Anexando políticas da organização com AWS Organizations

Este tópico descreve como vincular as políticas com o AWS Organizations. Uma política define os controles que você deseja aplicar a um grupo de Contas da AWS.

Tópicos

Vincular políticas

Anexe políticas com AWS Organizations

Permissões mínimas

Para vincular políticas, você deve ter permissão para executar a seguinte ação:

organizations:AttachPolicy

Permissões mínimas

Para anexar uma política de autorização (SCP ou RCP) a uma raiz, OU ou conta, você precisa de permissão para executar a seguinte ação:

organizations:AttachPolicy com um elemento Resource na mesma instrução de política que inclui "*" ou o nome do recurso da Amazon (ARN) da política especificada e o ARN da raiz, UO ou conta que você deseja anexar à política

Service control policies (SCPs)

Você pode anexar uma SCP navegando até a política ou até a raiz, UO ou conta à qual você deseja anexar a política.

Para anexar uma SCP navegando para a raiz, UO ou conta

Faça login no console do AWS Organizations. Você deve fazer login como um usuário do IAM, assumir uma função do IAM ou fazer login como usuário-raiz (não recomendado) na conta de gerenciamento da organização.
Na página Contas da AWS, navegue e marque a caixa de seleção ao lado da raiz, UO ou conta à qual você deseja anexar uma SCP. Talvez seja necessário expandir OUs (escolher a ) para encontrar a OU ou a conta que você deseja.
Na guia Policies (Políticas), na entrada para Service control policies (Políticas de controle de serviço), escolha Attach (Anexar).
Encontre a política que você deseja e escolha Attach policy (Anexar política).

A lista anexada SCPs na guia Políticas foi atualizada para incluir a nova adição. A alteração da política tem efeito imediatamente, afetanto as permissões de usuários e funções do IAM na conta anexada ou em todas as contas na raiz ou UO anexada.

Para anexar uma SCP navegando até a política

Faça login no console do AWS Organizations. Você deve fazer login como um usuário do IAM, assumir uma função do IAM ou fazer login como usuário-raiz (não recomendado) na conta de gerenciamento da organização.
Na página Service control policies (Políticas de controle de serviço), escolha o nome da política que você deseja anexar.
Na guia Targets (Alvos), selecione Attach (Anexar).
Escolha o botão de opção ao lado da raiz, UO ou conta à qual você deseja anexar a política. Talvez seja necessário expandir OUs (escolher a ) para encontrar a OU ou a conta que você deseja.
Escolha Anexar política.

A lista de alvos anexados SCPs na guia Alvos foi atualizada para incluir a nova adição. A alteração da política tem efeito imediatamente, afetanto as permissões de usuários e funções do IAM na conta anexada ou em todas as contas na raiz ou UO anexada.

Resource control policies (RCPs)

Você pode anexar um RCP navegando até a política ou até a raiz, UO ou ou conta à qual deseja anexar a política.

Para anexar um RCP navegando até a raiz, a OU ou a conta

Faça login no console do AWS Organizations. Você deve fazer login como um usuário do IAM, assumir uma função do IAM ou fazer login como usuário-raiz (não recomendado) na conta de gerenciamento da organização.
Na Contas da AWSpágina, navegue até e escolha a caixa de seleção ao lado da raiz, UO ou ou conta à qual você deseja anexar um RCP. Talvez seja necessário expandir OUs (escolher a ) para encontrar a OU ou a conta que você deseja.
Na guia Políticas, na entrada de Políticas de controle de recursos, escolha Anexar.
Encontre a política que você deseja e escolha Attach policy (Anexar política).

A lista anexada RCPs na guia Políticas foi atualizada para incluir a nova adição. A alteração da política entra em vigor imediatamente, afetando as permissões dos recursos na conta anexada ou em todas as contas na raiz ou UO anexada.

Para anexar um RCP navegando até a política

Faça login no console do AWS Organizations. Você deve fazer login como um usuário do IAM, assumir uma função do IAM ou fazer login como usuário-raiz (não recomendado) na conta de gerenciamento da organização.
Na página Política de controle de recursos, escolha o nome da política que você deseja anexar.
Na guia Targets (Alvos), selecione Attach (Anexar).
Escolha o botão de opção ao lado da raiz, UO ou conta à qual você deseja anexar a política. Talvez seja necessário expandir OUs (escolher a ) para encontrar a OU ou a conta que você deseja.
Escolha Anexar política.

A lista de alvos anexados RCPs na guia Alvos foi atualizada para incluir a nova adição. A alteração da política entra em vigor imediatamente, afetando as permissões dos recursos na conta anexada ou em todas as contas na raiz ou UO anexada.

Declarative policies

Você pode anexar uma política declarativa navegando até a política ou até a raiz, UO ou conta à qual deseja anexar a política.

Para anexar uma política declarativa navegando até a raiz, a OU ou a conta

Faça login no console do AWS Organizations. Você deve fazer login como um usuário do IAM, assumir uma função do IAM ou fazer login como usuário-raiz (não recomendado) na conta de gerenciamento da organização.
Na página Contas da AWS, navegue e escolha o nome da raiz, UO ou conta à qual você deseja anexar a política. Talvez seja necessário expandir OUs (escolher a ) para encontrar a OU ou a conta que você deseja.
Na guia Políticas, na entrada de Políticas declarativas, escolha Anexar.
Encontre a política que você deseja e escolha Attach policy (Anexar política).

A lista de políticas declarativas anexadas na guia Políticas foi atualizada para incluir a nova adição. A política entra em vigor imediatamente.

Para anexar uma política declarativa navegando até a política

Faça login no console do AWS Organizations. Você deve fazer login como um usuário do IAM, assumir uma função do IAM ou fazer login como usuário-raiz (não recomendado) na conta de gerenciamento da organização.
Na página Políticas declarativas, escolha o nome da política que você deseja anexar.
Na guia Targets (Alvos), selecione Attach (Anexar).
Escolha o botão de opção ao lado da raiz, UO ou conta à qual você deseja anexar a política. Talvez seja necessário expandir OUs (escolher a ) para encontrar a OU ou a conta que você deseja.
Escolha Anexar política.

A lista de políticas declarativas anexadas na guia Metas foi atualizada para incluir a nova adição. A política entra em vigor imediatamente.

Backup policies

Você pode anexar uma política de backup navegando para a política ou para a raiz, UO ou conta que você deseja anexar à política.

Para anexar a política de backup navegando para uma raiz, UO ou conta

Faça login no console do AWS Organizations. Você deve fazer login como um usuário do IAM, assumir uma função do IAM ou fazer login como usuário-raiz (não recomendado) na conta de gerenciamento da organização.
Na página Contas da AWS, navegue e escolha o nome da raiz, UO ou conta à qual você deseja anexar a política. Talvez seja necessário expandir OUs (escolher a ) para encontrar a OU ou a conta que você deseja.
Na guia Policies (Políticas), na entrada para Backup policies (Políticas de backup), escolha Attach (Anexar).
Encontre a política que você deseja e escolha Attach policy (Anexar política).

A lista de políticas de backup anexadas na guia Policies (Políticas) é atualizada para incluir a nova adição. A política entra em vigor imediatamente.

Para anexar uma política de backup navegando até a política

Faça login no console do AWS Organizations. Você deve fazer login como um usuário do IAM, assumir uma função do IAM ou fazer login como usuário-raiz (não recomendado) na conta de gerenciamento da organização.
Na página Backup policies (Políticas de backup), escolha o nome da política que deseja anexar.
Na guia Targets (Alvos), selecione Attach (Anexar).
Escolha o botão de opção ao lado da raiz, UO ou conta à qual você deseja anexar a política. Talvez seja necessário expandir OUs (escolher a ) para encontrar a OU ou a conta que você deseja.
Escolha Anexar política.

A lista de políticas de backup anexadas na guia Targets (Alvos) é atualizada para incluir a nova adição. A política entra em vigor imediatamente.

Tag policies

Você pode anexar uma política de tag navegando até a política ou até a raiz, UO ou conta à qual você deseja anexar a política.

Para anexar a política de tag navegando para uma raiz, UO ou conta

Faça login no console do AWS Organizations. Você deve fazer login como um usuário do IAM, assumir uma função do IAM ou fazer login como usuário-raiz (não recomendado) na conta de gerenciamento da organização.
Na página Contas da AWS, navegue e escolha o nome da raiz, UO ou conta à qual você deseja anexar a política. Talvez seja necessário expandir OUs (escolher a ) para encontrar a OU ou a conta que você deseja.
Na guia Policies (Políticas), na entrada para Tagpolicies (Políticas de backup), escolha Attach (Anexar).
Encontre a política que você deseja e escolha Attach policy (Anexar política).

A lista de políticas de tag anexadas na guia Policies (Políticas) é atualizada para incluir a nova adição. A política entra em vigor imediatamente.

Para anexar uma política de tag navegando até a política

Faça login no console do AWS Organizations. Você deve fazer login como um usuário do IAM, assumir uma função do IAM ou fazer login como usuário-raiz (não recomendado) na conta de gerenciamento da organização.
Na página Tag policies (Políticas de tag), escolha o nome da política que deseja anexar.
Na guia Targets (Alvos), selecione Attach (Anexar).
Escolha o botão de opção ao lado da raiz, UO ou conta à qual você deseja anexar a política. Talvez seja necessário expandir OUs (escolher a ) para encontrar a OU ou a conta que você deseja.
Escolha Attach policy (Anexar política).

A lista de políticas de tag anexadas na guia Targets (Alvos) é atualizada para incluir a nova adição. A política entra em vigor imediatamente.

Chatbot policies

Você pode anexar uma política de chatbot navegando até a política ou até a raiz, OU ou conta à qual você deseja anexar a política.

Para anexar a política de chatbot navegando para uma raiz, OU ou conta

Faça login no console do AWS Organizations. Você deve fazer login como um usuário do IAM, assumir uma função do IAM ou fazer login como usuário-raiz (não recomendado) na conta de gerenciamento da organização.
Na página Contas da AWS, navegue e escolha o nome da raiz, UO ou conta à qual você deseja anexar a política. Talvez seja necessário expandir OUs (escolher a ) para encontrar a OU ou a conta que você deseja.
Na guia Policies, na entrada para Chatbot policies, escolha Attach.
Encontre a política que você deseja e escolha Attach policy (Anexar política).

A lista de políticas de chatbot anexadas na guia Policies é atualizada para incluir a nova adição. A política entra em vigor imediatamente.

Para anexar uma política de chatbot navegando até a política

Faça login no console do AWS Organizations. Você deve fazer login como um usuário do IAM, assumir uma função do IAM ou fazer login como usuário-raiz (não recomendado) na conta de gerenciamento da organização.
Na página Chatbot policies, escolha o nome da política que deseja anexar.
Na guia Targets (Alvos), selecione Attach (Anexar).
Escolha o botão de opção ao lado da raiz, UO ou conta à qual você deseja anexar a política. Talvez seja necessário expandir OUs (escolher a ) para encontrar a OU ou a conta que você deseja.
Escolha Anexar política.

A lista de políticas de chatbot anexadas na guia Targets é atualizada para incluir a nova adição. A política entra em vigor imediatamente.

AI services opt-out policies

Você pode anexar uma política de exclusão dos serviços de IA navegando até a política ou até a raiz, UO ou conta à qual você deseja anexar a política.

Para anexar uma política de exclusão dos serviços de IA navegando até a raiz, UO ou conta

Faça login no console do AWS Organizations. Você deve fazer login como um usuário do IAM, assumir uma função do IAM ou fazer login como usuário-raiz (não recomendado) na conta de gerenciamento da organização.
Na página Contas da AWS, navegue e escolha o nome da raiz, UO ou conta à qual você deseja anexar a política. Talvez seja necessário expandir OUs (escolher a ) para encontrar a OU ou a conta que você deseja.
Na guia Policies (Políticas), na entrada para Políticas de exclusão de serviço de IA, escolha Attach (Anexar).
Encontre a política que você deseja e escolha Attach policy (Anexar política).

A lista de políticas de exclusão dos serviços de IA anexadas na guia Policies (Políticas) é atualizada para incluir a nova adição. A política entra em vigor imediatamente.

Para anexar uma política de exclusão dos serviços de IA navegando até a política

Faça login no console do AWS Organizations. Você deve fazer login como um usuário do IAM, assumir uma função do IAM ou fazer login como usuário-raiz (não recomendado) na conta de gerenciamento da organização.
Na página AI services opt-out policies (Políticas de exclusão dos serviços de IA), escolha o nome da política que você deseja anexar.
Na guia Targets (Alvos), selecione Attach (Anexar).
Escolha o botão de opção ao lado da raiz, UO ou conta à qual você deseja anexar a política. Talvez seja necessário expandir OUs (escolher a ) para encontrar a OU ou a conta que você deseja.
Escolha Anexar política.

A lista de políticas de exclusão dos serviços de IA anexadas na guia Targets (Alvos) é atualizada para incluir a nova adição. A política entra em vigor imediatamente.

Anexar a política

Os exemplos de código a seguir mostram como usar o AttachPolicy.

.NET

AWS SDK for .NET

nota

Tem mais sobre GitHub. Encontre o exemplo completo e saiba como configurar e executar no Repositório de exemplos de código da AWS.


    using System;
    using System.Threading.Tasks;
    using Amazon.Organizations;
    using Amazon.Organizations.Model;

    /// <summary>
    /// Shows how to attach an AWS Organizations policy to an organization,
    /// an organizational unit, or an account.
    /// </summary>
    public class AttachPolicy
    {
        /// <summary>
        /// Initializes the Organizations client object and then calls the
        /// AttachPolicyAsync method to attach the policy to the root
        /// organization.
        /// </summary>
        public static async Task Main()
        {
            IAmazonOrganizations client = new AmazonOrganizationsClient();
            var policyId = "p-00000000";
            var targetId = "r-0000";

            var request = new AttachPolicyRequest
            {
                PolicyId = policyId,
                TargetId = targetId,
            };

            var response = await client.AttachPolicyAsync(request);

            if (response.HttpStatusCode == System.Net.HttpStatusCode.OK)
            {
                Console.WriteLine($"Successfully attached Policy ID {policyId} to Target ID: {targetId}.");
            }
            else
            {
                Console.WriteLine("Was not successful in attaching the policy.");
            }
        }
    }

Para obter detalhes da API, consulte AttachPolicya Referência AWS SDK for .NET da API.

CLI

AWS CLI

Como anexar uma política a uma raiz, unidade operacional ou conta

Exemplo 1

O seguinte exemplo mostra com anexar uma política de controle de serviços (SCP) a uma unidade operacional (OU):


aws organizations attach-policy
                --policy-id p-examplepolicyid111
                --target-id ou-examplerootid111-exampleouid111

Exemplo 2

O seguinte exemplo mostra como anexar uma política de controle de serviços a uma conta:


aws organizations attach-policy
                --policy-id p-examplepolicyid111
                --target-id 333333333333

Para obter detalhes da API, consulte AttachPolicyem Referência de AWS CLI Comandos.

Python

SDK para Python (Boto3)

nota

Tem mais sobre GitHub. Encontre o exemplo completo e saiba como configurar e executar no Repositório de exemplos de código da AWS.


def attach_policy(policy_id, target_id, orgs_client):
    """
    Attaches a policy to a target. The target is an organization root, account, or
    organizational unit.

    :param policy_id: The ID of the policy to attach.
    :param target_id: The ID of the resources to attach the policy to.
    :param orgs_client: The Boto3 Organizations client.
    """
    try:
        orgs_client.attach_policy(PolicyId=policy_id, TargetId=target_id)
        logger.info("Attached policy %s to target %s.", policy_id, target_id)
    except ClientError:
        logger.exception(
            "Couldn't attach policy %s to target %s.", policy_id, target_id
        )
        raise

Para obter detalhes da API, consulte a AttachPolicyReferência da API AWS SDK for Python (Boto3).

A alteração da política tem efeito imediatamente, afetanto as permissões de usuários e funções do IAM na conta anexada ou em todas as contas na raiz ou UO anexada

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Editar tags anexadas a políticas

Desvincular políticas