Organisationsrichtlinien anhängen mit AWS Organizations - AWS Organizations
Richtlinien anhängen

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Organisationsrichtlinien anhängen mit AWS Organizations

In diesem Thema wird beschrieben, wie Sie Richtlinien anhängen AWS Organizations. Eine Richtlinie definiert die Kontrollen, die Sie auf eine Gruppe von anwenden möchten AWS-Konten. AWS Organizations unterstützt Verwaltungsrichtlinien und Autorisierungsrichtlinien.

Ordnen Sie Richtlinien zu AWS Organizations

Mindestberechtigungen

Um Richtlinien anzuhängen, müssen Sie berechtigt sein, die folgende Aktion auszuführen:

  • organizations:AttachPolicy

Mindestberechtigungen

SCPUm eine Datei an ein Stammverzeichnis, eine Organisationseinheit oder ein Konto anzuhängen, benötigen Sie die Erlaubnis, die folgende Aktion auszuführen:

  • organizations:AttachPolicymit einem Resource Element in derselben Richtlinienerklärung, das „*“ oder den Amazon-Ressourcennamen (ARN) der angegebenen Richtlinie und den ARN des Stammverzeichnisses, der Organisationseinheit oder des Kontos enthält, an das Sie die Richtlinie anhängen möchten

Backup policies

Sie können eine Backuprichtlinie anfügen, indem Sie entweder zur Richtlinie oder zum Stammverzeichnis, zur Organisationseinheit oder zum Konto, an das Sie die Richtlinie anfügen möchten, navigieren.

So fügen Sie eine Backup-Richtlinie an, indem Sie zum Stamm, zur Organisationseinheit oder zum Konto navigieren

  1. Melden Sie sich an bei AWS Organizations Konsole. Sie müssen sich im Verwaltungskonto der Organisation als IAM Benutzer anmelden, eine IAM Rolle übernehmen oder sich als Root-Benutzer (nicht empfohlen) anmelden.

  2. Auf dem AWS-KontenNavigieren Sie zu der Seite, und wählen Sie dann den Namen des Stammverzeichnisses, der Organisationseinheit oder des Kontos aus, an das Sie eine Richtlinie anhängen möchten. Möglicherweise müssen Sie die Seite erweitern OUs (auswählen Gray cloud icon representing cloud computing or storage services. ), um die gewünschte Organisationseinheit oder das gewünschte Konto zu finden.

  3. Wählen Sie auf der Registerkarte Richtlinien im Eintrag für Backup-Richtlinien die Option Anfügen.

  4. Suchen Sie die gewünschte Richtlinie und wählen Sie Richtlinie anfügen aus.

    Die Liste der angehängten Backup-Richtlinien auf der Registerkarte Richtlinien wird aktualisiert, um die neue Ergänzung aufzunehmen. Die Richtlinienänderung wird sofort wirksam.

So fügen Sie eine Backup-Richtlinie durch Navigieren zur Richtlinie an

  1. Melden Sie sich bei AWS Organizations Konsole. Sie müssen sich im Verwaltungskonto der Organisation als IAM Benutzer anmelden, eine IAM Rolle übernehmen oder sich als Root-Benutzer (nicht empfohlen) anmelden.

  2. Wählen Sie auf der Seite Backuprichtlinien den Namen der Richtlinie aus, die Sie aktualisieren möchten.

  3. Klicken Sie in der Registerkarte Ziele auf Anfügen.

  4. Aktivieren Sie das Optionsfeld neben dem Stammverzeichnis, der Organisationseinheit oder dem Konto, an das bzw. die Sie die Richtlinie anfügen möchten. Möglicherweise müssen Sie die Liste erweitern OUs (auswählen Gray cloud icon representing cloud computing or storage services. ), um die gewünschte Organisationseinheit oder das gewünschte Konto zu finden.

  5. Wählen Sie Richtlinie anfügen aus.

    Die Liste der angehängten Backup-Richtlinien auf der Registerkarte Ziele wird aktualisiert, um die neue Ergänzung aufzunehmen. Die Richtlinienänderung wird sofort wirksam.

Tag policies

Sie können eine Tag-Richtlinie anfügen, indem Sie entweder zur Richtlinie oder zum Stammverzeichnis, zur Organisationseinheit oder zum Konto navigieren, an das bzw. die Sie die Richtlinie anfügen möchten.

So fügen Sie eine Tag-Richtlinie an, indem Sie zum Stamm, zur Organisationseinheit oder zum Konto navigieren

  1. Melden Sie sich bei AWS Organizations Konsole. Sie müssen sich im Verwaltungskonto der Organisation als IAM Benutzer anmelden, eine IAM Rolle übernehmen oder sich als Root-Benutzer (nicht empfohlen) anmelden.

  2. Auf dem AWS-KontenNavigieren Sie zu der Seite, und wählen Sie dann den Namen des Stammverzeichnisses, der Organisationseinheit oder des Kontos aus, an das Sie eine Richtlinie anhängen möchten. Möglicherweise müssen Sie die Seite erweitern OUs (auswählen Gray cloud icon representing cloud computing or storage services. ), um die gewünschte Organisationseinheit oder das gewünschte Konto zu finden.

  3. Wählen Sie auf der Registerkarte Richtlinien im Eintrag für Tag-Richtlinien die Option Anfügen.

  4. Suchen Sie die gewünschte Richtlinie und wählen Sie Richtlinie anfügen aus.

    Die Liste der angehängten Tag-Richtlinien auf der Registerkarte Richtlinien wird aktualisiert, um die neue Ergänzung aufzunehmen. Die Richtlinienänderung wird sofort wirksam.

So fügen Sie eine Tag-Richtlinie hinzu, indem Sie zur Richtlinie navigieren

  1. Melden Sie sich bei AWS Organizations Konsole. Sie müssen sich im Verwaltungskonto der Organisation als IAM Benutzer anmelden, eine IAM Rolle übernehmen oder sich als Root-Benutzer (nicht empfohlen) anmelden.

  2. Wählen Sie auf der Seite Tag-Richtlinien den Namen der Richtlinie aus, die Sie anfügen möchten.

  3. Klicken Sie in der Registerkarte Ziele auf Anfügen.

  4. Aktivieren Sie das Optionsfeld neben dem Stammverzeichnis, der Organisationseinheit oder dem Konto, an das bzw. die Sie die Richtlinie anfügen möchten. Möglicherweise müssen Sie die Liste erweitern OUs (auswählen Gray cloud icon representing cloud computing or storage services. ), um die gewünschte Organisationseinheit oder das gewünschte Konto zu finden.

  5. Wählen Sie Richtlinie anfügen aus.

    Die Liste der angehängten Tag-Richtlinien auf der Registerkarte Ziele wird aktualisiert, um die neue Ergänzung aufzunehmen. Die Richtlinienänderung wird sofort wirksam.

AI services opt-out policies

Sie können eine Richtlinie für eine KI-Services anfügen, indem Sie entweder zur Richtlinie oder zum Stammverzeichnis, zur Organisationseinheit oder zum Konto, an das Sie die Richtlinie anfügen möchten, navigieren.

So fügen Sie eine Richtlinie für die Abmeldung von KI-Services an, indem Sie zum Stamm, zur Organisationseinheit oder zum Konto navigieren

  1. Melden Sie sich bei AWS Organizations Konsole. Sie müssen sich im Verwaltungskonto der Organisation als IAM Benutzer anmelden, eine IAM Rolle übernehmen oder sich als Root-Benutzer (nicht empfohlen) anmelden.

  2. Auf dem AWS-KontenNavigieren Sie zu der Seite, und wählen Sie dann den Namen des Stammverzeichnisses, der Organisationseinheit oder des Kontos aus, an das Sie eine Richtlinie anhängen möchten. Möglicherweise müssen Sie die Seite erweitern OUs (auswählen Gray cloud icon representing cloud computing or storage services. ), um die gewünschte Organisationseinheit oder das gewünschte Konto zu finden.

  3. Wählen Sie auf der Registerkarte Richtlinien im Eintrag für KI-Services-Opt-Out-Richtlinien die Option Anfügen.

  4. Suchen Sie die gewünschte Richtlinie und wählen Sie Richtlinie anfügen aus.

    Die Liste der angehängten KI-Services-Opt-Out-Richtlinien auf der Registerkarte Richtlinien wird aktualisiert, um die neue Ergänzung aufzunehmen. Die Richtlinienänderung wird sofort wirksam.

So fügen Sie eine Deaktivierungsrichtlinie für KI-Services an, indem Sie zur Richtlinie navigieren

  1. Melden Sie sich bei AWS Organizations Konsole. Sie müssen sich im Verwaltungskonto der Organisation als IAM Benutzer anmelden, eine IAM Rolle übernehmen oder sich als Root-Benutzer (nicht empfohlen) anmelden.

  2. Wählen Sie auf der Seite KI-Services-Opt-Out-Richtlinien den Namen der Richtlinie aus, die Sie anfügen möchten.

  3. Klicken Sie in der Registerkarte Ziele auf Anfügen.

  4. Aktivieren Sie das Optionsfeld neben dem Stammverzeichnis, der Organisationseinheit oder dem Konto, an das bzw. die Sie die Richtlinie anfügen möchten. Möglicherweise müssen Sie die Liste erweitern OUs (auswählen Gray cloud icon representing cloud computing or storage services. ), um die gewünschte Organisationseinheit oder das gewünschte Konto zu finden.

  5. Wählen Sie Richtlinie anfügen aus.

    Die Liste der angehängten KI-Services-Opt-Out-Richtlinien auf der Registerkarte Ziele wird aktualisiert, um die neue Ergänzung aufzunehmen. Die Richtlinienänderung wird sofort wirksam.

Service control policies (SCPs)

Sie können eine anhängen, SCP indem Sie entweder zu der Richtlinie oder zu dem Stammverzeichnis, der Organisationseinheit oder dem Konto navigieren, an das Sie die Richtlinie anhängen möchten.

Um eine SCP anzuhängen, navigieren Sie zum Stammverzeichnis, zur Organisationseinheit oder zum Konto

  1. Melden Sie sich an bei AWS Organizations Konsole. Sie müssen sich im Verwaltungskonto der Organisation als IAM Benutzer anmelden, eine IAM Rolle übernehmen oder sich als Root-Benutzer (nicht empfohlen) anmelden.

  2. Auf dem AWS-KontenNavigieren Sie zu der Seite, und aktivieren Sie dann das Kontrollkästchen neben dem Stamm, der Organisationseinheit oder dem Konto, an das Sie eine Verbindung herstellen SCP möchten. Möglicherweise müssen Sie die Datei erweitern OUs (auswählen Gray cloud icon representing cloud computing or storage services. ), um die gewünschte Organisationseinheit oder das gewünschte Konto zu finden.

  3. Wählen Sie auf der Registerkarte Richtlinien im Eintrag für Service-Kontrollrichtlinien die Option Anfügen.

  4. Suchen Sie die gewünschte Richtlinie und wählen Sie Richtlinie anfügen aus.

    Die Liste der SCPs auf der Registerkarte Richtlinien angehängten Dateien wurde aktualisiert und enthält nun den neuen Zusatz. Die Richtlinienänderung wird sofort wirksam und wirkt sich auf die Berechtigungen der IAM Benutzer und Rollen im angehängten Konto oder auf alle Konten unter dem angehängten Stamm- oder Organisationseinheit aus.

Um eine SCP anzuhängen, navigieren Sie zur Richtlinie

  1. Melden Sie sich bei der an AWS Organizations Konsole. Sie müssen sich im Verwaltungskonto der Organisation als IAM Benutzer anmelden, eine IAM Rolle übernehmen oder sich als Root-Benutzer (nicht empfohlen) anmelden.

  2. Wählen Sie auf der Seite Service-Kontrollrichtlinien den Namen der Richtlinie aus, die Sie anfügen möchten.

  3. Klicken Sie in der Registerkarte Ziele auf Anfügen.

  4. Aktivieren Sie das Optionsfeld neben dem Stammverzeichnis, der Organisationseinheit oder dem Konto, an das bzw. die Sie die Richtlinie anfügen möchten. Möglicherweise müssen Sie die Liste erweitern OUs (auswählen Gray cloud icon representing cloud computing or storage services. ), um die gewünschte Organisationseinheit oder das gewünschte Konto zu finden.

  5. Wählen Sie Richtlinie anfügen aus.

    Die Liste der angehängten Dateien SCPs auf der Registerkarte Ziele wurde aktualisiert und enthält nun den neuen Eintrag. Die Richtlinienänderung wird sofort wirksam und wirkt sich auf die Berechtigungen der IAM Benutzer und Rollen im angehängten Konto oder auf alle Konten unter dem angehängten Stamm- oder Organisationseinheit aus.

Die Richtlinienänderung wird sofort wirksam und wirkt sich auf die Berechtigungen der IAM Benutzer und Rollen im angehängten Konto oder auf alle Konten unter dem angehängten Stammkonto oder der angehängten Organisationseinheit aus

Um eine Richtlinie anzuhängen

Die folgenden Codebeispiele zeigen, wie man es benutztAttachPolicy.

.NET
AWS SDK for .NET
Anmerkung

Es gibt noch mehr dazu GitHub. Finden Sie das vollständige Beispiel und erfahren Sie, wie Sie es einrichten und ausführen in der AWS Repository mit Codebeispielen. 

    using System;
    using System.Threading.Tasks;
    using Amazon.Organizations;
    using Amazon.Organizations.Model;

    /// <summary>
    /// Shows how to attach an AWS Organizations policy to an organization,
    /// an organizational unit, or an account.
    /// </summary>
    public class AttachPolicy
    {
        /// <summary>
        /// Initializes the Organizations client object and then calls the
        /// AttachPolicyAsync method to attach the policy to the root
        /// organization.
        /// </summary>
        public static async Task Main()
        {
            IAmazonOrganizations client = new AmazonOrganizationsClient();
            var policyId = "p-00000000";
            var targetId = "r-0000";

            var request = new AttachPolicyRequest
            {
                PolicyId = policyId,
                TargetId = targetId,
            };

            var response = await client.AttachPolicyAsync(request);

            if (response.HttpStatusCode == System.Net.HttpStatusCode.OK)
            {
                Console.WriteLine($"Successfully attached Policy ID {policyId} to Target ID: {targetId}.");
            }
            else
            {
                Console.WriteLine("Was not successful in attaching the policy.");
            }
        }
    }

  • APIEinzelheiten finden Sie AttachPolicyunter AWS SDK for .NET APIReferenz.

CLI
AWS CLI

Um eine Richtlinie an ein Stammverzeichnis, eine Organisationseinheit oder ein Konto anzuhängen

Beispiel 1

Das folgende Beispiel zeigt, wie eine Dienststeuerungsrichtlinie (SCP) an eine Organisationseinheit angehängt wird:

aws organizations attach-policy
                --policy-id p-examplepolicyid111
                --target-id ou-examplerootid111-exampleouid111

Beispiel 2

Das folgende Beispiel zeigt, wie eine Dienststeuerungsrichtlinie direkt an ein Konto angehängt wird:

aws organizations attach-policy
                --policy-id p-examplepolicyid111
                --target-id 333333333333

  • APIEinzelheiten finden Sie AttachPolicyunter AWS CLI Befehlsreferenz.

Python
SDKfür Python (Boto3)
Anmerkung

Es gibt noch mehr dazu. GitHub Finden Sie das vollständige Beispiel und erfahren Sie, wie Sie es einrichten und ausführen in der AWS Repository mit Codebeispielen. 

def attach_policy(policy_id, target_id, orgs_client):
    """
    Attaches a policy to a target. The target is an organization root, account, or
    organizational unit.

    :param policy_id: The ID of the policy to attach.
    :param target_id: The ID of the resources to attach the policy to.
    :param orgs_client: The Boto3 Organizations client.
    """
    try:
        orgs_client.attach_policy(PolicyId=policy_id, TargetId=target_id)
        logger.info("Attached policy %s to target %s.", policy_id, target_id)
    except ClientError:
        logger.exception(
            "Couldn't attach policy %s to target %s.", policy_id, target_id
        )
        raise

  • APIEinzelheiten finden Sie AttachPolicyunter AWS SDKfür Python (Boto3) API -Referenz.

Die Richtlinienänderung wird sofort wirksam und wirkt sich auf die Berechtigungen von IAM Benutzern und Rollen im angehängten Konto oder auf alle Konten unter dem angehängten Stamm- oder Organisationseinheit aus