /// organization.
        /// </summary>
        public static async Task Main()
        {
            IAmazonOrganizations client = new AmazonOrganizationsClient();
            var policyId = "p-00000000";
            var targetId = "r-0000";

            var request = new AttachPolicyRequest
            {
                PolicyId = policyId,
                TargetId = targetId,
            };

            var response = await client.AttachPolicyAsync(request);

            if (response.HttpStatusCode == System.Net.HttpStatusCode.OK)
            {
                Console.WriteLine($"Successfully attached Policy ID {policyId} to Target ID: {targetId}.");
            }
            else
            {
                Console.WriteLine("Was not successful in attaching the policy.");
            }
        }
    }

Pour API plus de détails, voir AttachPolicyla section AWS SDK for .NET APIRéférence.

CLI

AWS CLI

Pour associer une politique à une racine, une unité d'organisation ou un compte

Exemple 1

L'exemple suivant montre comment associer une politique de contrôle des services (SCP) à une unité d'organisation :


aws organizations attach-policy
                --policy-id p-examplepolicyid111
                --target-id ou-examplerootid111-exampleouid111

Exemple 2

L'exemple suivant montre comment associer une politique de contrôle des services directement à un compte :


aws organizations attach-policy
                --policy-id p-examplepolicyid111
                --target-id 333333333333

Pour API plus de détails, voir AttachPolicyla section Référence des AWS CLI commandes.

Python

SDKpour Python (Boto3)

Note

Il y en a plus à ce sujet GitHub. Trouvez l'exemple complet et découvrez comment le configurer et l'exécuter dans le référentiel d'exemples de code AWS.


def attach_policy(policy_id, target_id, orgs_client):
    """
    Attaches a policy to a target. The target is an organization root, account, or
    organizational unit.

    :param policy_id: The ID of the policy to attach.
    :param target_id: The ID of the resources to attach the policy to.
    :param orgs_client: The Boto3 Organizations client.
    """
    try:
        orgs_client.attach_policy(PolicyId=policy_id, TargetId=target_id)
        logger.info("Attached policy %s to target %s.", policy_id, target_id)
    except ClientError:
        logger.exception(
            "Couldn't attach policy %s to target %s.", policy_id, target_id
        )
        raise

Pour API plus de détails, reportez-vous AttachPolicyà la section AWS SDKpour la référence Python (Boto3). API

Le changement de politique prend effet immédiatement

Détachement d'une politique de sauvegarde

Lorsque vous êtes connecté au compte de gestion de votre organisation, vous pouvez détacher une politique de sauvegarde de la racine de l'organisation, de l'UO ou du compte auquel celle-ci est attachée. Une fois que vous avez détaché une politique de sauvegarde d'une entité, cette politique ne s'applique plus à aucun compte qui était affecté par celle-ci. Pour détacher une politique, effectuez les opérations suivantes.

Autorisations minimales

Pour détacher une politique de sauvegarde de la racine de l'organisation, de l'UO ou du compte, vous devez être autorisé à exécuter l'action suivante :

organizations:DetachPolicy

Vous pouvez détacher une politique de sauvegarde en accédant à la politique ou à la racine, à l'unité d'organisation ou au compte dont vous souhaitez détacher la politique.

Pour détacher une politique de sauvegarde en accédant à la racine, à l'unité d'organisation ou au compte auquel elle est attachée

Connectez-vous à la console AWS Organizations. Vous devez vous connecter en tant qu'IAMutilisateur, assumer un IAM rôle ou vous connecter en tant qu'utilisateur root (ce n'est pas recommandé) dans le compte de gestion de l'organisation.
Dans la page Comptes AWS, accédez à la racine, à l'unité d'organisation ou au compte dont vous souhaitez détacher une politique. Vous devrez peut-être développer OUs (choisir le ) pour trouver l'unité d'organisation ou le compte de votre choix. Choisissez le nom de la racine, de l'unité d'organisation ou du compte.
Dans l'onglet Politiques, choisissez la case d'option en regard de la politique de sauvegarde à détacher, puis choisissez Détacher.
Dans la boîte de dialogue de confirmation, choisissez Détacher la politique.

La liste des politiques de sauvegarde attachées est mise à jour. La modification de la politique prend effet immédiatement.

Pour détacher une politique de sauvegarde en accédant à la politique

Connectez-vous à la console AWS Organizations. Vous devez vous connecter en tant qu'IAMutilisateur, assumer un IAM rôle ou vous connecter en tant qu'utilisateur root (ce n'est pas recommandé) dans le compte de gestion de l'organisation.
Dans la page Politiques de sauvegarde, choisissez le nom de la politique que vous souhaitez détacher d'une racine, d'une unité d'organisation ou d'un compte.
Dans la page Cibles, choisissez la case d'option en regard de la racine, de l'unité d'organisation ou du compte dont vous souhaitez détacher la politique. Vous devrez peut-être développer OUs (choisir le ) pour trouver l'unité d'organisation ou le compte de votre choix.
Choisissez Détacher.
Dans la boîte de dialogue de confirmation, choisissez Détacher.

La liste des politiques de sauvegarde attachées est mise à jour. La modification de la politique prend effet immédiatement.

Pour détacher une politique de sauvegarde de la racine, de l'unité d'organisation ou du compte de l'organisation

Les exemples de code suivants montrent comment utiliserDetachPolicy.

.NET

AWS SDK for .NET

Note

Il y en a plus à ce sujet GitHub. Trouvez l'exemple complet et découvrez comment le configurer et l'exécuter dans le référentiel d'exemples de code AWS.


    using System;
    using System.Threading.Tasks;
    using Amazon.Organizations;
    using Amazon.Organizations.Model;

    /// <summary>
    /// Shows how to detach a policy from an AWS Organizations organization,
    /// organizational unit, or account.
    /// </summary>
    public class DetachPolicy
    {
        /// <summary>
        /// Initializes the Organizations client object and uses it to call
        /// DetachPolicyAsync to detach the policy.
        /// </summary>
        public static async Task Main()
        {
            // Create the client object using the default account.
            IAmazonOrganizations client = new AmazonOrganizationsClient();

            var policyId = "p-00000000";
            var targetId = "r-0000";

            var request = new DetachPolicyRequest
            {
                PolicyId = policyId,
                TargetId = targetId,
            };

            var response = await client.DetachPolicyAsync(request);

            if (response.HttpStatusCode == System.Net.HttpStatusCode.OK)
            {
                Console.WriteLine($"Successfully detached policy with Policy Id: {policyId}.");
            }
            else
            {
                Console.WriteLine("Could not detach the policy.");
            }
        }
    }

Pour API plus de détails, voir DetachPolicyla section AWS SDK for .NET APIRéférence.

CLI

AWS CLI

Pour détacher une politique d'une racine, d'une unité d'organisation ou d'un compte

L'exemple suivant montre comment détacher une politique d'une unité d'organisation :


aws organizations  detach-policy  --target-id ou-examplerootid111-exampleouid111 --policy-id p-examplepolicyid111

Pour API plus de détails, voir DetachPolicyla section Référence des AWS CLI commandes.

Python

SDKpour Python (Boto3)

Note

Il y en a plus à ce sujet GitHub. Trouvez l'exemple complet et découvrez comment le configurer et l'exécuter dans le référentiel d'exemples de code AWS.


def detach_policy(policy_id, target_id, orgs_client):
    """
    Detaches a policy from a target.

    :param policy_id: The ID of the policy to detach.
    :param target_id: The ID of the resource where the policy is currently attached.
    :param orgs_client: The Boto3 Organizations client.
    """
    try:
        orgs_client.detach_policy(PolicyId=policy_id, TargetId=target_id)
        logger.info("Detached policy %s from target %s.", policy_id, target_id)
    except ClientError:
        logger.exception(
            "Couldn't detach policy %s from target %s.", policy_id, target_id
        )
        raise

Pour API plus de détails, reportez-vous DetachPolicyà la section AWS SDKpour la référence Python (Boto3). API

La modification de la politique prend effet immédiatement.

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Création, mise à jour et suppression

Affichage des politiques de sauvegarde effectives