Mencantumkan semua kebijakan Melampirkan kebijakan terlampir Mencantumkan semua lampiran Mendapatkan detail tentang sebuah kebijakan

Mendapatkan informasi tentang kebijakan organisasi Anda

Bagian ini menjelaskan berbagai cara untuk mendapatkan detail tentang kebijakan di organisasi Anda. Prosedur ini berlaku untuk semua jenis kebijakan. Anda harus mengaktifkan sebuah jenis kebijakan pada root organisasi sebelum Anda dapat melampirkan jenis kebijakan tersebut ke entitas apa pun di root organisasi tersebut.

Mencantumkan semua kebijakan

Izin minimum

Untuk mencantumkan kebijakan dalam organisasi Anda, Anda harus memiliki izin berikut:

organizations:ListPolicies

Anda dapat melihat kebijakan di organisasi Anda di AWS Management Console atau dengan menggunakan perintah AWS Command Line Interface (AWS CLI) atau AWS SDK operasi.

Untuk mencantumkan semua kebijakan di organisasi Anda

Masuk ke konsol AWS Organizations. Anda harus masuk sebagai IAM pengguna, IAM berperan, atau masuk sebagai pengguna root (tidak disarankan) di akun manajemen organisasi.
Pada halaman Kebijakan, pilih nama jenis kebijakan yang ingin Anda cantumkan.

Jika jenis kebijakan tertentu diaktifkan, maka konsol akan menampilkan daftar semua jenis kebijakan yang saat ini tersedia dalam organisasi.
Kembali ke halaman Kebijakan dan ulangi untuk setiap jenis kebijakan.

Contoh kode berikut menunjukkan cara menggunakanListPolicies.

.NET

AWS SDK for .NET

catatan

Ada lebih banyak tentang GitHub. Temukan contoh lengkapnya dan pelajari cara mengatur dan menjalankannya di AWS Repositori Contoh Kode.


    using System;
    using System.Threading.Tasks;
    using Amazon.Organizations;
    using Amazon.Organizations.Model;

    /// <summary>
    /// Shows how to list the AWS Organizations policies associated with an
    /// organization.
    /// </summary>
    public class ListPolicies
    {
        /// <summary>
        /// Initializes an Organizations client object, and then calls its
        /// ListPoliciesAsync method.
        /// </summary>
        public static async Task Main()
        {
            // Create the client object using the default account.
            IAmazonOrganizations client = new AmazonOrganizationsClient();

            // The value for the Filter parameter is required and must must be
            // one of the following:
            //     AISERVICES_OPT_OUT_POLICY
            //     BACKUP_POLICY
            //     SERVICE_CONTROL_POLICY
            //     TAG_POLICY
            var request = new ListPoliciesRequest
            {
                Filter = "SERVICE_CONTROL_POLICY",
                MaxResults = 5,
            };

            var response = new ListPoliciesResponse();
            try
            {
                do
                {
                    response = await client.ListPoliciesAsync(request);
                    response.Policies.ForEach(p => DisplayPolicies(p));
                    if (response.NextToken is not null)
                    {
                        request.NextToken = response.NextToken;
                    }
                }
                while (response.NextToken is not null);
            }
            catch (AWSOrganizationsNotInUseException ex)
            {
                Console.WriteLine(ex.Message);
            }
        }

        /// <summary>
        /// Displays information about the Organizations policies associated
        /// with an organization.
        /// </summary>
        /// <param name="policy">An Organizations policy summary to display
        /// information on the console.</param>
        private static void DisplayPolicies(PolicySummary policy)
        {
            string policyInfo = $"{policy.Id} {policy.Name}\t{policy.Description}";

            Console.WriteLine(policyInfo);
        }
    }

Untuk API detailnya, lihat ListPoliciesdi AWS SDK for .NET APIReferensi.

CLI

AWS CLI

Untuk mengambil daftar semua kebijakan dalam organisasi dari jenis tertentu

Contoh berikut menunjukkan cara untuk mendapatkan daftarSCPs, seperti yang ditentukan oleh parameter filter:


aws organizations list-policies --filter SERVICE_CONTROL_POLICY

Outputnya mencakup daftar kebijakan dengan informasi ringkasan:


{
        "Policies": [
                {
                        "Type": "SERVICE_CONTROL_POLICY",
                        "Name": "AllowAllS3Actions",
                        "AwsManaged": false,
                        "Id": "p-examplepolicyid111",
                        "Arn": "arn:aws:organizations::111111111111:policy/service_control_policy/p-examplepolicyid111",
                        "Description": "Enables account admins to delegate permissions for any S3 actions to users and roles in their accounts."
                },
                {
                        "Type": "SERVICE_CONTROL_POLICY",
                        "Name": "AllowAllEC2Actions",
                        "AwsManaged": false,
                        "Id": "p-examplepolicyid222",
                        "Arn": "arn:aws:organizations::111111111111:policy/service_control_policy/p-examplepolicyid222",
                        "Description": "Enables account admins to delegate permissions for any EC2 actions to users and roles in their accounts."
                },
                {
                        "AwsManaged": true,
                        "Description": "Allows access to every operation",
                        "Type": "SERVICE_CONTROL_POLICY",
                        "Id": "p-FullAWSAccess",
                        "Arn": "arn:aws:organizations::aws:policy/service_control_policy/p-FullAWSAccess",
                        "Name": "FullAWSAccess"
                }
        ]
}

Untuk API detailnya, lihat ListPoliciesdi Referensi AWS CLI Perintah.

Python

SDKuntuk Python (Boto3)

catatan

Ada lebih banyak tentang GitHub. Temukan contoh lengkapnya dan pelajari cara mengatur dan menjalankannya di AWS Repositori Contoh Kode.


def list_policies(policy_filter, orgs_client):
    """
    Lists the policies for the account, limited to the specified filter.

    :param policy_filter: The kind of policies to return.
    :param orgs_client: The Boto3 Organizations client.
    :return: The list of policies found.
    """
    try:
        response = orgs_client.list_policies(Filter=policy_filter)
        policies = response["Policies"]
        logger.info("Found %s %s policies.", len(policies), policy_filter)
    except ClientError:
        logger.exception("Couldn't get %s policies.", policy_filter)
        raise
    else:
        return policies

Untuk API detailnya, lihat ListPolicies AWSSDKReferensi Python (Boto3). API

Mencantumkan kebijakan kebijakan yang dilampirkan pada root, OU, atau akun

Izin minimum

Untuk daftar kebijakan yang dilampirkan ke akar, unit organisasi (OU), atau akun dalam organisasi Anda, Anda harus memiliki izin berikut:

organizations:ListPoliciesForTargetdengan Resource elemen dalam pernyataan kebijakan yang sama yang menyertakan Amazon Resource Name (ARN) dari target yang ditentukan (atau “*”)

AWS Management Console

Untuk daftar semua kebijakan yang dilampirkan secara langsung ke root, OU, atau akun tertentu

Masuk ke konsol AWS Organizations. Anda harus masuk sebagai IAM pengguna, IAM berperan, atau masuk sebagai pengguna root (tidak disarankan) di akun manajemen organisasi.
Pada halaman Akun AWS, pilih nama root, OU, atau akun yang kebijakannya ingin Anda lihat. Anda mungkin harus memperluas OUs (memilih ) untuk menemukan OU yang Anda inginkan.
Pada halaman Root, OU, atau akun, pilih tab Kebijakan.

Tab Kebijakan menampilkan semua kebijakan yang dilampirkan ke root, OU, atau akun, yang dikelompokkan dalam grup berdasarkan jenis kebijakan.

AWS CLI & AWS SDKs

Untuk daftar semua kebijakan yang dilampirkan secara langsung ke root, OU, atau akun tertentu

Anda dapat menggunakan salah satu perintah berikut untuk mencantumkan kebijakan yang dilampirkan ke sebuah entitas:

AWS CLI: list-policies-for-target

Contoh berikut mencantumkan semua kebijakan kontrol layanan yang dilampirkan pada OU tertentu. Anda harus menentukan ID dari root, OU, atau akun, dan jenis kebijakan yang ingin Anda cantumkan.


$ aws organizations list-policies-for-target \
    --target-id ou-a1b2-f6g7h222 \
    --filter SERVICE_CONTROL_POLICY
{
    "Policies": [
        {
            "Id": "p-FullAWSAccess",
            "Arn": "arn:aws:organizations::aws:policy/service_control_policy/p-FullAWSAccess",
            "Name": "FullAWSAccess",
            "Description": "Allows access to every operation",
            "Type": "SERVICE_CONTROL_POLICY",
            "AwsManaged": true
        }
    ]
}

AWS SDKs: ListPoliciesForTarget

Mencantumkan semua akarOUs,, dan akun yang dilampirkan oleh kebijakan

Izin minimum

Untuk mencantumkan entitas yang padanya kebijakan terlampir, Anda harus memiliki izin berikut:

organizations:ListTargetsForPolicydengan Resource elemen dalam pernyataan kebijakan yang sama yang mencakup kebijakan ARN yang ditentukan (atau “*”)

AWS Management Console

Untuk mencantumkan semua akar,OUs, dan akun yang memiliki kebijakan tertentu yang dilampirkan

Masuk ke konsol AWS Organizations tersebut. Anda harus masuk sebagai IAM pengguna, IAM berperan, atau masuk sebagai pengguna root (tidak disarankan) di akun manajemen organisasi.
Pada halaman Kebijakan, pilih jenis kebijakan, lalu pilih nama kebijakan yang lampirannya ingin Anda periksa.
Pilih tab Target, untuk menampilkan tabel dari setiap root, OU, dan akun yang mempunyai kebijakan terlampir yang dipilih.

AWS CLI & AWS SDKs

Untuk mencantumkan semua akar,OUs, dan akun yang memiliki kebijakan tertentu yang dilampirkan

Anda dapat menggunakan salah satu perintah berikut untuk mecantumkan entitas yang memiliki sebuah kebijakan:

AWS CLI: list-targets-for-policy

Contoh berikut menunjukkan semua lampiran ke root,OUs, dan akun untuk kebijakan yang ditentukan.


$ aws organizations list-targets-for-policy \
    --policy-id p-FullAWSAccess
{
    "Targets": [
        {
            "TargetId": "ou-a1b2-f6g7h111",
            "Arn": "arn:aws:organizations::123456789012:ou/o-aa111bb222/ou-a1b2-f6g7h111",
            "Name": "testou2",
            "Type": "ORGANIZATIONAL_UNIT"
        },
        {
            "TargetId": "ou-a1b2-f6g7h222",
            "Arn": "arn:aws:organizations::123456789012:ou/o-aa111bb222/ou-a1b2-f6g7h222",
            "Name": "testou1",
            "Type": "ORGANIZATIONAL_UNIT"
        },
        {
            "TargetId": "123456789012",
            "Arn": "arn:aws:organizations::123456789012:account/o-aa111bb222/123456789012",
            "Name": "My Management Account (bisdavid)",
            "Type": "ACCOUNT"
        },
        {
            "TargetId": "r-a1b2",
            "Arn": "arn:aws:organizations::123456789012:root/o-aa111bb222/r-a1b2",
            "Name": "Root",
            "Type": "ROOT"
        }
    ]
}

AWS SDKs: ListTargetsForPolicy

Mendapatkan detail tentang sebuah kebijakan

Izin minimum

Untuk menampilkan detail kebijakan, Anda harus memiliki izin berikut:

organizations:DescribePolicydengan Resource elemen dalam pernyataan kebijakan yang sama yang mencakup kebijakan ARN yang ditentukan (atau “*”)

Untuk mendapatkan detail tentang sebuah kebijakan

Masuk ke konsol AWS Organizations. Anda harus masuk sebagai IAM pengguna, IAM berperan, atau masuk sebagai pengguna root (tidak disarankan) di akun manajemen organisasi.
Pada halaman Kebijakan, pilih jenis kebijakan yang ingin Anda periksa, dan kemudian pilih nama kebijakan tersebut.

Halaman kebijakan menampilkan informasi yang tersedia tentang kebijakan, termasuk deskripsiARN, dan target terlampir.
- Tab Konten menampilkan konten kebijakan saat ini dalam JSON format.
- Tab Target menampilkan daftar akarOUs, dan akun tempat kebijakan dilampirkan.
- Tab Tag menunjukkan tag yang dilampirkan ke kebijakan. Catatan: Tab tag tidak tersedia untuk kebijakan terkelola AWS .
Untuk mengedit kebijakan, pilih Edit Kebijakan. Karena setiap jenis kebijakan memiliki persyaratan pengeditan yang berbeda, lihat petunjuk untuk membuat dan memperbarui kebijakan dari jenis kebijakan yang Anda tentukan.

Contoh kode berikut menunjukkan cara menggunakanDescribePolicy.

CLI

AWS CLI

Untuk mendapatkan informasi tentang kebijakan

Contoh berikut menunjukkan cara meminta informasi tentang kebijakan:


aws organizations describe-policy --policy-id p-examplepolicyid111

Outputnya mencakup objek kebijakan yang berisi detail tentang kebijakan:


{
        "Policy": {
                "Content": "{\n  \"Version\": \"2012-10-17\",\n  \"Statement\": [\n    {\n      \"Effect\": \"Allow\",\n      \"Action\": \"*\",\n      \"Resource\": \"*\"\n    }\n  ]\n}",
                "PolicySummary": {
                        "Arn": "arn:aws:organizations::111111111111:policy/o-exampleorgid/service_control_policy/p-examplepolicyid111",
                        "Type": "SERVICE_CONTROL_POLICY",
                        "Id": "p-examplepolicyid111",
                        "AwsManaged": false,
                        "Name": "AllowAllS3Actions",
                        "Description": "Enables admins to delegate S3 permissions"
                }
        }
}

Untuk API detailnya, lihat DescribePolicydi Referensi AWS CLI Perintah.

Python

SDKuntuk Python (Boto3)

catatan

Ada lebih banyak tentang GitHub. Temukan contoh lengkapnya dan pelajari cara mengatur dan menjalankannya di AWS Repositori Contoh Kode.


def describe_policy(policy_id, orgs_client):
    """
    Describes a policy.

    :param policy_id: The ID of the policy to describe.
    :param orgs_client: The Boto3 Organizations client.
    :return: The description of the policy.
    """
    try:
        response = orgs_client.describe_policy(PolicyId=policy_id)
        policy = response["Policy"]
        logger.info("Got policy %s.", policy_id)
    except ClientError:
        logger.exception("Couldn't get policy %s.", policy_id)
        raise
    else:
        return policy

Untuk API detailnya, lihat DescribePolicy AWSSDKReferensi Python (Boto3). API

Awas Javascript dinonaktifkan atau tidak tersedia di browser Anda.

Untuk menggunakan Dokumentasi AWS, Javascript harus diaktifkan. Lihat halaman Bantuan browser Anda untuk petunjuk.

Konvensi Dokumen

Mengaktifkan dan menonaktifkan jenis kebijakan

Administrator yang didelegasikan untuk AWS Organizations