Attachement et détachement de politiques de contrôle des services - AWS Organizations

Attachement et détachement de politiques de contrôle des services

Lorsque vous êtes connecté au compte de gestion de votre organisation, vous pouvez attacher une politique de contrôle des services (SCP) que vous avez préalablement créée. Vous pouvez attacher une SCP à la racine de l'organisation, à une unité d'organisation ou directement à un compte. Pour attacher une SCP, procédez comme suit.

Autorisations minimales

Pour attacher une SCP à une racine, une unité d'organisation ou un compte, vous avez besoin de l'autorisation d'effectuer l'action suivante :

  • organizations:AttachPolicy avec un élément Resource dans la même instruction de politique qui inclut « * » ou l'Amazon Resource Name (ARN) de la politique spécifiée et l'ARN de la racine, de l'unité d'organisation ou du compte auquel vous voulez attacher la politique

AWS Management Console

Vous pouvez attacher une politique SCP en accédant à la politique, à la racine, à l'unité d'organisation ou au compte auquel vous souhaitez attacher la politique.

Pour attacher une SCP en accédant à la racine, à l'unité d'organisation ou au compte
  1. Connectez-vous à la console AWS Organizations. Vous devez vous connecter en tant qu'utilisateur IAM, assumer un rôle IAM ou vous connecter en tant qu'utilisateur racine (non recommandé) dans le compte de gestion de l'organisation.

  2. Dans la page Comptes AWS, accédez à la case à cocher en regard de la racine, de l'unité d'organisation ou du compte auquel vous souhaitez attacher une SCP, puis activez-la. Vous devrez peut-être développer des unités d'organisation (choisissez l'icône ) pour trouver l'UO ou le compte souhaité.

  3. Dans l'onglet Politiques, dans Politiques de contrôle des services, choisissez Attacher.

  4. Recherchez la politique que vous souhaitez et choisissez Attacher la politique.

    La liste des SCP attachées sur l'onglet Politiques est mise à jour pour inclure le nouvel ajout. La modification de la politique prend effet immédiatement, affectant les autorisations des utilisateurs et rôles IAM du compte attaché ou de tous les comptes sous la racine ou l'unité d'organisation attachée.

Pour attacher une SCP en accédant à la politique
  1. Connectez-vous à la console AWS Organizations. Vous devez vous connecter en tant qu'utilisateur IAM, assumer un rôle IAM ou vous connecter en tant qu'utilisateur racine (non recommandé) dans le compte de gestion de l'organisation.

  2. Dans la page Politiques de contrôle des services, choisissez le nom de la politique que vous souhaitez attacher.

  3. Dans l'onglet Cibles, choisissez Attacher.

  4. Choisissez la case d'option en regard de la racine, de l'unité d'organisation ou du compte auquel vous souhaitez attacher la politique. Vous devrez peut-être développer des unités d'organisation (choisissez l'icône ) pour trouver l'UO ou le compte souhaité.

  5. Choisissez Attacher la politique.

    La liste des SCP attachées sur l'onglet Cibles est mise à jour pour inclure le nouvel ajout. La modification de la politique prend effet immédiatement, affectant les autorisations des utilisateurs et rôles IAM du compte attaché ou de tous les comptes sous la racine ou l'unité d'organisation attachée.

AWS CLI & AWS SDKs
Pour attacher une SCP en accédant à la racine, à l'unité d'organisation ou au compte

Vous pouvez utiliser l'une des commandes suivantes pour attacher une SCP :

  • AWS CLI : attach-policy

    L'exemple suivant attache une SCP à une unité d'organisation.

    $ aws organizations attach-policy \ --policy-id p-i9j8k7l6m5 \ --target-id ou-a1b2-f6g7h222

    Cette commande ne produit aucune sortie lorsqu'elle réussit.

  • SDK AWS : AttachPolicy

La modification de la politique prend effet immédiatement, affectant les autorisations des utilisateurs et rôles IAM du compte attaché ou de tous les comptes sous la racine ou l'unité d'organisation attachée.

Détachement d'une SCP de la racine de l'organisation, d'unités d'organisation ou de comptes

Lorsque vous êtes connecté au compte de gestion de votre organisation, vous pouvez détacher une SCP de la racine de l'organisation, de l'unité d'organisation ou du compte auquel celle-ci est attachée. Une fois que vous avez détaché une SCP d'une entité, cette SCP ne s'applique plus à aucun compte qui était affecté par l'entité à présent détachée. Pour détacher une SCP, procédez comme suit.

Note

Vous ne pouvez pas détacher la dernière politique SCP d'une racine, d'une unité d'organisation ou d'un compte. Au moins une politique de contrôle des services doit être attachée en permanence à chaque racine, unité d'organisation et compte.

Autorisations minimales

Pour détacher une SCP de la racine, d'une unité d'organisation ou d'un compte, vous avez besoin d'une autorisation pour effectuer l'action suivante :

  • organizations:DetachPolicy

AWS Management Console

Vous pouvez détacher une politique SCP en accédant à la politique ou à la racine, à l'unité d'organisation ou au compte dont vous souhaitez détacher la politique.

Pour détacher une SCP en accédant à la racine, à l'unité d'organisation ou au compte auquel elle est attachée
  1. Connectez-vous à la console AWS Organizations. Vous devez vous connecter en tant qu'utilisateur IAM, assumer un rôle IAM ou vous connecter en tant qu'utilisateur racine (non recommandé) dans le compte de gestion de l'organisation.

  2. Dans la page Comptes AWS, accédez à la racine, à l'unité d'organisation ou au compte dont vous souhaitez détacher une politique. Vous devrez peut-être développer des unités d'organisation (choisissez l'icône ) pour trouver l'UO ou le compte souhaité. Choisissez le nom de la racine, de l'unité d'organisation ou du compte.

  3. Dans l'onglet Politiques, choisissez la case d'option en regard de la SCP à détacher, puis choisissez Détacher.

  4. Dans la boîte de dialogue de confirmation, choisissez Détacher la politique.

    La liste des SCP attachées est mise à jour. Le changement de politique provoqué par le détachement de la SCP prend effet immédiatement. Par exemple, détacher une SCP affecte immédiatement les autorisations des utilisateurs et rôles IAM dans le ou les comptes anciennement attachés sous la racine d'organisation ou l'unité d'organisation anciennement attachée.

Pour détacher une SCP en accédant à la politique
  1. Connectez-vous à la console AWS Organizations. Vous devez vous connecter en tant qu'utilisateur IAM, assumer un rôle IAM ou vous connecter en tant qu'utilisateur racine (non recommandé) dans le compte de gestion de l'organisation.

  2. Dans la page Politiques de contrôle des services, choisissez le nom de la politique que vous souhaitez détacher d'une racine, d'une unité d'organisation ou d'un compte.

  3. Dans la page Cibles, choisissez la case d'option en regard de la racine, de l'unité d'organisation ou du compte dont vous souhaitez détacher la politique. Vous devrez peut-être développer des unités d'organisation (choisissez l'icône ) pour trouver l'UO ou le compte souhaité.

  4. Choisissez Détacher.

  5. Dans la boîte de dialogue de confirmation, choisissez Détacher.

    La liste des SCP attachées est mise à jour. Le changement de politique provoqué par le détachement de la SCP prend effet immédiatement. Par exemple, détacher une SCP affecte immédiatement les autorisations des utilisateurs et rôles IAM dans le ou les comptes anciennement attachés sous la racine d'organisation ou l'unité d'organisation anciennement attachée.

AWS CLI & AWS SDKs
Pour détacher une SCP d'une racine, d'une unité d'organisation ou d'un compte

Vous pouvez utiliser l'une des commandes suivantes pour détacher une SCP :

  • AWS CLI : detach-policy

    L'exemple suivant détache la SCP spécifiée de l'unité d'organisation spécifiée.

    $ aws organizations detach-policy \ --policy-id p-i9j8k7l6m5 \ --target-id ou-a1b2-f6g7h222
  • SDK AWS : DetachPolicy

La modification de la politique prend effet immédiatement, affectant les autorisations des utilisateurs et rôles IAM du compte attaché ou de tous les comptes sous la racine ou l'unité d'organisation attachée.