本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
使用 連接組織政策 AWS Organizations
本主題說明如何連接政策 AWS Organizations。政策會定義您要套用至 群組的控制項 AWS 帳戶。
主題
使用 連接政策 AWS Organizations
最低許可
若要連接政策,您必須具有執行下列動作的許可:
-
organizations:AttachPolicy
最低許可
若要將授權政策 (SCP 或 RCP) 連接至根帳戶、OU 帳戶,您需要執行下列動作的許可:
-
organizations:AttachPolicy,並在包含 "*" 或指定政策的 Amazon Resource Name(ARN)和您要連接政策的根、OU 或帳戶的 ARN 的相同政策陳述式中具有Resource元素
- Service control policies (SCPs)
-
您可以導覽至政策或連接政策的根、OU 或帳戶,以連接 SCP 政策。
導覽至根、OU 或帳戶以連接 SCP 政策
-
登入 AWS Organizations 主控台
。您必須以 IAM 使用者登入、擔任 IAM 角色,或是以組織管理帳戶中的根使用者 (不建議) 身分登入。 -
在 AWS 帳戶
頁面上,導覽至您要連接 SCP 的根、OU 或帳戶旁邊的核取方塊,然後選擇。您可能需要展開 OU (選擇 
),以尋找您所需的 OU 和帳戶。 -
在 Policies (政策) 索引標籤的 Service control policies (服務控制政策) 項目中,選擇 Attach (連接)。
-
尋找您所需的政策,然後選擇 Attach policy (連接政策)。
Policies (政策) 索引標籤上的連接的 SCP 清單會更新,以包含新的新增項目。政策變更會立即影響連接的帳戶中 IAM 使用者和角色或連接的根或 OU 下所有帳戶的許可。
導覽至政策以連接 SCP
-
登入 AWS Organizations 主控台
。您必須以 IAM 使用者登入、擔任 IAM 角色,或是以組織管理帳戶中的根使用者 (不建議) 身分登入。 -
在 Service control policies
(服務控制政策) 頁面上,選擇您要連接的政策名稱。 -
在 Targets (目標) 索引標籤上,選擇 Attach (連接)。
-
選擇您要連接政策的根、OU 或帳戶旁的選項按鈕。您可能需要展開 OU (選擇
),以尋找您所需的 OU 和帳戶。 -
選擇連接政策。
Targets (目標) 索引標籤上的連接的 SCP 清單會更新,以包含新的新增項目。政策變更會立即影響連接的帳戶中 IAM 使用者和角色或連接的根或 OU 下所有帳戶的許可。
-
- Resource control policies (RCPs)
-
您可以透過導覽至政策或要連接政策的根帳戶、OU 或帳戶來連接 RCP。
若要透過導覽至根、OU 或帳戶來連接 RCP
-
登入 AWS Organizations 主控台
。您必須以 IAM 使用者登入、擔任 IAM 角色,或是以組織管理帳戶中的根使用者 (不建議) 身分登入。 -
在AWS 帳戶
頁面上,導覽至 ,然後選擇您要連接 RCP 的根帳戶、OU 帳戶或帳戶旁的核取方塊。您可能需要展開 OU (選擇
),以尋找您所需的 OU 和帳戶。 -
在政策索引標籤中,在資源控制政策的項目中,選擇連接。
-
尋找您所需的政策,然後選擇 Attach policy (連接政策)。
政策索引標籤上連接的 RCPs 清單會更新為包含新的新增項目。政策變更會立即生效,影響連接帳戶中的資源許可,或連接根帳戶或 OU 下的所有帳戶許可。
導覽至政策以連接 RCP
-
登入 AWS Organizations 主控台
。您必須以 IAM 使用者登入、擔任 IAM 角色,或是以組織管理帳戶中的根使用者 (不建議) 身分登入。 -
在資源控制政策頁面上,選擇要連接的政策名稱。
-
在 Targets (目標) 索引標籤上,選擇 Attach (連接)。
-
選擇您要連接政策的根、OU 或帳戶旁的選項按鈕。您可能需要展開 OU (選擇
),以尋找您所需的 OU 和帳戶。 -
選擇連接政策。
目標索引標籤上連接的 RCPs 清單會更新為包含新增項目。政策變更會立即生效,影響連接帳戶中的資源許可,或連接根帳戶或 OU 下的所有帳戶許可。
-
- Declarative policies
-
您可以透過導覽至政策,或導覽至要連接政策的根帳戶、OU 或帳戶,來連接宣告性政策。
若要透過導覽至根、OU 或帳戶來連接宣告政策
-
登入 AWS Organizations 主控台
。您必須以 IAM 使用者登入、擔任 IAM 角色,或是以組織管理帳戶中的根使用者 (不建議) 身分登入。 -
在 AWS 帳戶
頁面上,導覽至您要連接政策的根、OU 或帳戶的名稱並選擇。您可能需要展開 OU (選擇
),以尋找您所需的 OU 和帳戶。 -
在政策索引標籤的宣告政策項目中,選擇連接。
-
尋找您所需的政策,然後選擇 Attach policy (連接政策)。
政策索引標籤上連接的宣告政策清單會更新為包含新的新增項目。政策變更會立即生效。
導覽至政策以連接宣告政策
-
登入 AWS Organizations 主控台
。您必須以 IAM 使用者登入、擔任 IAM 角色,或是以組織管理帳戶中的根使用者 (不建議) 身分登入。 -
在宣告政策
頁面上,選擇要連接的政策名稱。 -
在 Targets (目標) 索引標籤上,選擇 Attach (連接)。
-
選擇您要連接政策的根、OU 或帳戶旁的選項按鈕。您可能需要展開 OU (選擇
),以尋找您所需的 OU 和帳戶。 -
選擇連接政策。
目標索引標籤上連接的宣告政策清單會更新為包含新的新增項目。政策變更會立即生效。
-
- Backup policies
-
您可以導覽至政策或連接政策的根、OU 或帳戶,以連接備份政策。
導覽至根、OU 或帳戶以連接備份政策
-
登入 AWS Organizations 主控台
。您必須以 IAM 使用者登入、擔任 IAM 角色,或是以組織管理帳戶中的根使用者 (不建議) 身分登入。 -
在 AWS 帳戶
頁面上,導覽至您要連接政策的根、OU 或帳戶的名稱並選擇。您可能需要展開 OU (選擇
),以尋找您所需的 OU 和帳戶。 -
在 Policies (政策) 索引標籤的 Backup policies (備份政策) 項目中,選擇 Attach (連接)。
-
尋找您所需的政策,然後選擇 Attach policy (連接政策)。
Policies (政策) 索引標籤上的連接的備份政策清單會更新,以包含新的新增項目。政策變更會立即生效。
導覽至政策以連接備份政策
-
登入 AWS Organizations 主控台
。您必須以 IAM 使用者登入、擔任 IAM 角色,或是以組織管理帳戶中的根使用者 (不建議) 身分登入。 -
在 Backup policies (備份政策)
頁面上,選擇您要連接的政策名稱。 -
在 Targets (目標) 索引標籤上,選擇 Attach (連接)。
-
選擇您要連接政策的根、OU 或帳戶旁的選項按鈕。您可能需要展開 OU (選擇
),以尋找您所需的 OU 和帳戶。 -
選擇連接政策。
Targets (目標) 索引標籤上的連接的備份政策清單會更新,以包含新的新增項目。政策變更會立即生效。
-
- Tag policies
-
您可以導覽至政策或連接政策的根、OU 或帳戶,以連接標籤政策。
導覽至根、OU 或帳戶以連接標籤政策
-
登入 AWS Organizations 主控台
。您必須以 IAM 使用者登入、擔任 IAM 角色,或是以組織管理帳戶中的根使用者 (不建議) 身分登入。 -
在 AWS 帳戶
頁面上,導覽至您要連接政策的根、OU 或帳戶的名稱並選擇。您可能需要展開 OU (選擇
),以尋找您所需的 OU 和帳戶。 -
在 Policies (政策) 索引標籤的 Tag policies (標籤政策) 項目中,選擇 Attach (連接)。
-
尋找您所需的政策,然後選擇 Attach policy (連接政策)。
Policies (政策) 索引標籤上的連接的標籤政策清單會更新,以包含新的新增項目。政策變更會立即生效。
導覽至政策以連接標籤政策
-
登入 AWS Organizations 主控台
。您必須以 IAM 使用者登入、擔任 IAM 角色,或是以組織管理帳戶中的根使用者 (不建議) 身分登入。 -
在 Tag policies
(標籤政策) 頁面上,選擇您要連接的政策名稱。 -
在 Targets (目標) 索引標籤上,選擇 Attach (連接)。
-
選擇您要連接政策的根、OU 或帳戶旁的選項按鈕。您可能需要展開 OU (選擇
),以尋找您所需的 OU 和帳戶。 -
選擇連接政策。
Targets (目標) 索引標籤上的連接的標籤政策清單會更新,以包含新的新增項目。政策變更會立即生效。
-
- Chatbot policies
-
您可以透過導覽至政策或要連接政策的根、OU 或帳戶來連接聊天機器人政策。
若要透過導覽至根、OU 或帳戶來連接聊天機器人政策
-
登入 AWS Organizations 主控台
。您必須以 IAM 使用者登入、擔任 IAM 角色,或是以組織管理帳戶中的根使用者 (不建議) 身分登入。 -
在 AWS 帳戶
頁面上,導覽至您要連接政策的根、OU 或帳戶的名稱並選擇。您可能需要展開 OU (選擇
),以尋找您所需的 OU 和帳戶。 -
在政策索引標籤的聊天機器人政策項目中,選擇連接。
-
尋找您所需的政策,然後選擇 Attach policy (連接政策)。
政策索引標籤上連接的聊天機器人政策清單會更新為包含新增項目。政策變更會立即生效。
導覽至政策以連接聊天機器人政策
-
登入 AWS Organizations 主控台
。您必須以 IAM 使用者登入、擔任 IAM 角色,或是以組織管理帳戶中的根使用者 (不建議) 身分登入。 -
在 Chatbot 政策
頁面上,選擇要連接的政策名稱。 -
在 Targets (目標) 索引標籤上,選擇 Attach (連接)。
-
選擇您要連接政策的根、OU 或帳戶旁的選項按鈕。您可能需要展開 OU (選擇
),以尋找您所需的 OU 和帳戶。 -
選擇連接政策。
目標標籤上連接的聊天機器人政策清單會更新為包含新增項目。政策變更會立即生效。
-
- AI services opt-out policies
-
您可以導覽至政策或連接政策的根、OU 或帳戶,以連接 AI 服務選擇退出政策。
導覽至根、OU 或帳戶以連接 AI 服務選擇退出政策
-
登入 AWS Organizations 主控台
。您必須以 IAM 使用者登入、擔任 IAM 角色,或是以組織管理帳戶中的根使用者 (不建議) 身分登入。 -
在 AWS 帳戶
頁面上,導覽至您要連接政策的根、OU 或帳戶的名稱並選擇。您可能需要展開 OU (選擇
),以尋找您所需的 OU 和帳戶。 -
在 Policies (政策) 索引標籤的 AI service opt-out policies (AI 服務選擇退出政策) 項目中,選擇 Attach (連接)。
-
尋找您所需的政策,然後選擇 Attach policy (連接政策)。
Policies (政策) 索引標籤上的連接的 AI 服務選擇退出政策清單會更新,以包含新的新增項目。政策變更會立即生效。
導覽至政策以連接 AI 服務選擇退出政策
-
登入 AWS Organizations 主控台
。您必須以 IAM 使用者登入、擔任 IAM 角色,或是以組織管理帳戶中的根使用者 (不建議) 身分登入。 -
在 AI services opt-out policies
(AI 服務選擇退出政策) 頁面上,選擇您要連接的政策名稱。 -
在 Targets (目標) 索引標籤上,選擇 Attach (連接)。
-
選擇您要連接政策的根、OU 或帳戶旁的選項按鈕。您可能需要展開 OU (選擇
),以尋找您所需的 OU 和帳戶。 -
選擇連接政策。
Targets (目標) 索引標籤上的連接的 AI 服務選擇退出政策清單會更新,以包含新的新增項目。政策變更會立即生效。
-
連接政策
下列程式碼範例示範如何使用 AttachPolicy。
- .NET
-
- AWS SDK for .NET
-
注意
GitHub 上提供更多範例。尋找完整範例,並了解如何在 AWS 程式碼範例儲存庫
中設定和執行。 using System; using System.Threading.Tasks; using Amazon.Organizations; using Amazon.Organizations.Model; /// <summary> /// Shows how to attach an AWS Organizations policy to an organization, /// an organizational unit, or an account. /// </summary> public class AttachPolicy { /// <summary> /// Initializes the Organizations client object and then calls the /// AttachPolicyAsync method to attach the policy to the root /// organization. /// </summary> public static async Task Main() { IAmazonOrganizations client = new AmazonOrganizationsClient(); var policyId = "p-00000000"; var targetId = "r-0000"; var request = new AttachPolicyRequest { PolicyId = policyId, TargetId = targetId, }; var response = await client.AttachPolicyAsync(request); if (response.HttpStatusCode == System.Net.HttpStatusCode.OK) { Console.WriteLine($"Successfully attached Policy ID {policyId} to Target ID: {targetId}."); } else { Console.WriteLine("Was not successful in attaching the policy."); } } }-
如需 API 詳細資訊,請參閱 AWS SDK for .NET API 參考中的 AttachPolicy。
-
- CLI
-
- AWS CLI
-
將政策連接至根、OU 或帳戶
範例 1
下列範例示範如何將服務控制政策 (SCP) 連接至 OU:
aws organizations attach-policy --policy-idp-examplepolicyid111--target-idou-examplerootid111-exampleouid111範例 2
下列範例示範如何將服務控制政策直接連接至 帳戶:
aws organizations attach-policy --policy-idp-examplepolicyid111--target-id333333333333-
如需 API 詳細資訊,請參閱 AWS CLI 命令參考中的 AttachPolicy
。
-
- Python
-
- SDK for Python (Boto3)
-
注意
GitHub 上提供更多範例。尋找完整範例,並了解如何在 AWS 程式碼範例儲存庫
中設定和執行。 def attach_policy(policy_id, target_id, orgs_client): """ Attaches a policy to a target. The target is an organization root, account, or organizational unit. :param policy_id: The ID of the policy to attach. :param target_id: The ID of the resources to attach the policy to. :param orgs_client: The Boto3 Organizations client. """ try: orgs_client.attach_policy(PolicyId=policy_id, TargetId=target_id) logger.info("Attached policy %s to target %s.", policy_id, target_id) except ClientError: logger.exception( "Couldn't attach policy %s to target %s.", policy_id, target_id ) raise-
如需 API 詳細資訊,請參閱 SDK AWS for Python (Boto3) API 參考中的 AttachPolicy。
-
政策變更會立即影響連接的帳戶中 IAM 使用者和角色或連接的根或 OU 下所有帳戶的許可
