Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Obtenir des informations sur les politiques de votre organisation
Cette rubrique décrit les différentes méthodes permettant d'obtenir des informations détaillées sur les politiques de votre organisation. Ces procédures s'appliquent à tous les types de politiques. Vous devez activer un type de politique sur la racine de l'organisation avant de pouvoir attacher des politiques de ce type à des entités de cette racine d'organisation.
Liste de toutes les politiques
Pour répertorier les politiques au sein de votre organisation, vous devez disposer de l'autorisation suivante :
Vous pouvez consulter les politiques de votre organisation dans le AWS Management Console ou en utilisant un AWS Command Line Interface (AWS CLI) ou une commande AWS SDKopération.
Pour répertorier toutes les politiques votre organisation
-
Connectez-vous au AWS Organizations console. Vous devez vous connecter en tant qu'IAMutilisateur, assumer un IAM rôle ou vous connecter en tant qu'utilisateur root (ce n'est pas recommandé) dans le compte de gestion de l'organisation.
-
Sur la page Politiques, choisissez le type de politique que vous souhaitez répertorier.
Si le type de politique spécifié est activé, la console affiche la liste de toutes les politiques de ce type actuellement disponibles dans l'organisation.
-
Retournez à la page Politiques et répétez la procédure pour chaque type de politique.
Les exemples de code suivants montrent comment utiliserListPolicies.
- .NET
-
- AWS SDK for .NET
-
using System;
using System.Threading.Tasks;
using Amazon.Organizations;
using Amazon.Organizations.Model;
/// <summary>
/// Shows how to list the AWS Organizations policies associated with an
/// organization.
/// </summary>
public class ListPolicies
{
/// <summary>
/// Initializes an Organizations client object, and then calls its
/// ListPoliciesAsync method.
/// </summary>
public static async Task Main()
{
// Create the client object using the default account.
IAmazonOrganizations client = new AmazonOrganizationsClient();
// The value for the Filter parameter is required and must must be
// one of the following:
// AISERVICES_OPT_OUT_POLICY
// BACKUP_POLICY
// SERVICE_CONTROL_POLICY
// TAG_POLICY
var request = new ListPoliciesRequest
{
Filter = "SERVICE_CONTROL_POLICY",
MaxResults = 5,
};
var response = new ListPoliciesResponse();
try
{
do
{
response = await client.ListPoliciesAsync(request);
response.Policies.ForEach(p => DisplayPolicies(p));
if (response.NextToken is not null)
{
request.NextToken = response.NextToken;
}
}
while (response.NextToken is not null);
}
catch (AWSOrganizationsNotInUseException ex)
{
Console.WriteLine(ex.Message);
}
}
/// <summary>
/// Displays information about the Organizations policies associated
/// with an organization.
/// </summary>
/// <param name="policy">An Organizations policy summary to display
/// information on the console.</param>
private static void DisplayPolicies(PolicySummary policy)
{
string policyInfo = $"{policy.Id} {policy.Name}\t{policy.Description}";
Console.WriteLine(policyInfo);
}
}
- CLI
-
- AWS CLI
-
Pour récupérer la liste de toutes les politiques d'une organisation d'un certain type
L'exemple suivant montre comment obtenir une liste deSCPs, comme indiqué par le paramètre de filtre :
aws organizations list-policies --filter SERVICE_CONTROL_POLICY
Le résultat inclut une liste de politiques avec des informations récapitulatives :
{
"Policies": [
{
"Type": "SERVICE_CONTROL_POLICY",
"Name": "AllowAllS3Actions",
"AwsManaged": false,
"Id": "p-examplepolicyid111",
"Arn": "arn:aws:organizations::111111111111:policy/service_control_policy/p-examplepolicyid111",
"Description": "Enables account admins to delegate permissions for any S3 actions to users and roles in their accounts."
},
{
"Type": "SERVICE_CONTROL_POLICY",
"Name": "AllowAllEC2Actions",
"AwsManaged": false,
"Id": "p-examplepolicyid222",
"Arn": "arn:aws:organizations::111111111111:policy/service_control_policy/p-examplepolicyid222",
"Description": "Enables account admins to delegate permissions for any EC2 actions to users and roles in their accounts."
},
{
"AwsManaged": true,
"Description": "Allows access to every operation",
"Type": "SERVICE_CONTROL_POLICY",
"Id": "p-FullAWSAccess",
"Arn": "arn:aws:organizations::aws:policy/service_control_policy/p-FullAWSAccess",
"Name": "FullAWSAccess"
}
]
}
- Python
-
- SDKpour Python (Boto3)
-
def list_policies(policy_filter, orgs_client):
"""
Lists the policies for the account, limited to the specified filter.
:param policy_filter: The kind of policies to return.
:param orgs_client: The Boto3 Organizations client.
:return: The list of policies found.
"""
try:
response = orgs_client.list_policies(Filter=policy_filter)
policies = response["Policies"]
logger.info("Found %s %s policies.", len(policies), policy_filter)
except ClientError:
logger.exception("Couldn't get %s policies.", policy_filter)
raise
else:
return policies
Liste des politiques attachées à une racine, une unité d'organisation ou un compte
Pour répertorier les politiques qui sont attachées à une racine, une unité d'organisation ou un compte au sein de votre entreprise, vous devez disposer de l'autorisation suivante :
- AWS Management Console
-
Pour répertorier toutes les politiques qui sont attachées directement à une racine, une unité d'organisation ou un compte spécifié
-
Connectez-vous au AWS Organizations console. Vous devez vous connecter en tant qu'IAMutilisateur, assumer un IAM rôle ou vous connecter en tant qu'utilisateur root (ce n'est pas recommandé) dans le compte de gestion de l'organisation.
-
Dans la page Comptes AWSpage, choisissez le nom de la racine, de l'unité d'organisation ou du compte dont vous souhaitez consulter les politiques. Il se peut que vous deviez développer OUs (choisir le
) pour trouver l'unité d'organisation souhaitée.
-
Sur la page de la racine, de l'UO ou du compte, choisissez l'onglet Politiques.
L'onglet Politiques affiche toutes les politiques attachées à cette racine, cette UO ou ce compte, regroupées par type de politique.
- AWS CLI & AWS SDKs
-
Pour répertorier toutes les politiques qui sont attachées directement à une racine, une UO ou un compte spécifié
Vous pouvez utiliser l'une des commandes suivantes pour répertorier les politiques qui sont attachées à une entité :
-
AWS CLI: list-policies-for-target
L'exemple suivant répertorie toutes les politiques de contrôle des services attachées à l'unité d'organisation spécifiée. Vous devez spécifier à la fois l'ID de la racine, de l'unité d'organisation ou du compte et le type de politique que vous souhaitez répertorier.
$ aws organizations list-policies-for-target \
--target-id ou-a1b2-f6g7h222 \
--filter SERVICE_CONTROL_POLICY
{
"Policies": [
{
"Id": "p-FullAWSAccess",
"Arn": "arn:aws:organizations::aws:policy/service_control_policy/p-FullAWSAccess",
"Name": "FullAWSAccess",
"Description": "Allows access to every operation",
"Type": "SERVICE_CONTROL_POLICY",
"AwsManaged": true
}
]
}
-
AWS SDKs: ListPoliciesForTarget
Liste de toutes les OUs racines et de tous les comptes auxquels une politique est attachée
Pour répertorier les entités auxquelles une politique est attachée, vous devez disposer de l'autorisation suivante :
- AWS Management Console
-
Pour répertorier toutes les OUs racines et tous les comptes associés à une politique spécifiée
-
Connectez-vous au AWS Organizations console. Vous devez vous connecter en tant qu'IAMutilisateur, assumer un IAM rôle ou vous connecter en tant qu'utilisateur root (ce n'est pas recommandé) dans le compte de gestion de l'organisation.
-
Dans la page Politiques, choisissez le type de politique, puis choisissez le nom de la politique dont vous souhaitez examiner les attachements.
-
Choisissez l'onglet Cibles pour afficher une table de chaque racine, unité d'organisation et compte auxquels la politique choisie est attachée.
- AWS CLI & AWS SDKs
-
Pour répertorier toutes les OUs racines et tous les comptes associés à une politique spécifiée
Vous pouvez utiliser l'une des commandes suivantes pour répertorier les entités dotées d'une politique :
-
AWS CLI: list-targets-for-policy
L'exemple suivant montre toutes les pièces jointes à root et tient compte de la politique spécifiée. OUs
$ aws organizations list-targets-for-policy \
--policy-id p-FullAWSAccess
{
"Targets": [
{
"TargetId": "ou-a1b2-f6g7h111",
"Arn": "arn:aws:organizations::123456789012:ou/o-aa111bb222/ou-a1b2-f6g7h111",
"Name": "testou2",
"Type": "ORGANIZATIONAL_UNIT"
},
{
"TargetId": "ou-a1b2-f6g7h222",
"Arn": "arn:aws:organizations::123456789012:ou/o-aa111bb222/ou-a1b2-f6g7h222",
"Name": "testou1",
"Type": "ORGANIZATIONAL_UNIT"
},
{
"TargetId": "123456789012",
"Arn": "arn:aws:organizations::123456789012:account/o-aa111bb222/123456789012",
"Name": "My Management Account (bisdavid)",
"Type": "ACCOUNT"
},
{
"TargetId": "r-a1b2",
"Arn": "arn:aws:organizations::123456789012:root/o-aa111bb222/r-a1b2",
"Name": "Root",
"Type": "ROOT"
}
]
}
-
AWS SDKs: ListTargetsForPolicy
Obtention de détails sur une politique
Pour afficher les détails d'une politique, vous devez disposer de l'autorisation suivante :
Pour obtenir des détails sur une politique
-
Connectez-vous au AWS Organizations console. Vous devez vous connecter en tant qu'IAMutilisateur, assumer un IAM rôle ou vous connecter en tant qu'utilisateur root (ce n'est pas recommandé) dans le compte de gestion de l'organisation.
-
Dans la page Politiques, choisissez le type de politique de la politique à examiner, puis choisissez le nom de la politique.
La page de stratégie affiche les informations disponibles sur la stratégie, notamment sa ARN description et les cibles associées.
-
L'onglet Contenu affiche le contenu actuel de la politique sous JSON forme de format.
-
L'onglet Cibles affiche la liste des racines et des comptes auxquels la politique est attachée. OUs
-
L'onglet Balises affiche les balises attachées à la politique. Remarque : l'onglet Tags n'est pas disponible pour AWS
politiques gérées.
Pour modifier la politique, choisissez Modifier la politique. Étant donné que chaque type de politique a des exigences de mise à jour différentes, reportez-vous aux instructions de création et de mise à jour des politiques du type de politique spécifié.
Les exemples de code suivants montrent comment utiliserDescribePolicy.
- CLI
-
- AWS CLI
-
Pour obtenir des informations sur une politique
L'exemple suivant montre comment demander des informations sur une politique :
aws organizations describe-policy --policy-id p-examplepolicyid111
La sortie inclut un objet de stratégie qui contient des détails sur la stratégie :
{
"Policy": {
"Content": "{\n \"Version\": \"2012-10-17\",\n \"Statement\": [\n {\n \"Effect\": \"Allow\",\n \"Action\": \"*\",\n \"Resource\": \"*\"\n }\n ]\n}",
"PolicySummary": {
"Arn": "arn:aws:organizations::111111111111:policy/o-exampleorgid/service_control_policy/p-examplepolicyid111",
"Type": "SERVICE_CONTROL_POLICY",
"Id": "p-examplepolicyid111",
"AwsManaged": false,
"Name": "AllowAllS3Actions",
"Description": "Enables admins to delegate S3 permissions"
}
}
}
- Python
-
- SDKpour Python (Boto3)
-
def describe_policy(policy_id, orgs_client):
"""
Describes a policy.
:param policy_id: The ID of the policy to describe.
:param orgs_client: The Boto3 Organizations client.
:return: The description of the policy.
"""
try:
response = orgs_client.describe_policy(PolicyId=policy_id)
policy = response["Policy"]
logger.info("Got policy %s.", policy_id)
except ClientError:
logger.exception("Couldn't get policy %s.", policy_id)
raise
else:
return policy
