将组织策略附加到 AWS Organizations - AWS Organizations
附加策略

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

将组织策略附加到 AWS Organizations

本主题介绍如何使用附加策略 AWS Organizations。策略定义了您要应用于一组的控制措施 AWS 账户。 AWS Organizations 支持管理策略和授权策略。

将策略附加到 AWS Organizations

最小权限

要附加策略,您必须拥有运行以下操作的权限:

  • organizations:AttachPolicy

最小权限

要将关联SCP到根、OU 或账户,您需要获得运行以下操作的权限:

  • organizations:AttachPolicy在同一份政策声明中加入一个Resource元素,包括指定策略的 “*” 或 Amazon 资源名称 (ARN) 以及您要将该政策附加到的根、OU 或账户 ARN

Service control policies (SCPs)

您可以SCP通过导航到策略或要将策略关联到的根目录、OU 或账户来附加。

要附加SCP,请导航到根目录、组织单位或账户

  1. 登录 AWS Organizations 控制台。您必须以IAM用户身份登录、代入IAM角色或以 root 用户身份登录(不推荐)在组织的管理账户中登录。

  2. AWS 账户页面上,导航到要附加的根、OU 或账户旁边的复选框。SCP您可能需要展开OUs(选择 Gray cloud icon representing cloud computing or storage services. )才能找到所需的 OU 或帐户。

  3. Policies (策略) 选项卡上的 Service control policies (服务控制策略) 条目中,选择 Attach (附加)

  4. 找到所需的策略,然后选择 Attach policy (附加策略)

    策略” 选项卡SCPs上的附件列表已更新,以包含新增内容。政策变更会立即生效,影响关联账户中的IAM用户和角色的权限,或者影响关联的根账户或 OU 下的所有账户的权限。

要附加SCP,请导航到策略

  1. 登录 AWS Organizations 控制台。您必须以IAM用户身份登录、代入IAM角色或以 root 用户身份登录(不推荐)在组织的管理账户中登录。

  2. Service control policies (服务控制策略) 页面上,选择要附加的策略的名称。

  3. Targets (目标) 选项卡上,选择 Attach (附加)

  4. 选择要附加策略的根、OU 或账户旁边的单选按钮。您可能需要展开OUs(选择 Gray cloud icon representing cloud computing or storage services. )才能找到所需的 OU 或帐户。

  5. 选择附加策略

    目标” 选项卡SCPs上的附件列表已更新,以包含新增内容。政策变更会立即生效,影响关联账户中的IAM用户和角色的权限,或者影响关联的根账户或 OU 下的所有账户的权限。

Backup policies

您可以导航到要附加策略的根、OU 或账户,为其附加备份策略。

通过导航到根、OU 或账户来附加备份策略

  1. 登录 AWS Organizations 控制台。您必须以IAM用户身份登录、代入IAM角色或以 root 用户身份登录(不推荐)在组织的管理账户中登录。

  2. AWS 账户页面上,导航到要将策略附加到的根、OU 或账户的相应名称并选择其名称。您可能需要展开OUs(选择 Gray cloud icon representing cloud computing or storage services. )才能找到所需的 OU 或帐户。

  3. Policies (策略) 选项卡上的 Backup policies (备份策略) 中,选择 Attach (附加)

  4. 找到所需的策略,然后选择 Attach policy (附加策略)

    Policies (策略) 选项卡上的附加的备份策略列表会更新,以包含新添加的内容。策略更改会立即生效。

通过导航到策略来附加备份策略

  1. 登录 AWS Organizations 控制台。您必须以IAM用户身份登录、代入IAM角色或以 root 用户身份登录(不推荐)在组织的管理账户中登录。

  2. Backup policies (备份策略) 页面上,选择要附加的策略的名称。

  3. Targets (目标) 选项卡上,选择 Attach (附加)

  4. 选择要附加策略的根、OU 或账户旁边的单选按钮。您可能需要展开OUs(选择 Gray cloud icon representing cloud computing or storage services. )才能找到所需的 OU 或帐户。

  5. 选择附加策略

    Targets (目标) 选项卡上的附加的备份策略列表会更新,以包含新添加的内容。策略更改会立即生效。

Tag policies

您可以导航到要附加策略的根、OU 或账户,为其附加标签策略。

通过导航到根、OU 或账户来附加标签策略

  1. 登录 AWS Organizations 控制台。您必须以IAM用户身份登录、代入IAM角色或以 root 用户身份登录(不推荐)在组织的管理账户中登录。

  2. AWS 账户页面上,导航到要将策略附加到的根、OU 或账户的相应名称并选择其名称。您可能需要展开OUs(选择 Gray cloud icon representing cloud computing or storage services. )才能找到所需的 OU 或帐户。

  3. Policies (策略) 选项卡上的 Tag policies (标签策略) 中,选择 Attach (附加)

  4. 找到所需的策略,然后选择 Attach policy (附加策略)

    Policies (策略) 选项卡上的附加的标签策略列表会更新,以包含新添加的内容。策略更改会立即生效。

通过导航到策略来附加标签策略

  1. 登录 AWS Organizations 控制台。您必须以IAM用户身份登录、代入IAM角色或以 root 用户身份登录(不推荐)在组织的管理账户中登录。

  2. Tag policies (标签策略) 页面上,选择要附加的策略的名称。

  3. Targets (目标) 选项卡上,选择 Attach (附加)

  4. 选择要附加策略的根、OU 或账户旁边的单选按钮。您可能需要展开OUs(选择 Gray cloud icon representing cloud computing or storage services. )才能找到所需的 OU 或帐户。

  5. 选择附加策略

    Targets (目标) 选项卡上的附加的标签策略列表会更新,以包含新添加的内容。策略更改会立即生效。

Chatbot policies

您可以通过导航到策略或要关联策略的根、OU 或账户来附加聊天机器人策略。

通过导航到根目录、OU 或账号来附加聊天机器人政策

  1. 登录 AWS Organizations 控制台。您必须以IAM用户身份登录、代入IAM角色或以 root 用户身份登录(不推荐)在组织的管理账户中登录。

  2. AWS 账户页面上,导航到要将策略附加到的根、OU 或账户的相应名称并选择其名称。您可能需要展开OUs(选择 Gray cloud icon representing cloud computing or storage services. )才能找到所需的 OU 或帐户。

  3. 在 “策略” 选项卡的 Chatbot 策略条目中,选择 “附加”。

  4. 找到所需的策略,然后选择 Attach policy (附加策略)

    “政策” 选项卡上附加的聊天机器人政策列表已更新,以包含新增的政策。策略更改会立即生效。

通过导航到策略来附加聊天机器人政策

  1. 登录 AWS Organizations 控制台。您必须以IAM用户身份登录、代入IAM角色或以 root 用户身份登录(不推荐)在组织的管理账户中登录。

  2. Chatbot 策略页面上,选择要附加的策略名称。

  3. Targets (目标) 选项卡上,选择 Attach (附加)

  4. 选择要附加策略的根、OU 或账户旁边的单选按钮。您可能需要展开OUs(选择 Gray cloud icon representing cloud computing or storage services. )才能找到所需的 OU 或帐户。

  5. 选择附加策略

    Targets 选项卡上附加的聊天机器人策略列表已更新,以包含新增的策略。策略更改会立即生效。

AI services opt-out policies

您可以导航到要附加策略的根、OU 或账户,为其附加 AI 服务选择退出策略。

通过导航到根、OU 或账户来附加 AI 服务选择退出策略

  1. 登录 AWS Organizations 控制台。您必须以IAM用户身份登录、代入IAM角色或以 root 用户身份登录(不推荐)在组织的管理账户中登录。

  2. AWS 账户页面上,导航到要将策略附加到的根、OU 或账户的相应名称并选择其名称。您可能需要展开OUs(选择 Gray cloud icon representing cloud computing or storage services. )才能找到所需的 OU 或帐户。

  3. Policies (策略) 选项卡上的 AI service opt-out policies (AI 服务选择退出策略) 条目中,选择 Attach (附加)

  4. 找到所需的策略,然后选择 Attach policy (附加策略)

    Policies (策略) 选项卡上的附加的 AI 服务选择退出策略列表会更新,以包含新添加的内容。策略更改会立即生效。

通过导航到策略来附加 AI 服务选择退出策略

  1. 登录 AWS Organizations 控制台。您必须以IAM用户身份登录、代入IAM角色或以 root 用户身份登录(不推荐)在组织的管理账户中登录。

  2. AI services opt-out policies (AI 服务选择退出策略) 页面上,选择要附加的策略的名称。

  3. Targets (目标) 选项卡上,选择 Attach (附加)

  4. 选择要附加策略的根、OU 或账户旁边的单选按钮。您可能需要展开OUs(选择 Gray cloud icon representing cloud computing or storage services. )才能找到所需的 OU 或帐户。

  5. 选择附加策略

    Targets (目标) 选项卡上的附加的 AI 服务选择退出策略列表会更新,以包含新添加的内容。策略更改会立即生效。

政策变更会立即生效,影响关联账户中的IAM用户和角色的权限,或者影响附加的根账户或 OU 下的所有账户的权限

附加政策

以下代码示例演示如何使用 AttachPolicy

.NET
AWS SDK for .NET
注意

还有更多相关信息 GitHub。查找完整示例,学习如何在 AWS 代码示例存储库中进行设置和运行。

    using System;
    using System.Threading.Tasks;
    using Amazon.Organizations;
    using Amazon.Organizations.Model;

    /// <summary>
    /// Shows how to attach an AWS Organizations policy to an organization,
    /// an organizational unit, or an account.
    /// </summary>
    public class AttachPolicy
    {
        /// <summary>
        /// Initializes the Organizations client object and then calls the
        /// AttachPolicyAsync method to attach the policy to the root
        /// organization.
        /// </summary>
        public static async Task Main()
        {
            IAmazonOrganizations client = new AmazonOrganizationsClient();
            var policyId = "p-00000000";
            var targetId = "r-0000";

            var request = new AttachPolicyRequest
            {
                PolicyId = policyId,
                TargetId = targetId,
            };

            var response = await client.AttachPolicyAsync(request);

            if (response.HttpStatusCode == System.Net.HttpStatusCode.OK)
            {
                Console.WriteLine($"Successfully attached Policy ID {policyId} to Target ID: {targetId}.");
            }
            else
            {
                Console.WriteLine("Was not successful in attaching the policy.");
            }
        }
    }

  • 有关API详细信息,请参阅 “AWS SDK for .NET API参考 AttachPolicy” 中的。

CLI
AWS CLI

将策略附加到根、OU 或账户

示例 1

以下示例说明如何将服务控制策略 (SCP) 附加到 OU:

aws organizations attach-policy
                --policy-id p-examplepolicyid111
                --target-id ou-examplerootid111-exampleouid111

示例 2

以下示例演示如何将服务控制策略直接附加到账户:

aws organizations attach-policy
                --policy-id p-examplepolicyid111
                --target-id 333333333333
Python
SDK适用于 Python (Boto3)
注意

还有更多相关信息 GitHub。查找完整示例,学习如何在 AWS 代码示例存储库中进行设置和运行。

def attach_policy(policy_id, target_id, orgs_client):
    """
    Attaches a policy to a target. The target is an organization root, account, or
    organizational unit.

    :param policy_id: The ID of the policy to attach.
    :param target_id: The ID of the resources to attach the policy to.
    :param orgs_client: The Boto3 Organizations client.
    """
    try:
        orgs_client.attach_policy(PolicyId=policy_id, TargetId=target_id)
        logger.info("Attached policy %s to target %s.", policy_id, target_id)
    except ClientError:
        logger.exception(
            "Couldn't attach policy %s to target %s.", policy_id, target_id
        )
        raise

  • 有关API详细信息,请参阅AttachPolicy中的 AWS SDKPython (Boto3) API 参考。

政策变更会立即生效,影响关联账户中的IAM用户和角色的权限,或者影响附加的根账户或 OU 下的所有账户的权限