使用 AWS Organizations 附加组织策略 - AWS Organizations
附加策略

使用 AWS Organizations 附加组织策略

本主题介绍如何使用 AWS Organizations 附加策略。策略用于定义要应用到一组 AWS 账户的控制。AWS Organizations 支持管理策略和授权策略。

使用 AWS Organizations 附加策略

最小权限

要附加策略,您必须具有运行以下操作的权限:

  • organizations:AttachPolicy

最小权限

要将 SCP 附加到根、OU 或账户,您需要运行以下操作的权限:

  • organizations:AttachPolicy,且同一条策略语句中有一个 Resource 元素包含“*”、指定策略的 Amazon Resource Name(ARN)或是您要附加该策略的根、OU 或账户的 ARN。

Service control policies (SCPs)

您可以导航到要附加策略的根、OU 或账户,为其附加 SCP。

通过导航到根、OU 或账户来附加 SCP

  1. 登录 AWS Organizations 控制台。您必须以 IAM 用户的身份登录,担任 IAM 角色;或在组织的管理账户中以根用户的身份登录(不推荐)。

  2. AWS 账户页面上,导航到要将 SCP 附加到的根、OU 或账户,并选择其旁边的复选框。您可能需要展开 OU(选择 Gray cloud icon representing cloud computing or storage services. )以查找所需的 OU 或账户。

  3. Policies (策略) 选项卡上的 Service control policies (服务控制策略) 条目中,选择 Attach (附加)

  4. 找到所需的策略,然后选择 Attach policy (附加策略)

    Policies (策略) 选项卡上的附加的 SCP 列表会更新,以包含新添加的内容。策略更改会立即影响所附加的根或 OU 下方的所附加账户或所有账户中 IAM 用户和角色的权限。

通过导航到策略来附加 SCP

  1. 登录 AWS Organizations 控制台。您必须以 IAM 用户的身份登录,担任 IAM 角色;或在组织的管理账户中以根用户的身份登录(不推荐)。

  2. Service control policies (服务控制策略) 页面上,选择要附加的策略的名称。

  3. Targets (目标) 选项卡上,选择 Attach (附加)

  4. 选择要附加策略的根、OU 或账户旁边的单选按钮。您可能需要展开 OU(选择 Gray cloud icon representing cloud computing or storage services. )以查找所需的 OU 或账户。

  5. 选择附加策略

    Targets (目标) 选项卡上的附加的 SCP 列表会更新,以包含新添加的内容。策略更改会立即影响所附加的根或 OU 下方的所附加账户或所有账户中 IAM 用户和角色的权限。

Backup policies

您可以导航到要附加策略的根、OU 或账户,为其附加备份策略。

通过导航到根、OU 或账户来附加备份策略

  1. 登录 AWS Organizations 控制台。您必须以 IAM 用户的身份登录,担任 IAM 角色;或在组织的管理账户中以根用户的身份登录(不推荐)。

  2. AWS 账户页面上,导航到要将策略附加到的根、OU 或账户的相应名称并选择其名称。您可能需要展开 OU(选择 Gray cloud icon representing cloud computing or storage services. )以查找所需的 OU 或账户。

  3. Policies (策略) 选项卡上的 Backup policies (备份策略) 中,选择 Attach (附加)

  4. 找到所需的策略,然后选择 Attach policy (附加策略)

    Policies (策略) 选项卡上的附加的备份策略列表会更新,以包含新添加的内容。策略更改会立即生效。

通过导航到策略来附加备份策略

  1. 登录 AWS Organizations 控制台。您必须以 IAM 用户的身份登录,担任 IAM 角色;或在组织的管理账户中以根用户的身份登录(不推荐)。

  2. Backup policies (备份策略) 页面上,选择要附加的策略的名称。

  3. Targets (目标) 选项卡上,选择 Attach (附加)

  4. 选择要附加策略的根、OU 或账户旁边的单选按钮。您可能需要展开 OU(选择 Gray cloud icon representing cloud computing or storage services. )以查找所需的 OU 或账户。

  5. 选择附加策略

    Targets (目标) 选项卡上的附加的备份策略列表会更新,以包含新添加的内容。策略更改会立即生效。

Tag policies

您可以导航到要附加策略的根、OU 或账户,为其附加标签策略。

通过导航到根、OU 或账户来附加标签策略

  1. 登录 AWS Organizations 控制台。您必须以 IAM 用户的身份登录,担任 IAM 角色;或在组织的管理账户中以根用户的身份登录(不推荐)。

  2. AWS 账户页面上,导航到要将策略附加到的根、OU 或账户的相应名称并选择其名称。您可能需要展开 OU(选择 Gray cloud icon representing cloud computing or storage services. )以查找所需的 OU 或账户。

  3. Policies (策略) 选项卡上的 Tag policies (标签策略) 中,选择 Attach (附加)

  4. 找到所需的策略,然后选择 Attach policy (附加策略)

    Policies (策略) 选项卡上的附加的标签策略列表会更新,以包含新添加的内容。策略更改会立即生效。

通过导航到策略来附加标签策略

  1. 登录 AWS Organizations 控制台。您必须以 IAM 用户的身份登录,担任 IAM 角色;或在组织的管理账户中以根用户的身份登录(不推荐)。

  2. Tag policies (标签策略) 页面上,选择要附加的策略的名称。

  3. Targets (目标) 选项卡上,选择 Attach (附加)

  4. 选择要附加策略的根、OU 或账户旁边的单选按钮。您可能需要展开 OU(选择 Gray cloud icon representing cloud computing or storage services. )以查找所需的 OU 或账户。

  5. 选择附加策略

    Targets (目标) 选项卡上的附加的标签策略列表会更新,以包含新添加的内容。策略更改会立即生效。

Chatbot policies

您可以导航到要附加策略的根、OU 或账户,为其附加聊天机器人策略。

通过导航到根、OU 或账户来附加聊天机器人策略

  1. 登录 AWS Organizations 控制台。您必须以 IAM 用户的身份登录,担任 IAM 角色;或在组织的管理账户中以根用户的身份登录(不推荐)。

  2. AWS 账户页面上,导航到要将策略附加到的根、OU 或账户的相应名称并选择其名称。您可能需要展开 OU(选择 Gray cloud icon representing cloud computing or storage services. )以查找所需的 OU 或账户。

  3. 策略选项卡的聊天机器人策略条目中,选择附加

  4. 找到所需的策略,然后选择 Attach policy (附加策略)

    策略选项卡上的已附加聊天机器人策略列表将会更新,以包含新添加的策略。策略更改会立即生效。

通过导航到策略来附加聊天机器人策略

  1. 登录 AWS Organizations 控制台。您必须以 IAM 用户的身份登录,担任 IAM 角色;或在组织的管理账户中以根用户的身份登录(不推荐)。

  2. 聊天机器人策略页面上,选择要附加的策略的名称。

  3. Targets (目标) 选项卡上,选择 Attach (附加)

  4. 选择要附加策略的根、OU 或账户旁边的单选按钮。您可能需要展开 OU(选择 Gray cloud icon representing cloud computing or storage services. )以查找所需的 OU 或账户。

  5. 选择附加策略

    目标选项卡上的已附加聊天机器人策略列表会更新,以包含新添加的策略。策略更改会立即生效。

AI services opt-out policies

您可以导航到要附加策略的根、OU 或账户,为其附加 AI 服务选择退出策略。

通过导航到根、OU 或账户来附加 AI 服务选择退出策略

  1. 登录 AWS Organizations 控制台。您必须以 IAM 用户的身份登录,担任 IAM 角色;或在组织的管理账户中以根用户的身份登录(不推荐)。

  2. AWS 账户页面上,导航到要将策略附加到的根、OU 或账户的相应名称并选择其名称。您可能需要展开 OU(选择 Gray cloud icon representing cloud computing or storage services. )以查找所需的 OU 或账户。

  3. Policies (策略) 选项卡上的 AI service opt-out policies (AI 服务选择退出策略) 条目中,选择 Attach (附加)

  4. 找到所需的策略,然后选择 Attach policy (附加策略)

    Policies (策略) 选项卡上的附加的 AI 服务选择退出策略列表会更新,以包含新添加的内容。策略更改会立即生效。

通过导航到策略来附加 AI 服务选择退出策略

  1. 登录 AWS Organizations 控制台。您必须以 IAM 用户的身份登录,担任 IAM 角色;或在组织的管理账户中以根用户的身份登录(不推荐)。

  2. AI services opt-out policies (AI 服务选择退出策略) 页面上,选择要附加的策略的名称。

  3. Targets (目标) 选项卡上,选择 Attach (附加)

  4. 选择要附加策略的根、OU 或账户旁边的单选按钮。您可能需要展开 OU(选择 Gray cloud icon representing cloud computing or storage services. )以查找所需的 OU 或账户。

  5. 选择附加策略

    Targets (目标) 选项卡上的附加的 AI 服务选择退出策略列表会更新,以包含新添加的内容。策略更改会立即生效。

策略更改会立即影响所附加的根或 OU 下方的所附加账户或所有账户中 IAM 用户和角色的权限

附加策略

以下代码示例演示如何使用 AttachPolicy

.NET
AWS SDK for .NET
注意

在 GitHub 上查看更多内容。查找完整示例,学习如何在 AWS 代码示例存储库中进行设置和运行。

    using System;
    using System.Threading.Tasks;
    using Amazon.Organizations;
    using Amazon.Organizations.Model;

    /// <summary>
    /// Shows how to attach an AWS Organizations policy to an organization,
    /// an organizational unit, or an account.
    /// </summary>
    public class AttachPolicy
    {
        /// <summary>
        /// Initializes the Organizations client object and then calls the
        /// AttachPolicyAsync method to attach the policy to the root
        /// organization.
        /// </summary>
        public static async Task Main()
        {
            IAmazonOrganizations client = new AmazonOrganizationsClient();
            var policyId = "p-00000000";
            var targetId = "r-0000";

            var request = new AttachPolicyRequest
            {
                PolicyId = policyId,
                TargetId = targetId,
            };

            var response = await client.AttachPolicyAsync(request);

            if (response.HttpStatusCode == System.Net.HttpStatusCode.OK)
            {
                Console.WriteLine($"Successfully attached Policy ID {policyId} to Target ID: {targetId}.");
            }
            else
            {
                Console.WriteLine("Was not successful in attaching the policy.");
            }
        }
    }

  • 有关 API 的详细信息,请参阅《AWS SDK for .NET API 参考》中的 AttachPolicy

CLI
AWS CLI

将策略附加到根、OU 或账户

示例 1

以下示例演示如何将服务控制策略(SCP)附加到 OU:

aws organizations attach-policy
                --policy-id p-examplepolicyid111
                --target-id ou-examplerootid111-exampleouid111

示例 2

以下示例演示如何将服务控制策略直接附加到账户:

aws organizations attach-policy
                --policy-id p-examplepolicyid111
                --target-id 333333333333

  • 有关 API 详细信息,请参阅《AWS CLI 命令参考》中的 AttachPolicy

Python
SDK for Python (Boto3)
注意

查看 GitHub,了解更多信息。查找完整示例,学习如何在 AWS 代码示例存储库中进行设置和运行。

def attach_policy(policy_id, target_id, orgs_client):
    """
    Attaches a policy to a target. The target is an organization root, account, or
    organizational unit.

    :param policy_id: The ID of the policy to attach.
    :param target_id: The ID of the resources to attach the policy to.
    :param orgs_client: The Boto3 Organizations client.
    """
    try:
        orgs_client.attach_policy(PolicyId=policy_id, TargetId=target_id)
        logger.info("Attached policy %s to target %s.", policy_id, target_id)
    except ClientError:
        logger.exception(
            "Couldn't attach policy %s to target %s.", policy_id, target_id
        )
        raise

  • 有关 API 详细信息,请参阅《AWS SDK for Python (Boto3) API 参考》中的 AttachPolicy

策略更改会立即影响所附加的根或 OU 下方的所附加账户或所有账户中 IAM 用户和角色的权限