卸離組織原則 AWS Organizations

本主題說明如何使用中斷連結原則 AWS Organizations。原則會定義您要套用至下列群組的控制項 AWS 帳戶. AWS Organizations 支援管理原則和授權原則。

主題

卸離原則 AWS Organizations

卸離原則 AWS Organizations

最低許可

若要從組織根目錄、OU 或帳號中斷連結策略，您必須具有執行下列動作的權限：

organizations:DetachPolicy

注意

您無法SCP從根、OU 或帳戶中分離最後一個。每個根、OU 和帳戶必須至少有一個SCP附加至少一個。

Backup policies

您可以導覽至政策或分離接政策的根、OU 或帳戶，以分離備份政策。

導覽至連接的根、OU 或帳戶以分離備份政策

登入 AWS Organizations 控制台。您必須以IAM使用者身分登入、擔任IAM角色，或以 root 使用者身分登入 (不建議) 在組織的管理帳戶中。
在「」 AWS 帳戶頁面瀏覽至您要從中斷連結原則的根、OU 或帳戶。您可能必須展開 OUs (選擇 ) 才能找到您想要的 OU 或帳戶。選擇根、OU 或帳戶的名稱。
在 Policies (政策) 索引標籤上，選擇您要分離的備份政策旁邊的選項按鈕，然後選擇 Detach (分離)。
在確認對話方塊中，選擇 Detach policy (分離政策)。

連接的備份政策清單會隨即更新。政策變更會立即生效。

導覽至政策以分離備份政策

登入 AWS Organizations 控制台。您必須以IAM使用者身分登入、擔任IAM角色，或以 root 使用者身分登入 (不建議) 在組織的管理帳戶中。
在 Backup policies (備份政策) 頁面上，選擇您要從根、OU 或帳戶分離的政策名稱。
在 Targets (目標) 索引標籤上，選擇您要分離政策的根、OU 或帳戶旁的選項按鈕。您可能必須展開 OUs (選擇 ) 才能找到您想要的 OU 或帳戶。
請選擇分離。
在確認對話方塊中，選擇 Detach (分離)。

連接的備份政策清單會隨即更新。政策變更會立即生效。

Tag policies

您可以導覽至政策或分離接政策的根、OU 或帳戶，以分離標籤政策。

導覽至連接的根、OU 或帳戶以分離標籤政策

登入 AWS Organizations 控制台。您必須以IAM使用者身分登入、擔任IAM角色，或以 root 使用者身分登入 (不建議) 在組織的管理帳戶中。
在「」 AWS 帳戶頁面瀏覽至您要從中斷連結原則的根、OU 或帳戶。您可能必須展開 OUs (選擇 ) 才能找到您想要的 OU 或帳戶。選擇根、OU 或帳戶的名稱。
在 Policies (政策) 索引標籤上，選擇您要分離的標籤政策旁邊的選項按鈕，然後選擇 Detach (分離)。
在確認對話方塊中，選擇 Detach policy (分離政策)。

連接的標籤政策清單會隨即更新。政策變更會立即生效。

導覽至標籤政策以分離備份政策

登入 AWS Organizations 控制台。您必須以IAM使用者身分登入、擔任IAM角色，或以 root 使用者身分登入 (不建議) 在組織的管理帳戶中。
在 Tag policies (標籤政策) 頁面上，選擇您要從根、OU 或帳戶分離的政策名稱。
在 Targets (目標) 索引標籤上，選擇您要分離政策的根、OU 或帳戶旁的選項按鈕。您可能必須展開 OUs (選擇 ) 才能找到您想要的 OU 或帳戶。
請選擇分離。
在確認對話方塊中，選擇 Detach (分離)。

連接的標籤政策清單會隨即更新。政策變更會立即生效。

AI services opt-out policies

您可以導覽至政策或分離接政策的根、OU 或帳戶，以分離 AI 服務選擇退出政策。

導覽至連接的根、OU 或帳戶以分離 AI 服務選擇退出政策

登入 AWS Organizations 控制台。您必須以IAM使用者身分登入、擔任IAM角色，或以 root 使用者身分登入 (不建議) 在組織的管理帳戶中。
在「」 AWS 帳戶頁面瀏覽至您要從中斷連結原則的根、OU 或帳戶。您可能必須展開 OUs (選擇 ) 才能找到您想要的 OU 或帳戶。選擇根、OU 或帳戶的名稱。
在 Policies (政策) 索引標籤上，選擇您要分離的 AI 服務選擇退出政策旁邊的選項按鈕，然後選擇 Detach (分離)。
在確認對話方塊中，選擇 Detach policy (分離政策)。

已更新連接 AI 服務選擇退出政策的清單。政策變更會立即生效。

導覽至政策以分離 AI 服務選擇退出政策

登入 AWS Organizations 控制台。您必須以IAM使用者身分登入、擔任IAM角色，或以 root 使用者身分登入 (不建議) 在組織的管理帳戶中。
在 AI services opt-out policies (AI 服務選擇退出政策) 頁面上，選擇您要從根、OU 或帳戶分離的政策名稱。
在 Targets (目標) 索引標籤上，選擇您要分離政策的根、OU 或帳戶旁的選項按鈕。您可能必須展開 OUs (選擇 ) 才能找到您想要的 OU 或帳戶。
請選擇分離。
在確認對話方塊中，選擇 Detach (分離)。

已更新連接 AI 服務選擇退出政策的清單。政策變更會立即生效。

Service control policies (SCPs)

您可以SCP透過導覽至策略或要中斷連結原則的根、OU 或帳戶來中斷連結。

SCP透過導覽至其所附加的根、OU 或帳戶來卸離

登入 AWS Organizations 控制台。您必須以IAM使用者身分登入、擔任IAM角色，或以 root 使用者身分登入 (不建議) 在組織的管理帳戶中。
在「」 AWS 帳戶頁面瀏覽至您要從中斷連結原則的根、OU 或帳戶。您可能必須展開 OUs (選擇 ) 才能找到您想要的 OU 或帳戶。選擇根、OU 或帳戶的名稱。
在 [原則] 索引標籤上，選擇您要卸離的SCP旁邊的圓鈕，然後選擇 [卸離]。
在確認對話方塊中，選擇 Detach policy (分離政策)。

隨即更新附SCPs件清單。卸離所造成的原則變更會立即SCP生效。例如，卸離會立SCP即影響先前連結的帳戶或先前連結的組織根目錄或 OU 下之帳戶中的IAM使用者和角色的權限。

若要SCP透過導覽至原則來中斷連結

登入 AWS Organizations 控制台。您必須以IAM使用者身分登入、擔任IAM角色，或以 root 使用者身分登入 (不建議) 在組織的管理帳戶中。
在 Service control policies (服務控制政策) 頁面上，選擇您要從根、OU 或帳戶分離的政策名稱。
在 Targets (目標) 索引標籤上，選擇您要分離政策的根、OU 或帳戶旁的選項按鈕。您可能必須展開 OUs (選擇 ) 才能找到您想要的 OU 或帳戶。
請選擇分離。
在確認對話方塊中，選擇 Detach (分離)。

隨即更新附SCPs件清單。卸離所造成的原則變更會立即SCP生效。例如，卸離會立SCP即影響先前連結的帳戶或先前連結的組織根目錄或 OU 下之帳戶中的IAM使用者和角色的權限。

原則變更會立即生效，影響IAM使用者和角色在連結的根目錄或 OU 下所有帳號的權限

若要附加原則

下列程式碼範例會示範如何使用DetachPolicy。

.NET

AWS SDK for .NET

注意

還有更多關於 GitHub。尋找完整範例，並瞭解如何在 AWS 代碼示例存儲庫。


    using System;
    using System.Threading.Tasks;
    using Amazon.Organizations;
    using Amazon.Organizations.Model;

    /// <summary>
    /// Shows how to detach a policy from an AWS Organizations organization,
    /// organizational unit, or account.
    /// </summary>
    public class DetachPolicy
    {
        /// <summary>
        /// Initializes the Organizations client object and uses it to call
        /// DetachPolicyAsync to detach the policy.
        /// </summary>
        public static async Task Main()
        {
            // Create the client object using the default account.
            IAmazonOrganizations client = new AmazonOrganizationsClient();

            var policyId = "p-00000000";
            var targetId = "r-0000";

            var request = new DetachPolicyRequest
            {
                PolicyId = policyId,
                TargetId = targetId,
            };

            var response = await client.DetachPolicyAsync(request);

            if (response.HttpStatusCode == System.Net.HttpStatusCode.OK)
            {
                Console.WriteLine($"Successfully detached policy with Policy Id: {policyId}.");
            }
            else
            {
                Console.WriteLine("Could not detach the policy.");
            }
        }
    }

有API關詳細資訊，請參閱 DetachPolicy（AWS SDK for .NET API參考。

CLI

AWS CLI

從根、OU 或帳號中斷連結策略

下列範例顯示如何從 OU 中斷連結原則：


aws organizations  detach-policy  --target-id ou-examplerootid111-exampleouid111 --policy-id p-examplepolicyid111

有API關詳細資訊，請參閱 DetachPolicy（AWS CLI 指令參考。

Python

SDK對於 Python（肉毒桿菌 3）

注意

還有更多關於 GitHub。尋找完整範例，並瞭解如何在 AWS 代碼示例存儲庫。


def detach_policy(policy_id, target_id, orgs_client):
    """
    Detaches a policy from a target.

    :param policy_id: The ID of the policy to detach.
    :param target_id: The ID of the resource where the policy is currently attached.
    :param orgs_client: The Boto3 Organizations client.
    """
    try:
        orgs_client.detach_policy(PolicyId=policy_id, TargetId=target_id)
        logger.info("Detached policy %s from target %s.", policy_id, target_id)
    except ClientError:
        logger.exception(
            "Couldn't detach policy %s from target %s.", policy_id, target_id
        )
        raise

有API關詳細資訊，請參閱 DetachPolicy（AWS SDK對於 Python（肉毒桿 3）API參考。

原則變更會立即生效，影響IAM使用者和角色在連結的根目錄或 OU 下所有帳號的權限

您的瀏覽器已停用或無法使用 Javascript。

您必須啟用 Javascript，才能使用 AWS 文件。請參閱您的瀏覽器說明頁以取得說明。

文件慣用形式

附加策略

取得政策詳細資訊