Dissocier les politiques de l'organisation avec AWS Organizations

Cette rubrique décrit comment détacher les politiques avec AWS Organizations. Une politique définit les contrôles que vous souhaitez appliquer à un groupe de Comptes AWS. AWS Organizations prend en charge les politiques de gestion et les politiques d'autorisation.

Rubriques

Détachez les politiques avec AWS Organizations

Détachez les politiques avec AWS Organizations

Autorisations minimales

Pour dissocier une politique de la racine, de l'unité d'organisation ou du compte de l'organisation, vous devez être autorisé à exécuter l'action suivante :

organizations:DetachPolicy

Note

Vous ne pouvez pas détacher le dernier SCP d'une racine, d'une unité d'organisation ou d'un compte. Il doit y en avoir au moins un SCP attaché à chaque racine, unité d'organisation et compte à tout moment.

Service control policies (SCPs)

Vous pouvez en détacher une SCP en accédant à la politique ou à la racine, à l'unité d'organisation ou au compte dont vous souhaitez détacher la politique.

Pour détacher un utilisateur SCP en accédant à la racine, à l'UO ou au compte auquel il est attaché

Connectez-vous à la console AWS Organizations. Vous devez vous connecter en tant qu'IAMutilisateur, assumer un IAM rôle ou vous connecter en tant qu'utilisateur root (ce n'est pas recommandé) dans le compte de gestion de l'organisation.
Dans la page Comptes AWS, accédez à la racine, à l'unité d'organisation ou au compte dont vous souhaitez détacher une politique. Vous devrez peut-être développer OUs (choisir le ) pour trouver l'unité d'organisation ou le compte de votre choix. Choisissez le nom de la racine, de l'unité d'organisation ou du compte.
Dans l'onglet Politiques, cliquez sur le bouton radio à côté de SCP celui que vous souhaitez détacher, puis choisissez Détacher.
Dans la boîte de dialogue de confirmation, choisissez Détacher la politique.

La liste des pièces jointes SCPs est mise à jour. Le changement de politique provoqué par le détachement SCP prend effet immédiatement. Par exemple, le fait de détacher un affecte SCP immédiatement les autorisations des IAM utilisateurs et des rôles du compte ou des comptes associés à l'organisation racine ou à l'unité d'organisation précédemment rattachée.

Pour détacher un homme SCP en accédant à la politique

Connectez-vous à la console AWS Organizations. Vous devez vous connecter en tant qu'IAMutilisateur, assumer un IAM rôle ou vous connecter en tant qu'utilisateur root (ce n'est pas recommandé) dans le compte de gestion de l'organisation.
Dans la page Politiques de contrôle des services, choisissez le nom de la politique que vous souhaitez détacher d'une racine, d'une unité d'organisation ou d'un compte.
Dans la page Cibles, choisissez la case d'option en regard de la racine, de l'unité d'organisation ou du compte dont vous souhaitez détacher la politique. Vous devrez peut-être développer OUs (choisir le ) pour trouver l'unité d'organisation ou le compte de votre choix.
Choisissez Détacher.
Dans la boîte de dialogue de confirmation, choisissez Détacher.

La liste des pièces jointes SCPs est mise à jour. Le changement de politique provoqué par le détachement SCP prend effet immédiatement. Par exemple, le fait de détacher un affecte SCP immédiatement les autorisations des IAM utilisateurs et des rôles du compte ou des comptes associés à l'organisation racine ou à l'unité d'organisation précédemment rattachée.

Backup policies

Vous pouvez détacher une politique de sauvegarde en accédant à la politique ou à la racine, à l'unité d'organisation ou au compte dont vous souhaitez détacher la politique.

Pour détacher une politique de sauvegarde en accédant à la racine, à l'unité d'organisation ou au compte auquel elle est attachée

Connectez-vous à la console AWS Organizations. Vous devez vous connecter en tant qu'IAMutilisateur, assumer un IAM rôle ou vous connecter en tant qu'utilisateur root (ce n'est pas recommandé) dans le compte de gestion de l'organisation.
Dans la page Comptes AWS, accédez à la racine, à l'unité d'organisation ou au compte dont vous souhaitez détacher une politique. Vous devrez peut-être développer OUs (choisir le ) pour trouver l'unité d'organisation ou le compte de votre choix. Choisissez le nom de la racine, de l'unité d'organisation ou du compte.
Dans l'onglet Politiques, choisissez la case d'option en regard de la politique de sauvegarde à détacher, puis choisissez Détacher.
Dans la boîte de dialogue de confirmation, choisissez Détacher la politique.

La liste des politiques de sauvegarde attachées est mise à jour. La modification de la politique prend effet immédiatement.

Pour détacher une politique de sauvegarde en accédant à la politique

Connectez-vous à la console AWS Organizations. Vous devez vous connecter en tant qu'IAMutilisateur, assumer un IAM rôle ou vous connecter en tant qu'utilisateur root (ce n'est pas recommandé) dans le compte de gestion de l'organisation.
Dans la page Politiques de sauvegarde, choisissez le nom de la politique que vous souhaitez détacher d'une racine, d'une unité d'organisation ou d'un compte.
Dans la page Cibles, choisissez la case d'option en regard de la racine, de l'unité d'organisation ou du compte dont vous souhaitez détacher la politique. Vous devrez peut-être développer OUs (choisir le ) pour trouver l'unité d'organisation ou le compte de votre choix.
Choisissez Détacher.
Dans la boîte de dialogue de confirmation, choisissez Détacher.

La liste des politiques de sauvegarde attachées est mise à jour. La modification de la politique prend effet immédiatement.

Tag policies

Vous pouvez détacher une politique de balises en accédant à la politique ou à la racine, à l'unité d'organisation ou au compte dont vous souhaitez détacher la politique.

Pour détacher une politique de balises en accédant à la racine, à l'unité d'organisation ou au compte auquel elle est attachée

Connectez-vous à la console AWS Organizations. Vous devez vous connecter en tant qu'IAMutilisateur, assumer un IAM rôle ou vous connecter en tant qu'utilisateur root (ce n'est pas recommandé) dans le compte de gestion de l'organisation.
Dans la page Comptes AWS, accédez à la racine, à l'unité d'organisation ou au compte dont vous souhaitez détacher une politique. Vous devrez peut-être développer OUs (choisir le ) pour trouver l'unité d'organisation ou le compte de votre choix. Choisissez le nom de la racine, de l'unité d'organisation ou du compte.
Dans l'onglet Politiques, choisissez la case d'option en regard de la politique de balises à détacher, puis choisissez Détacher.
Dans la boîte de dialogue de confirmation, choisissez Détacher la politique.

La liste des politiques de balises attachées est mise à jour. La modification de la politique prend effet immédiatement.

Pour détacher une politique de balises en accédant à la politique

Connectez-vous à la console AWS Organizations. Vous devez vous connecter en tant qu'IAMutilisateur, assumer un IAM rôle ou vous connecter en tant qu'utilisateur root (ce n'est pas recommandé) dans le compte de gestion de l'organisation.
Dans la page Politiques de balises, choisissez le nom de la politique que vous souhaitez détacher d'une racine, d'une unité d'organisation ou d'un compte.
Dans la page Cibles, choisissez la case d'option en regard de la racine, de l'unité d'organisation ou du compte dont vous souhaitez détacher la politique. Vous devrez peut-être développer OUs (choisir le ) pour trouver l'unité d'organisation ou le compte de votre choix.
Choisissez Détacher.
Dans la boîte de dialogue de confirmation, choisissez Détacher.

La liste des politiques de balises attachées est mise à jour. La modification de la politique prend effet immédiatement.

Chatbot policies

Vous pouvez détacher une politique de chatbot en accédant à la politique ou à la racine, à l'unité d'organisation ou au compte dont vous souhaitez détacher la politique.

Pour détacher une politique de chatbot en accédant à la racine, à l'unité d'organisation ou au compte auquel elle est attachée

Connectez-vous à la console AWS Organizations. Vous devez vous connecter en tant qu'IAMutilisateur, assumer un IAM rôle ou vous connecter en tant qu'utilisateur root (ce n'est pas recommandé) dans le compte de gestion de l'organisation.
Dans la page Comptes AWS, accédez à la racine, à l'unité d'organisation ou au compte dont vous souhaitez détacher une politique. Vous devrez peut-être développer OUs (choisir le ) pour trouver l'unité d'organisation ou le compte de votre choix. Choisissez le nom de la racine, de l'unité d'organisation ou du compte.
Dans l'onglet Politiques, cliquez sur le bouton radio à côté de la politique du chatbot que vous souhaitez détacher, puis choisissez Détacher.
Dans la boîte de dialogue de confirmation, choisissez Détacher la politique.

La liste des politiques de chatbot jointes est mise à jour. La modification de la politique prend effet immédiatement.

Pour détacher une politique de chatbot en accédant à la politique

Connectez-vous à la console AWS Organizations. Vous devez vous connecter en tant qu'IAMutilisateur, assumer un IAM rôle ou vous connecter en tant qu'utilisateur root (ce n'est pas recommandé) dans le compte de gestion de l'organisation.
Sur la page des politiques du Chatbot, choisissez le nom de la politique que vous souhaitez dissocier d'un root, d'une unité d'organisation ou d'un compte.
Dans la page Cibles, choisissez la case d'option en regard de la racine, de l'unité d'organisation ou du compte dont vous souhaitez détacher la politique. Vous devrez peut-être développer OUs (choisir le ) pour trouver l'unité d'organisation ou le compte de votre choix.
Choisissez Détacher.
Dans la boîte de dialogue de confirmation, choisissez Détacher.

La liste des politiques de chatbot jointes est mise à jour. La modification de la politique prend effet immédiatement.

AI services opt-out policies

Vous pouvez détacher une politique de désactivation des services IA en accédant à la politique ou à la racine, à l'unité d'organisation ou au compte dont vous souhaitez détacher la politique.

Pour détacher une politique de désactivation des services IA en accédant à la racine, à l'unité d'organisation ou au compte auquel elle est attachée

Connectez-vous à la console AWS Organizations. Vous devez vous connecter en tant qu'IAMutilisateur, assumer un IAM rôle ou vous connecter en tant qu'utilisateur root (ce n'est pas recommandé) dans le compte de gestion de l'organisation.
Dans la page Comptes AWS, accédez à la racine, à l'unité d'organisation ou au compte dont vous souhaitez détacher une politique. Vous devrez peut-être développer OUs (choisir le ) pour trouver l'unité d'organisation ou le compte de votre choix. Choisissez le nom de la racine, de l'unité d'organisation ou du compte.
Dans l'onglet Politiques, choisissez la case d'option en regard de la politique de désactivation des services IA à détacher, puis choisissez Détacher.
Dans la boîte de dialogue de confirmation, choisissez Détacher la politique.

La liste des politiques de désactivation des services IA attachées est mise à jour. La modification de la politique prend effet immédiatement.

Pour détacher une politique de désactivation des services IA en accédant à la politique

Connectez-vous à la console AWS Organizations. Vous devez vous connecter en tant qu'IAMutilisateur, assumer un IAM rôle ou vous connecter en tant qu'utilisateur root (ce n'est pas recommandé) dans le compte de gestion de l'organisation.
Dans la page Politiques de désactivation des services IA, choisissez le nom de la politique que vous souhaitez détacher d'une racine, d'une unité d'organisation ou d'un compte.
Dans la page Cibles, choisissez la case d'option en regard de la racine, de l'unité d'organisation ou du compte dont vous souhaitez détacher la politique. Vous devrez peut-être développer OUs (choisir le ) pour trouver l'unité d'organisation ou le compte de votre choix.
Choisissez Détacher.
Dans la boîte de dialogue de confirmation, choisissez Détacher.

La liste des politiques de désactivation des services IA joints est mise à jour. La modification de la politique prend effet immédiatement.

Le changement de politique prend effet immédiatement, affectant les autorisations des IAM utilisateurs et des rôles du compte rattaché ou de tous les comptes relevant de la racine ou de l'unité d'organisation attachée

Pour joindre une politique

Les exemples de code suivants montrent comment utiliserDetachPolicy.

.NET

AWS SDK for .NET

Note

Il y en a plus sur GitHub. Trouvez l’exemple complet et découvrez comment le configurer et l’exécuter dans le référentiel d’exemples de code AWS.


    using System;
    using System.Threading.Tasks;
    using Amazon.Organizations;
    using Amazon.Organizations.Model;

    /// <summary>
    /// Shows how to detach a policy from an AWS Organizations organization,
    /// organizational unit, or account.
    /// </summary>
    public class DetachPolicy
    {
        /// <summary>
        /// Initializes the Organizations client object and uses it to call
        /// DetachPolicyAsync to detach the policy.
        /// </summary>
        public static async Task Main()
        {
            // Create the client object using the default account.
            IAmazonOrganizations client = new AmazonOrganizationsClient();

            var policyId = "p-00000000";
            var targetId = "r-0000";

            var request = new DetachPolicyRequest
            {
                PolicyId = policyId,
                TargetId = targetId,
            };

            var response = await client.DetachPolicyAsync(request);

            if (response.HttpStatusCode == System.Net.HttpStatusCode.OK)
            {
                Console.WriteLine($"Successfully detached policy with Policy Id: {policyId}.");
            }
            else
            {
                Console.WriteLine("Could not detach the policy.");
            }
        }
    }

Pour API plus de détails, voir DetachPolicyla section AWS SDK for .NET APIRéférence.

CLI

AWS CLI

Pour détacher une politique d'une racine, d'une unité d'organisation ou d'un compte

L'exemple suivant montre comment détacher une politique d'une unité d'organisation :


aws organizations  detach-policy  --target-id ou-examplerootid111-exampleouid111 --policy-id p-examplepolicyid111

Pour API plus de détails, voir DetachPolicyla section Référence des AWS CLI commandes.

Python

SDKpour Python (Boto3)

Note

Il y en a plus sur GitHub. Trouvez l’exemple complet et découvrez comment le configurer et l’exécuter dans le référentiel d’exemples de code AWS.


def detach_policy(policy_id, target_id, orgs_client):
    """
    Detaches a policy from a target.

    :param policy_id: The ID of the policy to detach.
    :param target_id: The ID of the resource where the policy is currently attached.
    :param orgs_client: The Boto3 Organizations client.
    """
    try:
        orgs_client.detach_policy(PolicyId=policy_id, TargetId=target_id)
        logger.info("Detached policy %s from target %s.", policy_id, target_id)
    except ClientError:
        logger.exception(
            "Couldn't detach policy %s from target %s.", policy_id, target_id
        )
        raise

Pour API plus de détails, reportez-vous DetachPolicyà la section AWS SDKpour la référence Python (Boto3). API

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Joindre des politiques

Obtenir les détails des politiques