Separazione delle politiche organizzative con AWS Organizations - AWS Organizations

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Separazione delle politiche organizzative con AWS Organizations

Questo argomento descrive come scollegare le politiche con. AWS Organizations Una policy definisce i controlli che si desidera applicare a un gruppo di Account AWS. AWS Organizations supporta le politiche di gestione e le politiche di autorizzazione.

Scollega le politiche con AWS Organizations

Autorizzazioni minime

Per scollegare una policy dalla radice, dall'unità organizzativa o dall'account dell'organizzazione, è necessario disporre dell'autorizzazione per eseguire la seguente azione:

  • organizations:DetachPolicy

Nota

Non è possibile scollegare l'ultima SCP da una radice, un'unità organizzativa o un account. Deve esserne sempre SCP collegato almeno uno a ogni radice, unità organizzativa e account.

Service control policies (SCPs)

È possibile scollegarne una SCP accedendo alla policy o alla directory principale, all'unità organizzativa o all'account da cui si desidera scollegare la policy.

Per scollegare un utente SCP accedendo alla directory principale, all'unità organizzativa o all'account a cui è collegato
  1. Accedere alla console AWS Organizations. È necessario accedere come IAM utente, assumere un IAM ruolo o accedere come utente root (scelta non consigliata) nell'account di gestione dell'organizzazione.

  2. Nella pagina Account AWS individua il root, l'unità organizzativa o l'account da cui desideri scollegare una policy. Potrebbe essere necessario espandere OUs (scegliere l'opzione Gray cloud icon representing cloud computing or storage services. ) per trovare l'unità organizzativa o l'account desiderato. Scegli il nome del root, dell'unità organizzativa o dell'account.

  3. Nella scheda Politiche, scegli il pulsante di opzione accanto all'SCPunità che desideri scollegare, quindi scegli Scollega.

  4. Nella finestra di dialogo di conferma, scegli Detach policy (Scollega policy).

    L'elenco degli allegati SCPs viene aggiornato. La modifica della politica causata dal distacco di SCP ha effetto immediato. Ad esempio, il distacco di un SCP file influisce immediatamente sulle autorizzazioni degli IAM utenti e dei ruoli nell'account o negli account precedentemente collegati all'organizzazione principale o all'unità organizzativa precedentemente collegata.

Per scollegare un uomo accedendo alla policy SCP
  1. Accedere alla console AWS Organizations. È necessario accedere come IAM utente, assumere un IAM ruolo o accedere come utente root (scelta non consigliata) nell'account di gestione dell'organizzazione.

  2. Nella pagina Service control policies (Policy di controllo dei servizi), scegli il nome della policy che vuoi scollegare da un root, un'UO o un account.

  3. Nella scheda Targets (Destinazioni), scegli il pulsante di opzione accanto al root, all'unità organizzativa o all'account da cui vuoi scollegare la policy. Potrebbe essere necessario espandere OUs (scegliere l'opzione Gray cloud icon representing cloud computing or storage services. ) per trovare l'unità organizzativa o l'account desiderato.

  4. Seleziona Scollega.

  5. Nella finestra di dialogo di conferma, scegli Detach (Scollega).

    L'elenco degli allegati SCPs è aggiornato. La modifica della politica causata dal distacco di SCP ha effetto immediato. Ad esempio, il distacco di un SCP file influisce immediatamente sulle autorizzazioni degli IAM utenti e dei ruoli nell'account o negli account precedentemente collegati all'organizzazione principale o all'unità organizzativa precedentemente collegata.

Backup policies

Per scollegare una policy di backup, puoi accedere alla policy oppure al root, all'unità organizzativa o all'account da cui vuoi scollegare la policy.

Per scollegare una policy di backup passando dal root, dall'unità organizzativa o da un account
  1. Accedere alla console AWS Organizations. È necessario accedere come IAM utente, assumere un IAM ruolo o accedere come utente root (scelta non consigliata) nell'account di gestione dell'organizzazione.

  2. Nella pagina Account AWS individua il root, l'unità organizzativa o l'account da cui desideri scollegare una policy. Potrebbe essere necessario espandere OUs (scegliere l'opzione Gray cloud icon representing cloud computing or storage services. ) per trovare l'unità organizzativa o l'account desiderato. Scegli il nome del root, dell'unità organizzativa o dell'account.

  3. Nella scheda Policies (Policy), scegli il pulsante di opzione accanto alla policy di backup che desideri scollegare, quindi scegli Detach (Scollega).

  4. Nella finestra di dialogo di conferma, scegli Detach policy (Scollega policy).

    L'elenco delle policy di backup collegate viene aggiornato. La modifica della policy diventa immediatamente effettiva.

Per scollegare una policy di backup passando dalla policy
  1. Accedere alla console AWS Organizations. È necessario accedere come IAM utente, assumere un IAM ruolo o accedere come utente root (scelta non consigliata) nell'account di gestione dell'organizzazione.

  2. Nella pagina Backup policies (Policy di backup), scegli il nome della policy che vuoi scollegare da un root, un'UO o un account.

  3. Nella scheda Targets (Destinazioni), scegli il pulsante di opzione accanto al root, all'unità organizzativa o all'account da cui vuoi scollegare la policy. Potrebbe essere necessario espandere OUs (scegliere l'opzione Gray cloud icon representing cloud computing or storage services. ) per trovare l'unità organizzativa o l'account desiderato.

  4. Seleziona Scollega.

  5. Nella finestra di dialogo di conferma, scegli Detach (Scollega).

    L'elenco delle policy di backup collegate viene aggiornato. La modifica della policy diventa immediatamente effettiva.

Tag policies

Per scollegare una policy di tag, puoi accedere alla policy oppure al root, all'unità organizzativa o all'account da cui vuoi scollegare la policy.

Per scollegare una policy di tag passando dal root, dall'unità organizzativa o da un account a cui è collegata
  1. Accedere alla console AWS Organizations. È necessario accedere come IAM utente, assumere un IAM ruolo o accedere come utente root (scelta non consigliata) nell'account di gestione dell'organizzazione.

  2. Nella pagina Account AWS individua il root, l'unità organizzativa o l'account da cui desideri scollegare una policy. Potrebbe essere necessario espandere OUs (scegliere l'opzione Gray cloud icon representing cloud computing or storage services. ) per trovare l'unità organizzativa o l'account desiderato. Scegli il nome del root, dell'unità organizzativa o dell'account.

  3. Nella scheda Policies (Policy), scegli il pulsante di opzione accanto alla policy di tag che desideri scollegare, quindi scegli Detach (Scollega).

  4. Nella finestra di dialogo di conferma, scegli Detach policy (Scollega policy).

    L'elenco delle policy di tag collegate viene aggiornato. La modifica della policy diventa immediatamente effettiva.

Per scollegare una policy di tag passando dalla policy
  1. Accedere alla console AWS Organizations. È necessario accedere come IAM utente, assumere un IAM ruolo o accedere come utente root (scelta non consigliata) nell'account di gestione dell'organizzazione.

  2. Nella pagina Tag policies (Policy di tag), scegli il nome della policy che vuoi scollegare da un root, un'UO o un account.

  3. Nella scheda Targets (Destinazioni), scegli il pulsante di opzione accanto al root, all'unità organizzativa o all'account da cui vuoi scollegare la policy. Potrebbe essere necessario espandere OUs (scegliere l'opzione Gray cloud icon representing cloud computing or storage services. ) per trovare l'unità organizzativa o l'account desiderato.

  4. Seleziona Scollega.

  5. Nella finestra di dialogo di conferma, scegli Detach (Scollega).

    L'elenco delle policy di tag collegate viene aggiornato. La modifica della policy diventa immediatamente effettiva.

Chatbot policies

Puoi scollegare una policy del chatbot accedendo alla policy o alla root, all'unità organizzativa o all'account da cui desideri scollegare la policy.

Per scollegare una policy di chatbot accedendo alla root, all'unità organizzativa o all'account a cui è associata
  1. Accedere alla console AWS Organizations. È necessario accedere come IAM utente, assumere un IAM ruolo o accedere come utente root (scelta non consigliata) nell'account di gestione dell'organizzazione.

  2. Nella pagina Account AWS individua il root, l'unità organizzativa o l'account da cui desideri scollegare una policy. Potrebbe essere necessario espandere OUs (scegliere l'opzione Gray cloud icon representing cloud computing or storage services. ) per trovare l'unità organizzativa o l'account desiderato. Scegli il nome del root, dell'unità organizzativa o dell'account.

  3. Nella scheda Politiche, scegli il pulsante di opzione accanto alla politica del chatbot che desideri scollegare, quindi scegli Scollega.

  4. Nella finestra di dialogo di conferma, scegli Detach policy (Scollega policy).

    L'elenco delle politiche relative ai chatbot allegate viene aggiornato. La modifica della policy diventa immediatamente effettiva.

Per scollegare una policy di chatbot accedendo alla policy
  1. Accedere alla console AWS Organizations. Devi accedere come IAM utente, assumere un IAM ruolo o accedere come utente root (scelta non consigliata) nell'account di gestione dell'organizzazione.

  2. Nella pagina delle politiche del Chatbot, scegli il nome della politica che desideri scollegare da una root, un'unità organizzativa o un account.

  3. Nella scheda Targets (Destinazioni), scegli il pulsante di opzione accanto al root, all'unità organizzativa o all'account da cui vuoi scollegare la policy. Potrebbe essere necessario espandere OUs (scegliere l'opzione Gray cloud icon representing cloud computing or storage services. ) per trovare l'unità organizzativa o l'account che desideri.

  4. Seleziona Scollega.

  5. Nella finestra di dialogo di conferma, scegli Detach (Scollega).

    L'elenco delle politiche relative ai chatbot allegate viene aggiornato. La modifica della policy diventa immediatamente effettiva.

AI services opt-out policies

Per scollegare una policy di rifiuto dei servizi di IA, puoi accedere alla policy oppure al root, all'unità organizzativa o all'account da cui vuoi scollegare la policy.

Per scollegare una policy di rifiuto dei servizi di IA passando dal root, dall'unità organizzativa o dall'account
  1. Accedere alla console AWS Organizations. È necessario accedere come IAM utente, assumere un IAM ruolo o accedere come utente root (scelta non consigliata) nell'account di gestione dell'organizzazione.

  2. Nella pagina Account AWS individua il root, l'unità organizzativa o l'account da cui desideri scollegare una policy. Potrebbe essere necessario espandere OUs (scegliere l'opzione Gray cloud icon representing cloud computing or storage services. ) per trovare l'unità organizzativa o l'account desiderato. Scegli il nome del root, dell'unità organizzativa o dell'account.

  3. Nella scheda Policies (Policy), scegli il pulsante di opzione accanto alla policy di rifiuto dei servizi di IA che desideri scollegare, quindi scegli Detach (Scollega).

  4. Nella finestra di dialogo di conferma, scegli Detach policy (Scollega policy).

    L'elenco delle policy di rifiuto dei servizi di IA collegate viene aggiornato. La modifica della policy diventa immediatamente effettiva.

Per scollegare una policy di rifiuto dei servizi di IA passando dalla policy
  1. Accedere alla console AWS Organizations. È necessario accedere come IAM utente, assumere un IAM ruolo o accedere come utente root (scelta non consigliata) nell'account di gestione dell'organizzazione.

  2. Nella pagina AI services opt-out policies (Policy di rifiuto dei servizi di IA), scegli il nome della policy che vuoi scollegare da un root, un'UO o un account.

  3. Nella scheda Targets (Destinazioni), scegli il pulsante di opzione accanto al root, all'unità organizzativa o all'account da cui vuoi scollegare la policy. Potrebbe essere necessario espandere OUs (scegliere l'opzione Gray cloud icon representing cloud computing or storage services. ) per trovare l'unità organizzativa o l'account desiderato.

  4. Seleziona Scollega.

  5. Nella finestra di dialogo di conferma, scegli Detach (Scollega).

    L'elenco delle policy di rifiuto dei servizi di IA collegate viene aggiornato. La modifica della policy diventa immediatamente effettiva.

La modifica della politica ha effetto immediato e influisce sulle autorizzazioni IAM degli utenti e dei ruoli nell'account collegato o su tutti gli account nell'unità principale o nell'unità organizzativa allegata

Per allegare una politica

I seguenti esempi di codice mostrano come utilizzareDetachPolicy.

.NET
AWS SDK for .NET
Nota

C'è altro da fare GitHub. Trova l'esempio completo e scopri di più sulla configurazione e l'esecuzione nel Repository di esempi di codice AWS.

using System; using System.Threading.Tasks; using Amazon.Organizations; using Amazon.Organizations.Model; /// <summary> /// Shows how to detach a policy from an AWS Organizations organization, /// organizational unit, or account. /// </summary> public class DetachPolicy { /// <summary> /// Initializes the Organizations client object and uses it to call /// DetachPolicyAsync to detach the policy. /// </summary> public static async Task Main() { // Create the client object using the default account. IAmazonOrganizations client = new AmazonOrganizationsClient(); var policyId = "p-00000000"; var targetId = "r-0000"; var request = new DetachPolicyRequest { PolicyId = policyId, TargetId = targetId, }; var response = await client.DetachPolicyAsync(request); if (response.HttpStatusCode == System.Net.HttpStatusCode.OK) { Console.WriteLine($"Successfully detached policy with Policy Id: {policyId}."); } else { Console.WriteLine("Could not detach the policy."); } } }
CLI
AWS CLI

Per scollegare una policy da una root, un'unità organizzativa o un account

L'esempio seguente mostra come scollegare una policy da un'unità organizzativa:

aws organizations detach-policy --target-id ou-examplerootid111-exampleouid111 --policy-id p-examplepolicyid111
  • Per API i dettagli, vedere DetachPolicyin AWS CLI Command Reference.

Python
SDKper Python (Boto3)
Nota

C'è di più su. GitHub Trova l'esempio completo e scopri di più sulla configurazione e l'esecuzione nel Repository di esempi di codice AWS.

def detach_policy(policy_id, target_id, orgs_client): """ Detaches a policy from a target. :param policy_id: The ID of the policy to detach. :param target_id: The ID of the resource where the policy is currently attached. :param orgs_client: The Boto3 Organizations client. """ try: orgs_client.detach_policy(PolicyId=policy_id, TargetId=target_id) logger.info("Detached policy %s from target %s.", policy_id, target_id) except ClientError: logger.exception( "Couldn't detach policy %s from target %s.", policy_id, target_id ) raise
  • Per API i dettagli, vedere DetachPolicyPython (Boto3) Reference.AWS SDK API

La modifica della politica ha effetto immediato e influisce sulle autorizzazioni IAM degli utenti e dei ruoli nell'account allegato o su tutti gli account sotto l'unità principale o l'unità organizzativa allegata