Listar todas as políticas Listagem de políticas anexadas Listagem de todos os anexos Obter detalhes sobre uma política

Obter informações sobre as políticas da sua organização

Este tópico descreve várias maneiras de obter detalhes sobre as políticas de sua organização. Estes procedimentos aplicam-se a todos os tipos de política. Você deve habilitar um tipo de política na raiz da organização antes de anexar políticas desse tipo a qualquer entidade na raiz da organização em questão.

Tópicos

Listar todas as políticas
Listagem de todas as políticas anexadas a uma raiz, UO ou conta
Listar todas as raízes, UOs e contas às quais uma política está anexada
Obter detalhes sobre uma política

Listar todas as políticas

Permissões mínimas

Para listar as políticas da sua organização, você deve ter as seguintes permissões:

organizations:ListPolicies

Você pode visualizar as políticas em sua organização no AWS Management Console ou usando um comando do AWS Command Line Interface (AWS CLI) ou uma operação do AWS SDK.

Para listar todas as políticas de sua organização

Faça login no console do AWS Organizations. Você deve fazer login como um usuário do IAM, assumir uma função do IAM ou fazer login como usuário-raiz (não recomendado) na conta de gerenciamento da organização.
Na página Policies (Políticas), escolha a política que deseja listar.

Se o tipo de política especificado estiver habilitado, o console exibirá uma lista de todas as políticas desse tipo que estão atualmente disponíveis na organização.
Retorne à página Policies (Políticas) e repita para cada tipo de política.

Os exemplos de código a seguir mostram como usar o ListPolicies.

.NET

AWS SDK for .NET

nota

Há mais no GitHub. Encontre o exemplo completo e saiba como configurar e executar no Repositório de exemplos de código da AWS.


    using System;
    using System.Threading.Tasks;
    using Amazon.Organizations;
    using Amazon.Organizations.Model;

    /// <summary>
    /// Shows how to list the AWS Organizations policies associated with an
    /// organization.
    /// </summary>
    public class ListPolicies
    {
        /// <summary>
        /// Initializes an Organizations client object, and then calls its
        /// ListPoliciesAsync method.
        /// </summary>
        public static async Task Main()
        {
            // Create the client object using the default account.
            IAmazonOrganizations client = new AmazonOrganizationsClient();

            // The value for the Filter parameter is required and must must be
            // one of the following:
            //     AISERVICES_OPT_OUT_POLICY
            //     BACKUP_POLICY
            //     SERVICE_CONTROL_POLICY
            //     TAG_POLICY
            var request = new ListPoliciesRequest
            {
                Filter = "SERVICE_CONTROL_POLICY",
                MaxResults = 5,
            };

            var response = new ListPoliciesResponse();
            try
            {
                do
                {
                    response = await client.ListPoliciesAsync(request);
                    response.Policies.ForEach(p => DisplayPolicies(p));
                    if (response.NextToken is not null)
                    {
                        request.NextToken = response.NextToken;
                    }
                }
                while (response.NextToken is not null);
            }
            catch (AWSOrganizationsNotInUseException ex)
            {
                Console.WriteLine(ex.Message);
            }
        }

        /// <summary>
        /// Displays information about the Organizations policies associated
        /// with an organization.
        /// </summary>
        /// <param name="policy">An Organizations policy summary to display
        /// information on the console.</param>
        private static void DisplayPolicies(PolicySummary policy)
        {
            string policyInfo = $"{policy.Id} {policy.Name}\t{policy.Description}";

            Console.WriteLine(policyInfo);
        }
    }

Para obter detalhes da API, consulte ListPolicies na Referência da API AWS SDK for .NET.

CLI

AWS CLI

Como recuperar uma lista de todas as políticas de um determinado tipo de uma organização

O seguinte exemplo mostra como obter uma lista de SCPs, conforme especificado pelo parâmetro do filtro:


aws organizations list-policies --filter SERVICE_CONTROL_POLICY

A saída inclui uma lista de políticas com informações resumidas:


{
        "Policies": [
                {
                        "Type": "SERVICE_CONTROL_POLICY",
                        "Name": "AllowAllS3Actions",
                        "AwsManaged": false,
                        "Id": "p-examplepolicyid111",
                        "Arn": "arn:aws:organizations::111111111111:policy/service_control_policy/p-examplepolicyid111",
                        "Description": "Enables account admins to delegate permissions for any S3 actions to users and roles in their accounts."
                },
                {
                        "Type": "SERVICE_CONTROL_POLICY",
                        "Name": "AllowAllEC2Actions",
                        "AwsManaged": false,
                        "Id": "p-examplepolicyid222",
                        "Arn": "arn:aws:organizations::111111111111:policy/service_control_policy/p-examplepolicyid222",
                        "Description": "Enables account admins to delegate permissions for any EC2 actions to users and roles in their accounts."
                },
                {
                        "AwsManaged": true,
                        "Description": "Allows access to every operation",
                        "Type": "SERVICE_CONTROL_POLICY",
                        "Id": "p-FullAWSAccess",
                        "Arn": "arn:aws:organizations::aws:policy/service_control_policy/p-FullAWSAccess",
                        "Name": "FullAWSAccess"
                }
        ]
}

Para obter detalhes da API, consulte ListPolicies na Referência de comandos da AWS CLI.

Python

SDK para Python (Boto3).

nota

Há mais no GitHub. Encontre o exemplo completo e saiba como configurar e executar no Repositório de exemplos de código da AWS.


def list_policies(policy_filter, orgs_client):
    """
    Lists the policies for the account, limited to the specified filter.

    :param policy_filter: The kind of policies to return.
    :param orgs_client: The Boto3 Organizations client.
    :return: The list of policies found.
    """
    try:
        response = orgs_client.list_policies(Filter=policy_filter)
        policies = response["Policies"]
        logger.info("Found %s %s policies.", len(policies), policy_filter)
    except ClientError:
        logger.exception("Couldn't get %s policies.", policy_filter)
        raise
    else:
        return policies

Para obter detalhes da API, consulte ListPolicies, na Referência da API AWS SDK for Python (Boto3).

Listagem de todas as políticas anexadas a uma raiz, UO ou conta

Permissões mínimas

Para listar as políticas que são anexadas a uma raiz, unidade organizacional (UO) ou conta em sua organização, você deve ter as seguintes permissões:

organizations:ListPoliciesForTarget com um elemento Resource na mesma instrução de política que inclui nome do recurso da Amazon (ARN) do alvo especificado (ou "*")

AWS Management Console

Para listar todas as políticas que estão anexadas diretamente a uma raiz, UO ou conta especificada

Faça login no console do AWS Organizations. Você deve fazer login como um usuário do IAM, assumir uma função do IAM ou fazer login como usuário-raiz (não recomendado) na conta de gerenciamento da organização.
Na página Contas da AWS, escolha o nome da raiz, UO ou conta cujas políticas você deseja visualizar. Talvez seja necessário expandir as UOs (escolha ) para encontrar a conta que você deseja.
Na página Raiz, UO ou conta, escolha a guia Policies (Políticas).

A guia Policies (Políticas) exibe todas as políticas anexadas a essa raiz, UO ou conta, agrupadas por tipo de política.

AWS CLI & AWS SDKs

Para listar todas as políticas que estão anexadas diretamente a uma raiz, UO ou conta especificada

Você pode usar um dos seguintes comandos para listar políticas anexadas a uma entidade:

AWS CLI: list-policies-for-target

O exemplo a seguir lista todas as políticas de controle de serviço anexadas à UO especificada. Você deve especificar o ID da raiz, UO ou conta e o tipo de política que você deseja listar.


$ aws organizations list-policies-for-target \
    --target-id ou-a1b2-f6g7h222 \
    --filter SERVICE_CONTROL_POLICY
{
    "Policies": [
        {
            "Id": "p-FullAWSAccess",
            "Arn": "arn:aws:organizations::aws:policy/service_control_policy/p-FullAWSAccess",
            "Name": "FullAWSAccess",
            "Description": "Allows access to every operation",
            "Type": "SERVICE_CONTROL_POLICY",
            "AwsManaged": true
        }
    ]
}

AWS SDKs: ListPoliciesForTarget

Listar todas as raízes, UOs e contas às quais uma política está anexada

Permissões mínimas

Para listar as entidades às quais uma política está anexada, você deve ter as seguintes permissões:

organizations:ListTargetsForPolicy com um elemento Resource na mesma declaração de política que inclui o ARN da política especificada (ou "*")

AWS Management Console

Para listar todas as raízes, UOs e contas que têm uma política especificada anexada

Faça login no console do AWS Organizations. Você deve fazer login como um usuário do IAM, assumir uma função do IAM ou fazer login como usuário-raiz (não recomendado) na conta de gerenciamento da organização.
Na página Policies (Políticas), escolha o tipo de política e, em seguida, escolha o nome da política cujos anexos você deseja examinar.
Selecione a guia Targets (Alvos) para exibir uma tabela de toda raiz, UO e conta à qual a política escolhida está anexada.

AWS CLI & AWS SDKs

Para listar todas as raízes, UOs e contas que têm uma política especificada anexada

Você pode usar um dos seguintes comandos para entidades com uma política:

AWS CLI: list-targets-for-policy

O exemplo a seguir mostra todos os anexos à raiz, UOs e contas para a política especificada.


$ aws organizations list-targets-for-policy \
    --policy-id p-FullAWSAccess
{
    "Targets": [
        {
            "TargetId": "ou-a1b2-f6g7h111",
            "Arn": "arn:aws:organizations::123456789012:ou/o-aa111bb222/ou-a1b2-f6g7h111",
            "Name": "testou2",
            "Type": "ORGANIZATIONAL_UNIT"
        },
        {
            "TargetId": "ou-a1b2-f6g7h222",
            "Arn": "arn:aws:organizations::123456789012:ou/o-aa111bb222/ou-a1b2-f6g7h222",
            "Name": "testou1",
            "Type": "ORGANIZATIONAL_UNIT"
        },
        {
            "TargetId": "123456789012",
            "Arn": "arn:aws:organizations::123456789012:account/o-aa111bb222/123456789012",
            "Name": "My Management Account (bisdavid)",
            "Type": "ACCOUNT"
        },
        {
            "TargetId": "r-a1b2",
            "Arn": "arn:aws:organizations::123456789012:root/o-aa111bb222/r-a1b2",
            "Name": "Root",
            "Type": "ROOT"
        }
    ]
}

AWS SDKs: ListTargetsForPolicy

Obter detalhes sobre uma política

Permissões mínimas

Para exibir os detalhes de uma política, você deve ter as seguintes permissões:

organizations:DescribePolicy com um elemento Resource na mesma declaração de política que inclui o ARN da política especificada (ou "*")

Para obter detalhes sobre uma política

Faça login no console do AWS Organizations. Você deve fazer login como um usuário do IAM, assumir uma função do IAM ou fazer login como usuário-raiz (não recomendado) na conta de gerenciamento da organização.
Na página Policies (Políticas), escolha o tipo de política que você deseja examinar e, em seguida, escolha o nome da política.

A página da política exibe as informações disponíveis sobre a política, incluindo seu ARN, descrição e anexos.
- A guia Content (Conteúdo) mostra o conteúdo atual da política no formato JSON.
- A guia Targets (Alvos) mostra uma lista das raízes, UOs e contas às quais a política está anexada.
- A guia Tags mostra as tags anexadas à política. Observação: a guia Tags não está disponível para políticas gerenciadas pela AWS.
Para editar a política, escolha Editar política. Como cada tipo de política tem requisitos de edição diferentes, consulte as instruções para criar e atualizar políticas do tipo de política especificado.

Os exemplos de código a seguir mostram como usar o DescribePolicy.

CLI

AWS CLI

Como obter informações sobre uma política

O seguinte exemplo mostra como solicitar informações sobre uma política:


aws organizations describe-policy --policy-id p-examplepolicyid111

A saída inclui um objeto de política que contém detalhes sobre a política:


{
        "Policy": {
                "Content": "{\n  \"Version\": \"2012-10-17\",\n  \"Statement\": [\n    {\n      \"Effect\": \"Allow\",\n      \"Action\": \"*\",\n      \"Resource\": \"*\"\n    }\n  ]\n}",
                "PolicySummary": {
                        "Arn": "arn:aws:organizations::111111111111:policy/o-exampleorgid/service_control_policy/p-examplepolicyid111",
                        "Type": "SERVICE_CONTROL_POLICY",
                        "Id": "p-examplepolicyid111",
                        "AwsManaged": false,
                        "Name": "AllowAllS3Actions",
                        "Description": "Enables admins to delegate S3 permissions"
                }
        }
}

Para obter detalhes da API, consulte DescribePolicy na Referência de comandos da AWS CLI.

Python

SDK para Python (Boto3).

nota

Há mais no GitHub. Encontre o exemplo completo e saiba como configurar e executar no Repositório de exemplos de código da AWS.


def describe_policy(policy_id, orgs_client):
    """
    Describes a policy.

    :param policy_id: The ID of the policy to describe.
    :param orgs_client: The Boto3 Organizations client.
    :return: The description of the policy.
    """
    try:
        response = orgs_client.describe_policy(PolicyId=policy_id)
        policy = response["Policy"]
        logger.info("Got policy %s.", policy_id)
    except ClientError:
        logger.exception("Couldn't get policy %s.", policy_id)
        raise
    else:
        return policy

Para obter detalhes da API, consulte DescribePolicy na Referência da API AWS SDK para Python (Boto3).

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Desvincular políticas

Como excluir políticas