Memperbarui kebijakan pencadangan Memperbarui kebijakan tag Perbarui kebijakan opt-out layanan AI Memperbarui kebijakan kontrol layanan (SCP)

Memperbarui kebijakan organisasi dengan AWS Organizations

Ketika persyaratan kebijakan Anda berubah, Anda dapat memperbarui kebijakan yang ada.

Topik ini menjelaskan cara memperbarui kebijakan dengan AWS Organizations. Kebijakan mendefinisikan kontrol yang ingin Anda terapkan ke grup Akun AWS. AWS Organizations mendukung kebijakan manajemen dan kebijakan otorisasi.

Topik

Memperbarui kebijakan pencadangan
Memperbarui kebijakan tag
Perbarui kebijakan opt-out layanan AI
Memperbarui kebijakan kontrol layanan (SCP)

Memperbarui kebijakan pencadangan

Saat masuk ke akun pengelolaan organisasi Anda, Anda dapat mengedit kebijakan yang memerlukan perubahan di organisasi Anda.

Izin minimum

Untuk memperbarui kebijakan backup, Anda harus memiliki izin untuk menjalankan tindakan-tindakan berikut:

organizations:UpdatePolicydengan Resource elemen dalam pernyataan kebijakan yang sama yang ARN mencakup kebijakan untuk memperbarui (atau “*”)
organizations:DescribePolicydengan Resource elemen dalam pernyataan kebijakan yang sama yang ARN mencakup kebijakan untuk memperbarui (atau “*”)

AWS Management Console

Untuk memperbarui kebijakan backup

Masuk ke AWS Organizations konsol. Anda harus masuk sebagai IAM pengguna, IAM berperan, atau masuk sebagai pengguna root (tidak disarankan) di akun manajemen organisasi.
Pada halaman Kebijakan Backup, pilih nama kebijakan yang ingin Anda perbarui.
Pilih Sunting kebijakan.
Anda dapat memasukkan Nama kebijakan, Deskripsi kebijakan baru. Anda dapat mengubah konten kebijakan dengan menggunakan editor Visual atau dengan langsung mengedit JSON.
Setelah selesai memperbarui kebijakan, pilih Simpan perubahan.

AWS CLI & AWS SDKs

Untuk memperbarui kebijakan backup

Anda dapat menggunakan salah satu yang berikut ini untuk memperbarui kebijakan backup:

AWS CLI: kebijakan pembaruan-

Contoh berikut mengganti nama kebijakan backup.


$ aws organizations update-policy \
    --policy-id p-i9j8k7l6m5 \
    --name "Renamed policy"
{
    "Policy": {
        "PolicySummary": {
            "Id": "p-i9j8k7l6m5",
            "Arn": "arn:aws:organizations::123456789012:policy/o-aa111bb222/backup_policy/p-i9j8k7l6m5",
            "Name": "Renamed policy",
            "Type": "BACKUP_POLICY",
            "AwsManaged": false
        },
         "Content": "{\"plans\":{\"TestBackupPlan\":{\"regions\":{\"@@assign\":   ....TRUNCATED FOR BREVITY....   "@@assign\":[\"Yes\"]}}}}}}}"
    }
}

Contoh berikut menambahkan atau mengubah deskripsi untuk kebijakan backup.


$ aws organizations update-policy \
    --policy-id p-i9j8k7l6m5 \
    --description "My new description"
{
    "Policy": {
        "PolicySummary": {
            "Id": "p-i9j8k7l6m5",
            "Arn": "arn:aws:organizations::123456789012:policy/o-aa111bb222/backup_policy/p-i9j8k7l6m5",
            "Name": "Renamed policy",
            "Description": "My new description",
            "Type": "BACKUP_POLICY",
            "AwsManaged": false
        },
       "Content": "{\"plans\":{\"TestBackupPlan\":{\"regions\":{\"@@assign\":   ....TRUNCATED FOR BREVITY....   "@@assign\":[\"Yes\"]}}}}}}}"
    }
}

Contoh berikut mengubah dokumen JSON kebijakan yang dilampirkan pada kebijakan cadangan. Dalam contoh ini, konten diambil dari file bernama policy.json dengan teks berikut:


{
    "plans": {
        "PII_Backup_Plan": {
            "regions": { "@@assign": [ "ap-northeast-2", "us-east-1", "eu-north-1" ] },
            "rules": {
                "Hourly": {
                    "schedule_expression": { "@@assign": "cron(0 5/1 ? * * *)" },
                    "start_backup_window_minutes": { "@@assign": "480" },
                    "complete_backup_window_minutes": { "@@assign": "10080" },
                    "lifecycle": {
                        "move_to_cold_storage_after_days": { "@@assign": "180" },
                        "delete_after_days": { "@@assign": "270" },
                        "opt_in_to_archive_for_supported_resources": {"@@assign": false}
                    },
                    "target_backup_vault_name": { "@@assign": "FortKnox" },
                    "copy_actions": {
                        "arn:aws:backup:us-east-1:$account:backup-vault:secondary-vault": {
                            "lifecycle": {
                                "move_to_cold_storage_after_days": { "@@assign": "10" },
                                "delete_after_days": { "@@assign": "100" },
                                "opt_in_to_archive_for_supported_resources": {"@@assign": false}
                            }
                        }
                    }
                }
            },
            "selections": {
                "tags": {
                    "datatype": {
                        "iam_role_arn": { "@@assign": "arn:aws:iam::$account:role/MyIamRole" },
                        "tag_key": { "@@assign": "dataType" },
                        "tag_value": { "@@assign": [ "PII" ] }
                    }
                }
            }
        }
    }
}


$ aws organizations update-policy \
    --policy-id p-i9j8k7l6m5 \
    --content file://policy.json
{
    "Policy": {
        "PolicySummary": {
            "Id": "p-i9j8k7l6m5",
            "Arn": "arn:aws:organizations::123456789012:policy/o-aa111bb222/backup_policy/p-i9j8k7l6m5",
            "Name": "Renamed policy",
            "Description": "My new description",
            "Type": "BACKUP_POLICY",
            "AwsManaged": false
        },
         "Content": "{\"plans\":{\"TestBackupPlan\":{\"regions\":{\"@@assign\":   ....TRUNCATED FOR BREVITY....   "@@assign\":[\"Yes\"]}}}}}}}"
}

AWS SDKs: UpdatePolicy

Memperbarui kebijakan tag

Izin minimum

Untuk memperbarui kebijakan tag, Anda harus memiliki izin untuk menjalankan tindakan-tindakan berikut:

organizations:UpdatePolicydengan Resource elemen dalam pernyataan kebijakan yang sama yang mencakup kebijakan ARN yang ditentukan (atau “*”)
organizations:DescribePolicydengan Resource elemen dalam pernyataan kebijakan yang sama yang mencakup kebijakan ARN yang ditentukan (atau “*”)

AWS Management Console

Untuk memperbarui kebijakan tag

Masuk ke AWS Organizations konsol. Anda harus masuk sebagai IAM pengguna, IAM berperan, atau masuk sebagai pengguna root (tidak disarankan) di akun manajemen organisasi.
Pada halaman Kebijakan tag halaman halaman, pilih kebijakan tag yang ingin Anda perbarui.
Pilih Edit kebijakan.
Anda dapat memasukkan Nama kebijakan, Deskripsi kebijakan baru. Anda dapat mengubah konten kebijakan dengan menggunakan editor Visual atau dengan mengedit JSON.
Setelah selesai memperbarui kebijakan tag, pilih Simpan perubahan.

AWS CLI & AWS SDKs

Untuk memperbarui kebijakan

Anda dapat menggunakan salah satu hal berikut untuk memperbarui kebijakan:

AWS CLI: kebijakan pembaruan-

Contoh berikut mengganti nama kebijakan tag.


$ aws organizations update-policy \
    --policy-id p-i9j8k7l6m5 \
    --name "Renamed tag policy"
{
    "Policy": {
        "PolicySummary": {
            "Id": "p-i9j8k7l6m5",
            "Arn": "arn:aws:organizations::123456789012:policy/o-aa111bb222/tag_policy/p-i9j8k7l6m5",
            "Name": "Renamed tag policy",
            "Type": "TAG_POLICY",
            "AwsManaged": false
        },
        "Content": "{\n\"tags\":{\n\"CostCenter\":{\n\"tag_key\":{\n\"@@assign\":\"CostCenter\"\n}\n}\n}\n}\n\n"
    }
}

Contoh berikut menambahkan atau mengubah deskripsi untuk kebijakan tag.


$ aws organizations update-policy \
    --policy-id p-i9j8k7l6m5 \
    --description "My new tag policy description"
{
    "Policy": {
        "PolicySummary": {
            "Id": "p-i9j8k7l6m5",
            "Arn": "arn:aws:organizations::123456789012:policy/o-aa111bb222/tag_policy/p-i9j8k7l6m5",
            "Name": "Renamed tag policy",
            "Description": "My new tag policy description",
            "Type": "TAG_POLICY",
            "AwsManaged": false
        },
       "Content": "{\n\"tags\":{\n\"CostCenter\":{\n\"tag_key\":{\n\"@@assign\":\"CostCenter\"\n}\n}\n}\n}\n\n"
    }
}

Contoh berikut mengubah dokumen JSON kebijakan yang dilampirkan pada kebijakan opt-out layanan AI. Dalam contoh ini, konten diambil dari file bernama policy.json dengan teks berikut:


{
  "tags": {
    "Stage": {
      "tag_key": {
        "@@assign": "Stage"
      },
      "tag_value": {
        "@@assign": [
          "Production",
          "Test"
        ]
      }
    }
  }
}


$ aws organizations update-policy \
    --policy-id p-i9j8k7l6m5 \
    --content file://policy.json
{
    "Policy": {
        "PolicySummary": {
            "Id": "p-i9j8k7l6m5",
            "Arn": "arn:aws:organizations::123456789012:policy/o-aa111bb222/tag_policy/p-i9j8k7l6m5",
            "Name": "Renamed tag policy",
            "Description": "My new tag policy description",
            "Type": "TAG_POLICY",
            "AwsManaged": false
        },
         "Content": "{\"tags\":{\"Stage\":{\"tag_key\":{\"@@assign\":\"Stage\"},\"tag_value\":{\"@@assign\":[\"Production\",\"Test\"]},\"enforced_for\":{\"@@assign\":[\"ec2:instance\"]}}}}"
}

AWS SDKs: UpdatePolicy

Perbarui kebijakan opt-out layanan AI

Izin minimum

Untuk memperbarui kebijakan berhenti berlangganan layanan AI, Anda harus memiliki izin untuk melakukan tindakan-tindakan berikut:

organizations:UpdatePolicydengan Resource elemen dalam pernyataan kebijakan yang sama yang mencakup kebijakan ARN yang ditentukan (atau “*”)
organizations:DescribePolicydengan Resource elemen dalam pernyataan kebijakan yang sama yang menyertakan Amazon Resource Name (ARN) dari kebijakan yang ditentukan (atau “*”)

AWS Management Console

Untuk membuat kebijakan berhenti berlangganan layanan AI

Masuk ke AWS Organizations konsol. Anda harus masuk sebagai IAM pengguna, IAM berperan, atau masuk sebagai pengguna root (tidak disarankan) di akun manajemen organisasi.
Pada laman Kebijakan berhenti berlangganan layanan AI, pilih nama kebijakan yang ingin Anda perbarui.
Pada laman detail kebijakan, pilih Edit kebijakan.
Anda dapat memasukkan nama Kebijakan baru, Deskripsi kebijakan, atau mengedit teks JSONkebijakan. Untuk informasi tentang sintaks kebijakan berhenti berlangganan layanan AI, lihat Sintaks dan contoh kebijakan berhenti berlangganan layanan AI. Untuk contoh kebijakan yang dapat Anda gunakan sebagai titik awal, lihat Sintaks dan contoh kebijakan berhenti berlangganan layanan AI.
Setelah selesai memperbarui kebijakan, pilih Simpan perubahan.

AWS CLI & AWS SDKs

Untuk memperbarui kebijakan

Anda dapat menggunakan salah satu hal berikut untuk memperbarui kebijakan:

AWS CLI: kebijakan pembaruan-

Contoh berikut mengubah nama kebijakan berhenti berlangganan layanan AI.


$ aws organizations update-policy \
    --policy-id p-i9j8k7l6m5 \
    --name "Renamed policy"
{
    "Policy": {
        "PolicySummary": {
            "Id": "p-i9j8k7l6m5",
            "Arn": "arn:aws:organizations::123456789012:policy/o-aa111bb222/aiservices_opt_out_policy/p-i9j8k7l6m5",
            "Name": "Renamed policy",
            "Type": "AISERVICES_OPT_OUT_POLICY",
            "AwsManaged": false
        },
        "Content": "{\"services\":{\"default\":{\"opt_out_policy\":   ....TRUNCATED FOR BREVITY...   :{\"@@assign\":\"optIn\"}}}}"
    }
}

Contoh berikut menambahatau mengubah deskripsi untuk kebijakan berhenti berlangganan layanan AI.


$ aws organizations update-policy \
    --policy-id p-i9j8k7l6m5 \
    --description "My new description"
{
    "Policy": {
        "PolicySummary": {
            "Id": "p-i9j8k7l6m5",
            "Arn": "arn:aws:organizations::123456789012:policy/o-aa111bb222/aiservices_opt_out_policy/p-i9j8k7l6m5",
            "Name": "Renamed policy",
            "Description": "My new description",
            "Type": "AISERVICES_OPT_OUT_POLICY",
            "AwsManaged": false
        },
        "Content": "{\"services\":{\"default\":{\"opt_out_policy\":   ....TRUNCATED FOR BREVITY...   :{\"@@assign\":\"optIn\"}}}}"
    }
}

Contoh berikut mengubah dokumen JSON kebijakan yang dilampirkan pada kebijakan opt-out layanan AI. Dalam contoh ini, konten diambil dari file bernama policy.json dengan teks berikut:


{
    "services": {
        "default": {
            "opt_out_policy": {
                "@@assign": "optOut"
            }
        },
        "comprehend": {
            "opt_out_policy": {
                "@@operators_allowed_for_child_policies": ["@@none"],
                "@@assign": "optOut"
            }
        },
        "rekognition": {
            "opt_out_policy": {
                "@@assign": "optIn"
            }
        }
    }
}


$ aws organizations update-policy \
    --policy-id p-i9j8k7l6m5 \
    --content file://policy.json
{
    "Policy": {
        "PolicySummary": {
            "Id": "p-i9j8k7l6m5",
            "Arn": "arn:aws:organizations::123456789012:policy/o-aa111bb222/aiservices_opt_out_policy/p-i9j8k7l6m5",
            "Name": "Renamed policy",
            "Description": "My new description",
            "Type": "AISERVICES_OPT_OUT_POLICY",
            "AwsManaged": false
        },
         "Content": "{\n\"services\": {\n\"default\": {\n\"   ....TRUNCATED FOR BREVITY....    ": \"optIn\"\n}\n}\n}\n}\n"}
}

AWS SDKs: UpdatePolicy

Memperbarui kebijakan kontrol layanan (SCP)

Bila Anda masuk ke akun pengelolaan organisasi Anda, Anda dapat mengganti nama atau mengubah konten kebijakan. Mengubah konten SCP langsung memengaruhi pengguna, grup, dan peran apa pun di semua akun terlampir.

Izin minimum

Untuk memperbaruiSCP, Anda memerlukan izin untuk menjalankan tindakan berikut:

organizations:UpdatePolicydengan Resource elemen dalam pernyataan kebijakan yang sama yang mencakup kebijakan ARN yang ditentukan (atau “*”)
organizations:DescribePolicydengan Resource elemen dalam pernyataan kebijakan yang sama yang mencakup kebijakan ARN yang ditentukan (atau “*”)

AWS Management Console

Untuk memperbarui kebijakan

Masuk ke AWS Organizations konsol. Anda harus masuk sebagai IAM pengguna, IAM berperan, atau masuk sebagai pengguna root (tidak disarankan) di akun manajemen organisasi.
Pada halaman Kebijakan kontrol layanan, pilih nama kebijakan yang ingin Anda perbarui.
Pada halaman detail kebijakan, pilih Edit kebijakan.
Membuat salah satu atau semua perubahan berikut:
- Anda dapat mengubah nama kebijakan dengan memasukkan nama baru di Nama kebijakan.
- Anda dapat mengubah deskripsi dengan memasukkan teks baru di Deskripsi kebijakan.
- Anda dapat mengedit teks kebijakan dengan mengedit kebijakan dalam JSON format di panel kiri. Atau, Anda dapat memilih pernyataan di editor di sebelah kanan, dan juga mengubah elemen-elemennya dengan menggunakan kontrol. Untuk detail selengkapnya tentang setiap kontrol, lihat Membuat SCP prosedur sebelumnya dalam topik ini.
Setelah Anda selesai, pilih Simpan perubahan.

AWS CLI & AWS SDKs

Untuk memperbarui kebijakan

Anda dapat menggunakan salah satu perintah berikut untuk memperbarui kebijakan:

AWS CLI: kebijakan pembaruan-

Contoh berikut mengganti nama kebijakan.


$ aws organizations update-policy \
    --policy-id p-i9j8k7l6m5 \
    --name "MyRenamedPolicy"
{
    "Policy": {
        "PolicySummary": {
            "Id": "p-i9j8k7l6m5",
            "Arn": "arn:aws:organizations::123456789012:policy/o-aa111bb222/service_control_policy/p-i9j8k7l6m5",
            "Name": "MyRenamedPolicy",
            "Description": "Blocks all IAM actions",
            "Type": "SERVICE_CONTROL_POLICY",
            "AwsManaged": false
        },
        "Content": "{\"Version\":\"2012-10-17\",\"Statement\":[{\"Sid\":\"Statement1\",\"Effect\":\"Deny\",\"Action\":[\"iam:*\"],\"Resource\":[\"*\"]}]}"
    }
}

Contoh berikut menambahkan atau mengubah deskripsi untuk kebijakan tag.


$ aws organizations update-policy \
    --policy-id p-i9j8k7l6m5 \
    --description "My new policy description"
{
    "Policy": {
        "PolicySummary": {
            "Id": "p-i9j8k7l6m5",
            "Arn": "arn:aws:organizations::123456789012:policy/o-aa111bb222/service_control_policy/p-i9j8k7l6m5",
            "Name": "MyRenamedPolicy",
            "Description": "My new policy description",
            "Type": "SERVICE_CONTROL_POLICY",
            "AwsManaged": false
        },
        "Content": "{\"Version\":\"2012-10-17\",\"Statement\":[{\"Sid\":\"Statement1\",\"Effect\":\"Deny\",\"Action\":[\"iam:*\"],\"Resource\":[\"*\"]}]}"
    }
}

Contoh berikut mengubah dokumen kebijakan SCP dengan menentukan file yang berisi teks JSON kebijakan baru.


$ aws organizations update-policy \
    --policy-id p-zlfw1r64 
    --content file://MyNewPolicyText.json
{
    "Policy": {
        "PolicySummary": {
            "Id": "p-i9j8k7l6m5",
            "Arn": "arn:aws:organizations::123456789012:policy/o-aa111bb222/service_control_policy/p-i9j8k7l6m5",
            "Name": "MyRenamedPolicy",
            "Description": "My new policy description",
            "Type": "SERVICE_CONTROL_POLICY",
            "AwsManaged": false
        },
        "Content": "{\"Version\":\"2012-10-17\",\"Statement\":[{\"Sid\":\"AModifiedPolicy\",\"Effect\":\"Deny\",\"Action\":[\"iam:*\"],\"Resource\":[\"*\"]}]}"
    }
}

AWS SDKs: UpdatePolicy

Awas Javascript dinonaktifkan atau tidak tersedia di browser Anda.

Untuk menggunakan Dokumentasi AWS, Javascript harus diaktifkan. Lihat halaman Bantuan browser Anda untuk petunjuk.

Konvensi Dokumen

Membuat kebijakan

Mengedit tag yang dilampirkan pada kebijakan