Desasociación de una política SCP de la raíz de la organización, las unidades organizativas o las cuentas

Asociar y desasociar políticas de control de servicios

Cuando inicia sesión en la cuenta de administración de su organización, puede asociar una política de control de servicios (SCP) que haya creado anteriormente. Puede asociar una SCP al nodo raíz de la organización, a una unidad organizativa (OU) o directamente a una cuenta. Para asociar una SCP, siga los pasos que se describen a continuación.

Permisos mínimos

Para asociar una SCP a un nodo raíz, una unidad organizativa o una cuenta, necesita permiso para ejecutar la siguiente acción:

organizations:AttachPolicy con un elemento Resource en la misma declaración de política que incluye "*" o el Nombre de recurso de Amazon (ARN) de la política especificada y el ARN del nodo raíz, unidad organizativa o cuenta a la que desea adjuntar la política

Puede asociar una SCP navegando hasta la política o el nodo raíz, unidad organizativa o cuenta a la que desee adjuntar la política.

Para asociar una SCP navegando hasta el nodo raíz, unidad organizativa o cuenta

Inicie sesión en la consola de AWS Organizations. Debe iniciar sesión como usuario de IAM, asumir un rol de IAM; o iniciar sesión como usuario raíz (no se recomienda) en la cuenta de administración de la organización.
En la página Cuentas de AWS, desplácese y luego marque la casilla de verificación situada junto al nodo raíz, unidad organizativa o cuenta a la que desea adjuntar una SCP. Es posible que tenga que expandir las unidades organizativas (elija la opción ) para encontrar la unidad organizativa o la cuenta que desea.
En la pestaña Políticas, en la entrada de Políticas de control de servicios, elija Adjuntar.
Busque la política que desea y elija Asociar política.

La lista de SCP asociadas en la pestaña Políticas se actualiza para incluir la nueva adición. El cambio en la política se hace efectivo de manera inmediata, afectando a los permisos y los roles de los usuarios IAM de la cuenta asociada o de todas las cuentas situadas bajo el nodo raíz o la unidad organizativa.

Para adjuntar una SCP navegando a la política

Inicie sesión en la consola de AWS Organizations. Debe iniciar sesión como usuario de IAM, asumir un rol de IAM; o iniciar sesión como usuario raíz (no se recomienda) en la cuenta de administración de la organización.
En la página Políticas de control de servicios elija el nombre de la política que desea adjuntar.
En la pestaña Objetivos, seleccione Adjuntar.
Elija el botón de opción situado junto al nodo raíz, unidad organizativa o cuenta a la que desea adjuntar la política. Es posible que tenga que expandir las unidades organizativas (elija la opción ) para encontrar la unidad organizativa o la cuenta que desea.
Elija Asociar política.

La lista de SCP asociadas en los Objetivos se actualiza para incluir la nueva adición. El cambio en la política se hace efectivo de manera inmediata, afectando a los permisos y los roles de los usuarios IAM de la cuenta asociada o de todas las cuentas situadas bajo el nodo raíz o la unidad organizativa.

Para adjuntar un SCP navegando hasta la raíz, la unidad organizativa o la cuenta

En los siguientes ejemplos de código, se muestra cómo utilizar AttachPolicy.

.NET

AWS SDK for .NET

nota

Hay más información. GitHub Busque el ejemplo completo y aprenda a configurar y ejecutar en el Repositorio de ejemplos de código de AWS.


    using System;
    using System.Threading.Tasks;
    using Amazon.Organizations;
    using Amazon.Organizations.Model;

    /// <summary>
    /// Shows how to attach an AWS Organizations policy to an organization,
    /// an organizational unit, or an account.
    /// </summary>
    public class AttachPolicy
    {
        /// <summary>
        /// Initializes the Organizations client object and then calls the
        /// AttachPolicyAsync method to attach the policy to the root
        /// organization.
        /// </summary>
        public static async Task Main()
        {
            IAmazonOrganizations client = new AmazonOrganizationsClient();
            var policyId = "p-00000000";
            var targetId = "r-0000";

            var request = new AttachPolicyRequest
            {
                PolicyId = policyId,
                TargetId = targetId,
            };

            var response = await client.AttachPolicyAsync(request);

            if (response.HttpStatusCode == System.Net.HttpStatusCode.OK)
            {
                Console.WriteLine($"Successfully attached Policy ID {policyId} to Target ID: {targetId}.");
            }
            else
            {
                Console.WriteLine("Was not successful in attaching the policy.");
            }
        }
    }

Para obtener más información sobre la API, consulta AttachPolicyla Referencia AWS SDK for .NET de la API.

CLI

AWS CLI

Asociación de una política a un nodo raíz, unidad organizativa o cuenta

Ejemplo 1

El siguiente ejemplo de código muestra cómo adjuntar una política de control de servicio (SCP) a una unidad organizativa.


aws organizations attach-policy
                --policy-id p-examplepolicyid111
                --target-id ou-examplerootid111-exampleouid111

Ejemplo 2

El siguiente ejemplo de código muestra cómo adjuntar una política de control de servicio directamente a una cuenta:


aws organizations attach-policy
                --policy-id p-examplepolicyid111
                --target-id 333333333333

Para obtener más información sobre la API, consulta AttachPolicyla Referencia de AWS CLI comandos.

Python

SDK para Python (Boto3)

nota

Hay más información al respecto GitHub. Busque el ejemplo completo y aprenda a configurar y ejecutar en el Repositorio de ejemplos de código de AWS.


def attach_policy(policy_id, target_id, orgs_client):
    """
    Attaches a policy to a target. The target is an organization root, account, or
    organizational unit.

    :param policy_id: The ID of the policy to attach.
    :param target_id: The ID of the resources to attach the policy to.
    :param orgs_client: The Boto3 Organizations client.
    """
    try:
        orgs_client.attach_policy(PolicyId=policy_id, TargetId=target_id)
        logger.info("Attached policy %s to target %s.", policy_id, target_id)
    except ClientError:
        logger.exception(
            "Couldn't attach policy %s to target %s.", policy_id, target_id
        )
        raise

Para obtener más información sobre la API, consulta AttachPolicyla AWS Referencia de API de SDK for Python (Boto3).

El cambio en la política se hace efectivo de manera inmediata, afectando a los permisos y los roles de los usuarios IAM de la cuenta asociada o de todas las cuentas situadas bajo el nodo raíz o la unidad organizativa.

Desasociación de una política SCP de la raíz de la organización, las unidades organizativas o las cuentas

Cuando inicia sesión en la cuenta de administración de su organización, puede desconectar una SCP del nodo raíz de la organización, unidad organizativa o cuenta a la que está asociada. Después de separar un SCP de una entidad, ese SCP ya no se aplica a ningún usuario o rol de IAM que se haya visto afectado por la entidad ahora separada. Para desasociar una SCP, siga los pasos que se describen a continuación.

nota

No puede separar la última SCP de una raíz, una unidad organizativa o una cuenta. Debe haber al menos una SCP adjunta a cada nodo raíz, unidad organizativa y cuenta en todo momento.

Permisos mínimos

Para desconectar una SCP del nodo raíz, unidad organizativa o cuenta, necesita permiso para ejecutar la siguiente acción:

organizations:DetachPolicy

Puede desconectar una SCP navegando hasta la política o el nodo raíz, unidad organizativa o cuenta a la que desee desconectar la política.

Para desconectar una SCP navegando hasta el nodo raíz, unidad organizativa o cuenta a la que está adjunta

Inicie sesión en la consola de AWS Organizations. Debe iniciar sesión como usuario de IAM, asumir un rol de IAM; o iniciar sesión como usuario raíz (no se recomienda) en la cuenta de administración de la organización.
En la página Cuentas de AWS desplácese hasta el nodo raíz, unidad organizativa o cuenta de la que desea desconectar una política. Es posible que tenga que expandir las unidades organizativas (elija la opción ) para encontrar la unidad organizativa o la cuenta que desea. Elija el nombre del nodo raíz, unidad organizativa o cuenta.
En la pestaña Políticas, elija el botón de opción situado junto a la SCP que desea desconectar y, a continuación, elija Desconectar.
En el cuadro de diálogo de confirmación, elija Desconectar política.

La lista de SCP asociadas se actualiza. El cambio de política que se origina al desconectar la SCP entra en vigor inmediatamente. Por ejemplo, cuando se desasocia una SCP, este cambio afecta inmediatamente a los permisos de los usuarios y roles de IAM de la cuenta o cuentas anteriormente asociadas situados bajo el nodo raíz de la organización o unidad organizativa anteriormente asociadas.

Para desconectar una SCP navegando a la política

Inicie sesión en la consola de AWS Organizations. Debe iniciar sesión como usuario de IAM, asumir un rol de IAM; o iniciar sesión como usuario raíz (no se recomienda) en la cuenta de administración de la organización.
En la página Políticas de control de servicios, elija el nombre de la política que desea desconectar de un nodo raíz, unidad organizativa o cuenta.
En la pestaña de Objetivos, elija el botón de opción situado junto al nodo raíz, unidad organizativa o cuenta de la que desea desconectar la política. Es posible que tenga que expandir las unidades organizativas (elija la opción ) para encontrar la unidad organizativa o la cuenta que desea.
Elija Desasociar.
En el cuadro de diálogo de confirmación, elija Desconectar.

La lista de SCP asociadas se actualiza. El cambio de política que se origina al desconectar la SCP entra en vigor inmediatamente. Por ejemplo, cuando se desasocia una SCP, este cambio afecta inmediatamente a los permisos de los usuarios y roles de IAM de la cuenta o cuentas anteriormente asociadas situados bajo el nodo raíz de la organización o unidad organizativa anteriormente asociadas.

Para desconectar una SCP de un nodo raíz, una unidad organizativa o una cuenta

En los siguientes ejemplos de código, se muestra cómo utilizar DetachPolicy.

.NET

AWS SDK for .NET

nota

Hay más información. GitHub Busque el ejemplo completo y aprenda a configurar y ejecutar en el Repositorio de ejemplos de código de AWS.


    using System;
    using System.Threading.Tasks;
    using Amazon.Organizations;
    using Amazon.Organizations.Model;

    /// <summary>
    /// Shows how to detach a policy from an AWS Organizations organization,
    /// organizational unit, or account.
    /// </summary>
    public class DetachPolicy
    {
        /// <summary>
        /// Initializes the Organizations client object and uses it to call
        /// DetachPolicyAsync to detach the policy.
        /// </summary>
        public static async Task Main()
        {
            // Create the client object using the default account.
            IAmazonOrganizations client = new AmazonOrganizationsClient();

            var policyId = "p-00000000";
            var targetId = "r-0000";

            var request = new DetachPolicyRequest
            {
                PolicyId = policyId,
                TargetId = targetId,
            };

            var response = await client.DetachPolicyAsync(request);

            if (response.HttpStatusCode == System.Net.HttpStatusCode.OK)
            {
                Console.WriteLine($"Successfully detached policy with Policy Id: {policyId}.");
            }
            else
            {
                Console.WriteLine("Could not detach the policy.");
            }
        }
    }

Para obtener más información sobre la API, consulta DetachPolicyla Referencia AWS SDK for .NET de la API.

CLI

AWS CLI

Desasociación de una política de un nodo raíz, unidad organizativa o cuenta

En el siguiente ejemplo se muestra cómo desasociar una política de una unidad organizativa:


aws organizations  detach-policy  --target-id ou-examplerootid111-exampleouid111 --policy-id p-examplepolicyid111

Para obtener más información sobre la API, consulta DetachPolicyla Referencia de AWS CLI comandos.

Python

SDK para Python (Boto3)

nota

Hay más información al respecto GitHub. Busque el ejemplo completo y aprenda a configurar y ejecutar en el Repositorio de ejemplos de código de AWS.


def detach_policy(policy_id, target_id, orgs_client):
    """
    Detaches a policy from a target.

    :param policy_id: The ID of the policy to detach.
    :param target_id: The ID of the resource where the policy is currently attached.
    :param orgs_client: The Boto3 Organizations client.
    """
    try:
        orgs_client.detach_policy(PolicyId=policy_id, TargetId=target_id)
        logger.info("Detached policy %s from target %s.", policy_id, target_id)
    except ClientError:
        logger.exception(
            "Couldn't detach policy %s from target %s.", policy_id, target_id
        )
        raise

Para obtener más información sobre la API, consulta DetachPolicyla AWS Referencia de API de SDK for Python (Boto3).

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Creación, actualización y eliminación

Evaluación de SCP