Ottenere informazioni sulle policy dell'organizzazione - AWS Organizations

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Ottenere informazioni sulle policy dell'organizzazione

Questo argomento descrive vari modi per ottenere dettagli sulle politiche dell'organizzazione. Queste procedure si applicano a tutti i tipi di policy. Devi abilitare un tipo di policy nella root dell'organizzazione prima di poter collegare policy di questo tipo a un'entità nella root dell'organizzazione.

Elenco di tutte le policy

Autorizzazioni minime

Per elencare le policy che si trovano nella tua organizzazione, devi disporre della seguente autorizzazione:

  • organizations:ListPolicies

È possibile visualizzare le politiche della propria organizzazione nella AWS Management Console o utilizzando un AWS Command Line Interface (AWS CLI) comando o un AWS SDKoperazione.

Per elencare tutte le policy nell'organizzazione
  1. Accedi a AWS Organizations console. È necessario accedere come IAM utente, assumere un IAM ruolo o accedere come utente root (scelta non consigliata) nell'account di gestione dell'organizzazione.

  2. Nella pagina Policies (Policy), scegli la policy che desideri elencare.

    Se il tipo di policy specificato è abilitato, nella console viene visualizzato un elenco di tutte le policy di quel tipo attualmente disponibili nell'organizzazione.

  3. Torna alla pagina Policies (Policy) e ripeti l'operazione per ogni tipo di policy.

I seguenti esempi di codice mostrano come utilizzareListPolicies.

.NET
AWS SDK for .NET
Nota

C'è altro da fare GitHub. Trova l'esempio completo e scopri come configurare ed eseguire in AWS Repository di esempi di codice.

using System; using System.Threading.Tasks; using Amazon.Organizations; using Amazon.Organizations.Model; /// <summary> /// Shows how to list the AWS Organizations policies associated with an /// organization. /// </summary> public class ListPolicies { /// <summary> /// Initializes an Organizations client object, and then calls its /// ListPoliciesAsync method. /// </summary> public static async Task Main() { // Create the client object using the default account. IAmazonOrganizations client = new AmazonOrganizationsClient(); // The value for the Filter parameter is required and must must be // one of the following: // AISERVICES_OPT_OUT_POLICY // BACKUP_POLICY // SERVICE_CONTROL_POLICY // TAG_POLICY var request = new ListPoliciesRequest { Filter = "SERVICE_CONTROL_POLICY", MaxResults = 5, }; var response = new ListPoliciesResponse(); try { do { response = await client.ListPoliciesAsync(request); response.Policies.ForEach(p => DisplayPolicies(p)); if (response.NextToken is not null) { request.NextToken = response.NextToken; } } while (response.NextToken is not null); } catch (AWSOrganizationsNotInUseException ex) { Console.WriteLine(ex.Message); } } /// <summary> /// Displays information about the Organizations policies associated /// with an organization. /// </summary> /// <param name="policy">An Organizations policy summary to display /// information on the console.</param> private static void DisplayPolicies(PolicySummary policy) { string policyInfo = $"{policy.Id} {policy.Name}\t{policy.Description}"; Console.WriteLine(policyInfo); } }
  • Per API i dettagli, vedere ListPoliciesin AWS SDK for .NET APIRiferimento.

CLI
AWS CLI

Per recuperare un elenco di tutte le politiche in un'organizzazione di un determinato tipo

L'esempio seguente mostra come ottenere un elenco diSCPs, come specificato dal parametro filter:

aws organizations list-policies --filter SERVICE_CONTROL_POLICY

L'output include un elenco di politiche con informazioni di riepilogo:

{ "Policies": [ { "Type": "SERVICE_CONTROL_POLICY", "Name": "AllowAllS3Actions", "AwsManaged": false, "Id": "p-examplepolicyid111", "Arn": "arn:aws:organizations::111111111111:policy/service_control_policy/p-examplepolicyid111", "Description": "Enables account admins to delegate permissions for any S3 actions to users and roles in their accounts." }, { "Type": "SERVICE_CONTROL_POLICY", "Name": "AllowAllEC2Actions", "AwsManaged": false, "Id": "p-examplepolicyid222", "Arn": "arn:aws:organizations::111111111111:policy/service_control_policy/p-examplepolicyid222", "Description": "Enables account admins to delegate permissions for any EC2 actions to users and roles in their accounts." }, { "AwsManaged": true, "Description": "Allows access to every operation", "Type": "SERVICE_CONTROL_POLICY", "Id": "p-FullAWSAccess", "Arn": "arn:aws:organizations::aws:policy/service_control_policy/p-FullAWSAccess", "Name": "FullAWSAccess" } ] }
  • Per API i dettagli, vedere ListPoliciesin AWS CLI Riferimento ai comandi.

Python
SDKper Python (Boto3)
Nota

C'è di più su. GitHub Trova l'esempio completo e scopri come configurare ed eseguire in AWS Repository di esempi di codice.

def list_policies(policy_filter, orgs_client): """ Lists the policies for the account, limited to the specified filter. :param policy_filter: The kind of policies to return. :param orgs_client: The Boto3 Organizations client. :return: The list of policies found. """ try: response = orgs_client.list_policies(Filter=policy_filter) policies = response["Policies"] logger.info("Found %s %s policies.", len(policies), policy_filter) except ClientError: logger.exception("Couldn't get %s policies.", policy_filter) raise else: return policies
  • Per API i dettagli, vedere ListPoliciesin AWS SDKper Python (Boto3) Reference. API

Elenco di tutte le policy collegate a un root, un'UO o un account

Autorizzazioni minime

Per elencare le policy collegate a un root, un'unità organizzativa (UO) o un account nella tua organizzazione, devi disporre delle autorizzazioni seguenti:

  • organizations:ListPoliciesForTargetcon un Resource elemento nella stessa informativa che include l'Amazon Resource Name (ARN) del target specificato (o «*»)

AWS Management Console
Per elencare tutte le policy collegate direttamente a un root, un'UO o un account specifici
  1. Accedi al AWS Organizations console. È necessario accedere come IAM utente, assumere un IAM ruolo o accedere come utente root (scelta non consigliata) nell'account di gestione dell'organizzazione.

  2. Sul Account AWSnella pagina, scegli il nome dell'unità organizzativa principale, dell'unità organizzativa o dell'account di cui desideri visualizzare le politiche. Potrebbe essere necessario espandere OUs (scegliere la Gray cloud icon representing cloud computing or storage services. ) per trovare l'unità organizzativa desiderata.

  3. Nella pagina del root, dell'UO o dell'account, scegli la scheda Policies (Policy).

    La scheda Policies (Policy) visualizza tutte le policy collegate al root, all'UO o all'account, raggruppate per tipo di policy.

AWS CLI & AWS SDKs
Per elencare tutte le policy collegate direttamente a un root, un'UO o un account specifici

Per elencare le policy collegate a un'entità, puoi utilizzare uno dei seguenti comandi:

  • AWS CLI: list-policies-for-target

    Nell'esempio seguente vengono elencate tutte le policy di controllo dei servizi associate all'unità organizzativa specificata. È necessario specificare sia l'ID del root, dell'unità organizzativa o dell'account, sia il tipo di policy che si desidera elencare.

    $ aws organizations list-policies-for-target \ --target-id ou-a1b2-f6g7h222 \ --filter SERVICE_CONTROL_POLICY { "Policies": [ { "Id": "p-FullAWSAccess", "Arn": "arn:aws:organizations::aws:policy/service_control_policy/p-FullAWSAccess", "Name": "FullAWSAccess", "Description": "Allows access to every operation", "Type": "SERVICE_CONTROL_POLICY", "AwsManaged": true } ] }
  • AWS SDKs: ListPoliciesForTarget

Elenca tutte OUs le radici e gli account a cui è associata una politica

Autorizzazioni minime

Per elencare le entità alle quali è collegata una policy, devi disporre della seguente autorizzazione:

  • organizations:ListTargetsForPolicycon un Resource elemento nella stessa dichiarazione politica che include ARN la politica specificata (o «*»)

AWS Management Console
Per elencare tutte le radici e OUs gli account a cui è allegata una politica specificata
  1. Accedi a AWS Organizations console. È necessario accedere come IAM utente, assumere un IAM ruolo o accedere come utente root (scelta non consigliata) nell'account di gestione dell'organizzazione.

  2. Nella pagina Policies (Policy), scegli il tipo di policy e quindi il nome della policy di cui desideri esaminare i collegamenti.

  3. Seleziona la scheda Targets (Destinazioni) per visualizzare una tabella di ogni root, UO e account ai quali è collegata la policy scelta.

AWS CLI & AWS SDKs
Per elencare tutti i root e OUs gli account a cui è associata una politica specifica

Per elencare le entità che dispongono di una policy, puoi utilizzare uno dei seguenti comandi:

  • AWS CLI: list-targets-for-policy

    L'esempio seguente mostra tutti gli allegati a root e OUs gli account per la politica specificata.

    $ aws organizations list-targets-for-policy \ --policy-id p-FullAWSAccess { "Targets": [ { "TargetId": "ou-a1b2-f6g7h111", "Arn": "arn:aws:organizations::123456789012:ou/o-aa111bb222/ou-a1b2-f6g7h111", "Name": "testou2", "Type": "ORGANIZATIONAL_UNIT" }, { "TargetId": "ou-a1b2-f6g7h222", "Arn": "arn:aws:organizations::123456789012:ou/o-aa111bb222/ou-a1b2-f6g7h222", "Name": "testou1", "Type": "ORGANIZATIONAL_UNIT" }, { "TargetId": "123456789012", "Arn": "arn:aws:organizations::123456789012:account/o-aa111bb222/123456789012", "Name": "My Management Account (bisdavid)", "Type": "ACCOUNT" }, { "TargetId": "r-a1b2", "Arn": "arn:aws:organizations::123456789012:root/o-aa111bb222/r-a1b2", "Name": "Root", "Type": "ROOT" } ] }
  • AWS SDKs: ListTargetsForPolicy

Recupero dei dettagli di una policy

Autorizzazioni minime

Per visualizzare i dettagli di una policy, devi disporre della seguente autorizzazione:

  • organizations:DescribePolicycon un Resource elemento nella stessa dichiarazione politica che include ARN la politica specificata (o «*»)

Per ottenere i dettagli di una policy
  1. Accedere al AWS Organizations console. È necessario accedere come IAM utente, assumere un IAM ruolo o accedere come utente root (scelta non consigliata) nell'account di gestione dell'organizzazione.

  2. Nella pagina Policies (Policy), scegli il tipo di policy e quindi il nome della policy di cui desideri esaminare i collegamenti.

    La pagina della politica mostra le informazioni disponibili sulla politica, inclusa la ARN descrizione e gli obiettivi allegati.

    • La scheda Contenuto mostra il contenuto corrente della politica in JSON formato.

    • La scheda Obiettivi mostra un elenco delle radici e degli account a cui è associata la politica. OUs

    • La scheda Tag mostra i tag associati alla policy. Nota: la scheda Tag non è disponibile per AWS politiche gestite.

    Per modificare la policy, seleziona Edit Policy (Modifica policy). Poiché ogni tipo di policy ha requisiti di modifica diversi, consulta le istruzioni per la creazione e l'aggiornamento delle policy del tipo di policy specificato.

I seguenti esempi di codice mostrano come utilizzareDescribePolicy.

CLI
AWS CLI

Per ottenere informazioni su una politica

L'esempio seguente mostra come richiedere informazioni su una politica:

aws organizations describe-policy --policy-id p-examplepolicyid111

L'output include un oggetto di policy che contiene dettagli sulla politica:

{ "Policy": { "Content": "{\n \"Version\": \"2012-10-17\",\n \"Statement\": [\n {\n \"Effect\": \"Allow\",\n \"Action\": \"*\",\n \"Resource\": \"*\"\n }\n ]\n}", "PolicySummary": { "Arn": "arn:aws:organizations::111111111111:policy/o-exampleorgid/service_control_policy/p-examplepolicyid111", "Type": "SERVICE_CONTROL_POLICY", "Id": "p-examplepolicyid111", "AwsManaged": false, "Name": "AllowAllS3Actions", "Description": "Enables admins to delegate S3 permissions" } } }
  • Per API i dettagli, vedere DescribePolicyin AWS CLI Riferimento ai comandi.

Python
SDKper Python (Boto3)
Nota

C'è di più su. GitHub Trova l'esempio completo e scopri come configurare ed eseguire in AWS Repository di esempi di codice.

def describe_policy(policy_id, orgs_client): """ Describes a policy. :param policy_id: The ID of the policy to describe. :param orgs_client: The Boto3 Organizations client. :return: The description of the policy. """ try: response = orgs_client.describe_policy(PolicyId=policy_id) policy = response["Policy"] logger.info("Got policy %s.", policy_id) except ClientError: logger.exception("Couldn't get policy %s.", policy_id) raise else: return policy
  • Per API i dettagli, vedere DescribePolicyin AWS SDKper Python (Boto3) Reference. API