使用 AWS Organizations 更新组织策略
当策略要求发生变化时,您可以更新现有策略。
本主题介绍如何使用 AWS Organizations 更新策略。策略用于定义要应用到一组 AWS 账户的控制。AWS Organizations 支持管理策略和授权策略。
更新服务控制策略(SCP)
当登录到您组织的管理账户后,您可以重命名或更改策略内容。更改 SCP 的内容会立即影响所有附加账户中的任何用户、组和角色。
最小权限
若要更新 SCP,您需要运行以下操作的权限:
-
organizations:UpdatePolicy,且同一条策略语句中有一个Resource元素包含所指定策略的 ARN(或“*”)。 -
organizations:DescribePolicy,且同一条策略语句中有一个Resource元素包含所指定策略的 ARN(或“*”)。
- AWS Management Console
-
更新策略
-
登录 AWS Organizations 控制台
。您必须以 IAM 用户的身份登录,担任 IAM 角色;或在组织的管理账户中以根用户的身份登录(不推荐)。 -
在服务控制策略
页面上,选择要更新的策略的名称。 -
在策略的详细信息页面上,选择 Edit policy (编辑策略)。
-
进行以下任何或全部更改:
-
您可以通过在 Policy name (策略名称) 中输入新名称来重命名策略。
-
您可以通过在 Policy description (策略说明) 中输入新文本来更改策略说明。
-
您可以通过在左窗格中以 JSON 格式编辑策略来编辑策略文本。或者,您可以在右侧的编辑器中选择一个语句,然后使用控件更改其元素。有关每个控件的详细信息,请参阅本主题前面的创建 SCP 过程。
-
-
完成后,选择保存更改。
-
- AWS CLI & AWS SDKs
-
更新策略
可以使用以下命令之一来更新策略:
-
AWS CLI:update-policy
以下示例重命名策略。
$aws organizations update-policy \ --policy-id p-i9j8k7l6m5 \ --name "MyRenamedPolicy"{ "Policy": { "PolicySummary": { "Id": "p-i9j8k7l6m5", "Arn": "arn:aws:organizations::123456789012:policy/o-aa111bb222/service_control_policy/p-i9j8k7l6m5", "Name": "MyRenamedPolicy", "Description": "Blocks all IAM actions", "Type": "SERVICE_CONTROL_POLICY", "AwsManaged": false }, "Content": "{\"Version\":\"2012-10-17\",\"Statement\":[{\"Sid\":\"Statement1\",\"Effect\":\"Deny\",\"Action\":[\"iam:*\"],\"Resource\":[\"*\"]}]}" } }以下示例添加或更改服务控制策略的说明。
$aws organizations update-policy \ --policy-id p-i9j8k7l6m5 \ --description "My new policy description"{ "Policy": { "PolicySummary": { "Id": "p-i9j8k7l6m5", "Arn": "arn:aws:organizations::123456789012:policy/o-aa111bb222/service_control_policy/p-i9j8k7l6m5", "Name": "MyRenamedPolicy", "Description": "My new policy description", "Type": "SERVICE_CONTROL_POLICY", "AwsManaged": false }, "Content": "{\"Version\":\"2012-10-17\",\"Statement\":[{\"Sid\":\"Statement1\",\"Effect\":\"Deny\",\"Action\":[\"iam:*\"],\"Resource\":[\"*\"]}]}" } }以下示例通过指定包含新 JSON 策略文本的文件来更改 SCP 的策略文档。
$aws organizations update-policy \ --policy-id p-zlfw1r64 --content file://MyNewPolicyText.json{ "Policy": { "PolicySummary": { "Id": "p-i9j8k7l6m5", "Arn": "arn:aws:organizations::123456789012:policy/o-aa111bb222/service_control_policy/p-i9j8k7l6m5", "Name": "MyRenamedPolicy", "Description": "My new policy description", "Type": "SERVICE_CONTROL_POLICY", "AwsManaged": false }, "Content": "{\"Version\":\"2012-10-17\",\"Statement\":[{\"Sid\":\"AModifiedPolicy\",\"Effect\":\"Deny\",\"Action\":[\"iam:*\"],\"Resource\":[\"*\"]}]}" } } -
AWS SDK:UpdatePolicy
-
更新备份策略
登录到组织的管理账户后,您可以编辑需要在组织中进行更改的策略。
最小权限
要更新备份策略,您必须具有运行以下操作的权限:
-
organizations:UpdatePolicy,且同一条策略语句中有一个Resource元素包含要更新的策略的 ARN(或“*”) -
organizations:DescribePolicy,且同一条策略语句中有一个Resource元素包含要更新的策略的 ARN(或“*”)
- AWS Management Console
-
更新备份策略
-
登录 AWS Organizations 控制台
。您必须以 IAM 用户的身份登录,担任 IAM 角色;或在组织的管理账户中以根用户的身份登录(不推荐)。 -
在 Backup policies (备份策略)
页面上,选择要更新的策略的名称。 -
选择编辑策略。
-
您可以输入一个新的 Policy name (策略名称)、Policy description (策略说明)。您可以通过使用可视化编辑器或通过直接编辑 JSON 来更改策略内容。
-
完成更新策略后,选择保存更改。
-
- AWS CLI & AWS SDKs
-
更新备份策略
您可以使用以下命令之一来更新备份策略:
-
AWS CLI:update-policy
以下示例重命名备份策略。
$aws organizations update-policy \ --policy-id p-i9j8k7l6m5 \ --name "Renamed policy"{ "Policy": { "PolicySummary": { "Id": "p-i9j8k7l6m5", "Arn": "arn:aws:organizations::123456789012:policy/o-aa111bb222/backup_policy/p-i9j8k7l6m5", "Name": "Renamed policy", "Type": "BACKUP_POLICY", "AwsManaged": false }, "Content": "{\"plans\":{\"TestBackupPlan\":{\"regions\":{\"@@assign\": ....TRUNCATED FOR BREVITY.... "@@assign\":[\"Yes\"]}}}}}}}" } }以下示例添加或更改备份策略的说明。
$aws organizations update-policy \ --policy-id p-i9j8k7l6m5 \ --description "My new description"{ "Policy": { "PolicySummary": { "Id": "p-i9j8k7l6m5", "Arn": "arn:aws:organizations::123456789012:policy/o-aa111bb222/backup_policy/p-i9j8k7l6m5", "Name": "Renamed policy", "Description": "My new description", "Type": "BACKUP_POLICY", "AwsManaged": false }, "Content": "{\"plans\":{\"TestBackupPlan\":{\"regions\":{\"@@assign\": ....TRUNCATED FOR BREVITY.... "@@assign\":[\"Yes\"]}}}}}}}" } }以下示例更改附加到备份策略的 JSON 策略文档。在此示例中,内容取自一个名为
policy.json的文件,使用以下文本:{ "plans": { "PII_Backup_Plan": { "regions": { "@@assign": [ "ap-northeast-2", "us-east-1", "eu-north-1" ] }, "rules": { "Hourly": { "schedule_expression": { "@@assign": "cron(0 5/1 ? * * *)" }, "start_backup_window_minutes": { "@@assign": "480" }, "complete_backup_window_minutes": { "@@assign": "10080" }, "lifecycle": { "move_to_cold_storage_after_days": { "@@assign": "180" }, "delete_after_days": { "@@assign": "270" }, "opt_in_to_archive_for_supported_resources": {"@@assign": false} }, "target_backup_vault_name": { "@@assign": "FortKnox" }, "copy_actions": { "arn:aws:backup:us-east-1:$account:backup-vault:secondary-vault": { "lifecycle": { "move_to_cold_storage_after_days": { "@@assign": "10" }, "delete_after_days": { "@@assign": "100" }, "opt_in_to_archive_for_supported_resources": {"@@assign": false} } } } } }, "selections": { "tags": { "datatype": { "iam_role_arn": { "@@assign": "arn:aws:iam::$account:role/MyIamRole" }, "tag_key": { "@@assign": "dataType" }, "tag_value": { "@@assign": [ "PII" ] } } } } } } }$aws organizations update-policy \ --policy-id p-i9j8k7l6m5 \ --content file://policy.json{ "Policy": { "PolicySummary": { "Id": "p-i9j8k7l6m5", "Arn": "arn:aws:organizations::123456789012:policy/o-aa111bb222/backup_policy/p-i9j8k7l6m5", "Name": "Renamed policy", "Description": "My new description", "Type": "BACKUP_POLICY", "AwsManaged": false }, "Content": "{\"plans\":{\"TestBackupPlan\":{\"regions\":{\"@@assign\": ....TRUNCATED FOR BREVITY.... "@@assign\":[\"Yes\"]}}}}}}}" } -
AWS SDK:UpdatePolicy
-
更新标签策略
最小权限
要更新标签策略,您必须具有运行以下操作的权限:
-
organizations:UpdatePolicy,且同一条策略语句中有一个Resource元素包含所指定策略的 ARN(或“*”)。 -
organizations:DescribePolicy,且同一条策略语句中有一个Resource元素包含所指定策略的 ARN(或“*”)。
- AWS Management Console
-
更新标签策略
-
登录 AWS Organizations 控制台
。您必须以 IAM 用户的身份登录,担任 IAM 角色;或在组织的管理账户中以根用户的身份登录(不推荐)。 -
在 Tag policies (标签策略)
页面上,选择要更新的标签策略。 -
选择编辑策略。
-
您可以输入一个新的 Policy name (策略名称)、Policy description (策略说明)。您可以通过使用可视化编辑器或通过编辑 JSON 来更改策略内容。
-
完成更新标签策略后,选择 Save changes (保存更改)。
-
- AWS CLI & AWS SDKs
-
更新策略
您可以使用以下命令之一来更新策略:
-
AWS CLI:update-policy
以下示例重命名标签策略。
$aws organizations update-policy \ --policy-id p-i9j8k7l6m5 \ --name "Renamed tag policy"{ "Policy": { "PolicySummary": { "Id": "p-i9j8k7l6m5", "Arn": "arn:aws:organizations::123456789012:policy/o-aa111bb222/tag_policy/p-i9j8k7l6m5", "Name": "Renamed tag policy", "Type": "TAG_POLICY", "AwsManaged": false }, "Content": "{\n\"tags\":{\n\"CostCenter\":{\n\"tag_key\":{\n\"@@assign\":\"CostCenter\"\n}\n}\n}\n}\n\n" } }以下示例添加或更改标签策略的说明。
$aws organizations update-policy \ --policy-id p-i9j8k7l6m5 \ --description "My new tag policy description"{ "Policy": { "PolicySummary": { "Id": "p-i9j8k7l6m5", "Arn": "arn:aws:organizations::123456789012:policy/o-aa111bb222/tag_policy/p-i9j8k7l6m5", "Name": "Renamed tag policy", "Description": "My new tag policy description", "Type": "TAG_POLICY", "AwsManaged": false }, "Content": "{\n\"tags\":{\n\"CostCenter\":{\n\"tag_key\":{\n\"@@assign\":\"CostCenter\"\n}\n}\n}\n}\n\n" } }以下示例更改附加到 AI 服务选择退出策略的 JSON 策略文档。在此示例中,内容取自一个名为
policy.json的文件,使用以下文本:{ "tags": { "Stage": { "tag_key": { "@@assign": "Stage" }, "tag_value": { "@@assign": [ "Production", "Test" ] } } } }$aws organizations update-policy \ --policy-id p-i9j8k7l6m5 \ --content file://policy.json{ "Policy": { "PolicySummary": { "Id": "p-i9j8k7l6m5", "Arn": "arn:aws:organizations::123456789012:policy/o-aa111bb222/tag_policy/p-i9j8k7l6m5", "Name": "Renamed tag policy", "Description": "My new tag policy description", "Type": "TAG_POLICY", "AwsManaged": false }, "Content": "{\"tags\":{\"Stage\":{\"tag_key\":{\"@@assign\":\"Stage\"},\"tag_value\":{\"@@assign\":[\"Production\",\"Test\"]},\"enforced_for\":{\"@@assign\":[\"ec2:instance\"]}}}}" } -
AWS SDK:UpdatePolicy
-
更新聊天机器人策略
最小权限
要更新聊天机器人策略,您必须具有运行以下操作的权限:
-
organizations:UpdatePolicy,且同一条策略语句中有一个Resource元素包含所指定策略的 ARN(或“*”)。 -
organizations:DescribePolicy,且同一条策略语句中有一个Resource元素包含所指定策略的 ARN(或“*”)。
- AWS Management Console
-
更新聊天机器人策略
-
登录 AWS Organizations 控制台
。您必须以 IAM 用户的身份登录,担任 IAM 角色;或在组织的管理账户中以根用户的身份登录(不推荐)。 -
在聊天机器人策略
页面上,选择要更新的聊天机器人策略。 -
选择编辑策略。
-
您可以输入一个新的 Policy name (策略名称)、Policy description (策略说明)。您可以通过使用可视化编辑器或通过编辑 JSON 来更改策略内容。
-
完成更新标签策略后,选择 Save changes (保存更改)。
-
- AWS CLI & AWS SDKs
-
更新策略
您可以使用以下命令之一来更新策略:
-
AWS CLI:update-policy
以下示例会重命名一个聊天机器人策略。
$aws organizations update-policy \ --policy-id p-i9j8k7l6m5 \ --name "Renamed chatbot policy"{ "Policy": { "PolicySummary": { "Id": "p-i9j8k7l6m5", "Arn": "arn:aws:organizations::123456789012:policy/o-aa111bb222/chatbot_policy/p-i9j8k7l6m5", "Name": "Renamed chatbot policy", "Type": "CHATBOT_POLICY", "AwsManaged": false }, "Content": "{"chatbot":{"platforms":{"slack":{"client":{"@@assign":"enabled"},"workspaces":{"@@assign":["Slack-Workspace-Id"]},"default":{"supported_channel_types":{"@@assign":["private"]}}},"microsoft_teams":{"client":{"@@assign":"disabled"}}}}}" } } -
AWS SDK:UpdatePolicy
-
更新 AI 服务选择退出策略
最小权限
要更新 AI 服务选择退出策略,您必须具有运行以下操作的权限:
-
organizations:UpdatePolicy,且同一条策略语句中有一个Resource元素包含所指定策略的 ARN(或“*”)。 -
organizations:DescribePolicy,且同一条策略语句中有一个Resource元素包含所指定策略的 Amazon Resource Name(ARN)(或“*”)。
- AWS Management Console
-
更新 AI 服务选择退出策略
-
登录 AWS Organizations 控制台
。您必须以 IAM 用户的身份登录,担任 IAM 角色;或在组织的管理账户中以根用户的身份登录(不推荐)。 -
在 AI services opt-out policies (AI 服务选择退出策略)
页面上,选择要更新的策略的名称。 -
在策略的详细信息页面上,选择 Edit policy (编辑策略)。
-
您可以输入一个新的 Policy name (策略名称)、Policy description (策略说明),或编辑 JSON 策略文本。有关 AI 服务选择退出策略语法的信息,请参阅AI 服务选择退出策略语法和示例。有关可用作起始点的策略的示例,请参阅AI 服务选择退出策略示例。
-
完成更新策略后,选择保存更改。
-
- AWS CLI & AWS SDKs
-
更新策略
您可以使用以下命令之一来更新策略:
-
AWS CLI:update-policy
以下示例重命名 AI 服务选择退出策略。
$aws organizations update-policy \ --policy-id p-i9j8k7l6m5 \ --name "Renamed policy"{ "Policy": { "PolicySummary": { "Id": "p-i9j8k7l6m5", "Arn": "arn:aws:organizations::123456789012:policy/o-aa111bb222/aiservices_opt_out_policy/p-i9j8k7l6m5", "Name": "Renamed policy", "Type": "AISERVICES_OPT_OUT_POLICY", "AwsManaged": false }, "Content": "{\"services\":{\"default\":{\"opt_out_policy\": ....TRUNCATED FOR BREVITY... :{\"@@assign\":\"optIn\"}}}}" } }以下示例添加或更改 AI 服务选择退出策略的说明。
$aws organizations update-policy \ --policy-id p-i9j8k7l6m5 \ --description "My new description"{ "Policy": { "PolicySummary": { "Id": "p-i9j8k7l6m5", "Arn": "arn:aws:organizations::123456789012:policy/o-aa111bb222/aiservices_opt_out_policy/p-i9j8k7l6m5", "Name": "Renamed policy", "Description": "My new description", "Type": "AISERVICES_OPT_OUT_POLICY", "AwsManaged": false }, "Content": "{\"services\":{\"default\":{\"opt_out_policy\": ....TRUNCATED FOR BREVITY... :{\"@@assign\":\"optIn\"}}}}" } }以下示例更改附加到 AI 服务选择退出策略的 JSON 策略文档。在此示例中,内容取自一个名为
policy.json的文件,使用以下文本:{ "services": { "default": { "opt_out_policy": { "@@assign": "optOut" } }, "comprehend": { "opt_out_policy": { "@@operators_allowed_for_child_policies": ["@@none"], "@@assign": "optOut" } }, "rekognition": { "opt_out_policy": { "@@assign": "optIn" } } } }$aws organizations update-policy \ --policy-id p-i9j8k7l6m5 \ --content file://policy.json{ "Policy": { "PolicySummary": { "Id": "p-i9j8k7l6m5", "Arn": "arn:aws:organizations::123456789012:policy/o-aa111bb222/aiservices_opt_out_policy/p-i9j8k7l6m5", "Name": "Renamed policy", "Description": "My new description", "Type": "AISERVICES_OPT_OUT_POLICY", "AwsManaged": false }, "Content": "{\n\"services\": {\n\"default\": {\n\" ....TRUNCATED FOR BREVITY.... ": \"optIn\"\n}\n}\n}\n}\n"} } -
AWS SDK:UpdatePolicy
-
