Melampirkan dan melepaskan kebijakan kontrol layanan - AWS Organizations
Melepaskan SCP dari akar organisasi, OU, atau akun

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Melampirkan dan melepaskan kebijakan kontrol layanan

Saat masuk ke akun pengelolaan organisasi, Anda dapat melampirkan kebijakan kontrol layanan (SCP) yang sebelumnya Anda buat. Anda dapat melampirkan SCP ke akar organisasi, untuk unit organisasi (OU), atau langsung ke akun. Untuk melampirkan SCP, selesaikan langkah-langkah berikut.

Izin minimum

Untuk melampirkan SCP ke akar, OU, atau akun, Anda memerlukan izin untuk menjalankan tindakan-tindakan berikut:

  • organizations:AttachPolicy dengan elemen Resource dalam pernyataan kebijakan yang sama yang menyertakan "*" atau Amazon Resource Name (ARN) dari kebijakan tertentu dan ARN akar, OU, atau akun yang ingin Anda lampiri kebijakan

Anda dapat melampirkan SCP dengan menavigasi ke kebijakan atau akar, OU, atau akun yang Anda ingin lampiri dengan kebijakan.

Untuk melampirkan SCP dengan menavigasi ke akar, OU, atau akun

  1. Masuk ke konsol AWS Organizations. Anda harus masuk sebagai pengguna IAM, mengambil IAM role, atau masuk sebagai pengguna akar (tidak Disarankan) di akun pengelolaan organisasi.

  2. Pada halaman Akun AWS, buka dan pilih kotak centang di samping akar, OU, atau akun yang ingin Anda lampiri SCP. Anda mungkin harus memperluas OU (pilih ) untuk menemukan OU atau akun yang Anda inginkan.

  3. Di tab Kebijakan, dalam entri untuk Kebijakan kontrol layanan, pilih Lampirkan.

  4. Temukan kebijakan yang Anda inginkan dan pilih Lampirkan kebijakan.

    Daftar SCP terlampir pada tab Kebijakan sudah diperbarui dan mencakup tambahan baru. Perubahan kebijakan akan langsung berlaku, mempengaruhi izin IAM pengguna dan peran dalam akun terlampir atau semua akun di bawah akar terlampir atau OU.

Untuk melampirkan SCP dengan menavigasi ke kebijakan

  1. Masuk ke konsol AWS Organizations. Anda harus masuk sebagai pengguna IAM, mengambil IAM role, atau masuk sebagai pengguna akar (tidak Disarankan) di akun pengelolaan organisasi.

  2. Pada halaman Kebijakan kontrol layanan, pilih nama kebijakan yang ingin Anda lampirkan.

  3. Di tab Target, pilih Lampirkan.

  4. Pilih tombol radio yang ada di samping root, OU, atau akun yang ingin Anda lampirkan kebijakan padanya. Anda mungkin harus memperluas OU (pilih ) untuk menemukan OU atau akun yang Anda inginkan.

  5. Pilih Pasang kebijakan.

    Daftar SCP terlampir pada tab Target sudah diperbarui dan mencakup tambahan baru. Perubahan kebijakan akan langsung berlaku, mempengaruhi izin IAM pengguna dan peran dalam akun terlampir atau semua akun di bawah akar terlampir atau OU.

Untuk melampirkan SCP dengan menavigasi ke root, OU, atau akun

Contoh kode berikut menunjukkan cara menggunakanAttachPolicy.

.NET
AWS SDK for .NET
catatan

Ada lebih banyak tentang GitHub. Temukan contoh lengkapnya dan pelajari cara mengatur dan menjalankannya di AWS Repositori Contoh Kode. 

    using System;
    using System.Threading.Tasks;
    using Amazon.Organizations;
    using Amazon.Organizations.Model;

    /// <summary>
    /// Shows how to attach an AWS Organizations policy to an organization,
    /// an organizational unit, or an account.
    /// </summary>
    public class AttachPolicy
    {
        /// <summary>
        /// Initializes the Organizations client object and then calls the
        /// AttachPolicyAsync method to attach the policy to the root
        /// organization.
        /// </summary>
        public static async Task Main()
        {
            IAmazonOrganizations client = new AmazonOrganizationsClient();
            var policyId = "p-00000000";
            var targetId = "r-0000";

            var request = new AttachPolicyRequest
            {
                PolicyId = policyId,
                TargetId = targetId,
            };

            var response = await client.AttachPolicyAsync(request);

            if (response.HttpStatusCode == System.Net.HttpStatusCode.OK)
            {
                Console.WriteLine($"Successfully attached Policy ID {policyId} to Target ID: {targetId}.");
            }
            else
            {
                Console.WriteLine("Was not successful in attaching the policy.");
            }
        }
    }

  • Untuk detail API, lihat AttachPolicydi Referensi AWS SDK for .NET API.

CLI
AWS CLI

Untuk melampirkan kebijakan ke root, OU, atau akun

Contoh 1

Contoh berikut menunjukkan cara melampirkan kebijakan kontrol layanan (SCP) ke OU:

aws organizations attach-policy
                --policy-id p-examplepolicyid111
                --target-id ou-examplerootid111-exampleouid111

Contoh 2

Contoh berikut menunjukkan cara melampirkan kebijakan kontrol layanan langsung ke akun:

aws organizations attach-policy
                --policy-id p-examplepolicyid111
                --target-id 333333333333

  • Untuk detail API, lihat AttachPolicydi Referensi AWS CLI Perintah.

Python
SDK untuk Python (Boto3)
catatan

Ada lebih banyak tentang GitHub. Temukan contoh lengkapnya dan pelajari cara mengatur dan menjalankannya di AWS Repositori Contoh Kode. 

def attach_policy(policy_id, target_id, orgs_client):
    """
    Attaches a policy to a target. The target is an organization root, account, or
    organizational unit.

    :param policy_id: The ID of the policy to attach.
    :param target_id: The ID of the resources to attach the policy to.
    :param orgs_client: The Boto3 Organizations client.
    """
    try:
        orgs_client.attach_policy(PolicyId=policy_id, TargetId=target_id)
        logger.info("Attached policy %s to target %s.", policy_id, target_id)
    except ClientError:
        logger.exception(
            "Couldn't attach policy %s to target %s.", policy_id, target_id
        )
        raise

  • Untuk detail API, lihat AttachPolicydi AWS SDK for Python (Boto3) Referensi API.

Perubahan kebijakan akan langsung berlaku, mempengaruhi izin IAM pengguna dan peran dalam akun terlampir atau semua akun di bawah akar terlampir atau OU.

Melepaskan SCP dari akar organisasi, OU, atau akun

Ketika Anda masuk ke akun pengelolaan organisasi Anda, Anda dapat melepaskan SCP dari akar organisasi, OU, atau akun yang melampirkannya. Setelah Anda melepaskan SCP dari entitas, SCP tersebut tidak lagi berlaku untuk pengguna IAM dan peran IAM mana pun yang terpengaruh oleh entitas yang sekarang terpisah. Untuk melepaskan SCP, selesaikan langkah-langkah berikut.

catatan

Anda tidak dapat melepaskan SCP terakhir dari akar, OU, atau akun. Harus ada setidaknya satu SCP yang dilampirkan pada setiap akar, OU, dan akun setiap saat.

Izin minimum

Untuk melepaskan SCP dari akar, OU, atau akun, Anda memerlukan izin untuk menjalankan tindakan-tindakan berikut:

  • organizations:DetachPolicy

Anda dapat melepaskan SCP dengan menavigasi ke kebijakan atau ke root, OU, atau akun yang ingin Anda lepaskan dari kebijakan tersebut.

Untuk melepaskan SCP dengan menavigasi ke akar, OU, atau akun yang dilampiri SCP

  1. Masuk ke konsol AWS Organizations. Anda harus masuk sebagai pengguna IAM, mengambil IAM role, atau masuk sebagai pengguna akar (tidak Disarankan) di akun pengelolaan organisasi.

  2. Pada halaman Akun AWS navigasi ke akar, OU, atau akun yang ingin Anda lepaskan kebijakan darinya. Anda mungkin harus memperluas OU (pilih ) untuk menemukan OU atau akun yang Anda inginkan. Pilih nama Root, OU, atau akun.

  3. Pada tab Kebijakan, pilih tombol radio di samping SCP yang ingin Anda lepaskan, kemudian pilih Lepaskan.

  4. Dalam kotak dialog konfirmasi, pilih Lepaskan kebijakan.

    Daftar SCP yang dilampirkan sudah diperbarui. Perubahan kebijakan yang disebabkan oleh pelepasan SCP langsung berlaku. Sebagai contoh, memisahkan SCP akan langsung mempengaruhi izin pengguna dan peran IAM dalam akun yang sebelumnya dilampiri SCP atau akun di bawah akar organisasi atau OU yang sebelumnya dilampiri SCP.

Untuk melepaskan SCP dengan menavigasi ke kebijakan

  1. Masuk ke konsol AWS Organizations. Anda harus masuk sebagai pengguna IAM, mengambil IAM role, atau masuk sebagai pengguna akar (tidak Disarankan) di akun pengelolaan organisasi.

  2. Pada halaman Kebijakan kontrol layanan, pilih nama kebijakan yang ingin Anda lepaskan dari akar, OU, atau akun.

  3. Pada tab Target, pilih tombol radio yang ada di sebelah root, OU, atau akun yang ingin Anda lepaskan kebijakan darinya. Anda mungkin harus memperluas OU (pilih ) untuk menemukan OU atau akun yang Anda inginkan.

  4. Pilih Lepaskan.

  5. Dalam kotak dialog konfirmasi, pilih Lepaskan.

    Daftar SCP yang dilampirkan sudah diperbarui. Perubahan kebijakan yang disebabkan oleh pelepasan SCP langsung berlaku. Sebagai contoh, memisahkan SCP akan langsung mempengaruhi izin pengguna dan peran IAM dalam akun yang sebelumnya dilampiri SCP atau akun di bawah akar organisasi atau OU yang sebelumnya dilampiri SCP.

Untuk melepaskan SCP dari akar, OU, atau akun

Contoh kode berikut menunjukkan cara menggunakanDetachPolicy.

.NET
AWS SDK for .NET
catatan

Ada lebih banyak tentang GitHub. Temukan contoh lengkapnya dan pelajari cara mengatur dan menjalankannya di AWS Repositori Contoh Kode. 

    using System;
    using System.Threading.Tasks;
    using Amazon.Organizations;
    using Amazon.Organizations.Model;

    /// <summary>
    /// Shows how to detach a policy from an AWS Organizations organization,
    /// organizational unit, or account.
    /// </summary>
    public class DetachPolicy
    {
        /// <summary>
        /// Initializes the Organizations client object and uses it to call
        /// DetachPolicyAsync to detach the policy.
        /// </summary>
        public static async Task Main()
        {
            // Create the client object using the default account.
            IAmazonOrganizations client = new AmazonOrganizationsClient();

            var policyId = "p-00000000";
            var targetId = "r-0000";

            var request = new DetachPolicyRequest
            {
                PolicyId = policyId,
                TargetId = targetId,
            };

            var response = await client.DetachPolicyAsync(request);

            if (response.HttpStatusCode == System.Net.HttpStatusCode.OK)
            {
                Console.WriteLine($"Successfully detached policy with Policy Id: {policyId}.");
            }
            else
            {
                Console.WriteLine("Could not detach the policy.");
            }
        }
    }

  • Untuk detail API, lihat DetachPolicydi Referensi AWS SDK for .NET API.

CLI
AWS CLI

Untuk melepaskan kebijakan dari root, OU, atau akun

Contoh berikut menunjukkan cara melepaskan kebijakan dari OU:

aws organizations  detach-policy  --target-id ou-examplerootid111-exampleouid111 --policy-id p-examplepolicyid111

  • Untuk detail API, lihat DetachPolicydi Referensi AWS CLI Perintah.

Python
SDK untuk Python (Boto3)
catatan

Ada lebih banyak tentang GitHub. Temukan contoh lengkapnya dan pelajari cara mengatur dan menjalankannya di AWS Repositori Contoh Kode. 

def detach_policy(policy_id, target_id, orgs_client):
    """
    Detaches a policy from a target.

    :param policy_id: The ID of the policy to detach.
    :param target_id: The ID of the resource where the policy is currently attached.
    :param orgs_client: The Boto3 Organizations client.
    """
    try:
        orgs_client.detach_policy(PolicyId=policy_id, TargetId=target_id)
        logger.info("Detached policy %s from target %s.", policy_id, target_id)
    except ClientError:
        logger.exception(
            "Couldn't detach policy %s from target %s.", policy_id, target_id
        )
        raise

  • Untuk detail API, lihat DetachPolicydi AWS SDK for Python (Boto3) Referensi API.

Perubahan kebijakan akan langsung berlaku, mempengaruhi izin IAM pengguna dan peran dalam akun terlampir atau semua akun di bawah akar terlampir atau OU