Anexar e desvincular políticas de tag - AWS Organizations

Anexar e desvincular políticas de tag

Você pode usar políticas de tag em uma organização inteira, bem como em unidades organizacionais (UOs) e contas individuais.

  • Quando você anexa uma política de tags à raiz da organização, a política de tags se aplica a todas as UO e contas membros dessa raiz.

  • Quando você anexa uma política de tag a uma UO, essa política se aplica às contas que pertencem à UO. Essas contas também estão sujeitas a qualquer política de tag anexada à raiz da organização.

  • Quando você anexa uma política de tags a uma conta, essa política se aplica à conta. Além disso, essa conta está sujeita a qualquer política de tag anexada à raiz da organização, além de qualquer política de tag anexada a uma UO à qual a conta pertence.

A agregação de todas as políticas de tag que a conta herda, além de qualquer política de tag diretamente anexada à conta, é a política de tag efetiva. Para obter mais informações, consulte Noções básicas sobre herança das políticas.

Importante

Os recursos sem tag não são exibidos como incompatíveis nos resultados.

Permissões mínimas

Para anexar políticas de tag, você deve ter permissão para executar a seguinte ação:

  • organizations:AttachPolicy

AWS Management Console

Você pode anexar uma política de tag navegando até a política ou até a raiz, UO ou conta à qual você deseja anexar a política.

Para anexar a política de tag navegando para uma raiz, UO ou conta

  1. Faça login no console do AWS Organizations. Você deve fazer login como um usuário do IAM, assumir uma função do IAM ou fazer login como usuário-raiz (não recomendado) na conta de gerenciamento da organização.

  2. Na página Contas da AWS, navegue e escolha o nome da raiz, UO ou conta à qual você deseja anexar a política. Talvez seja necessário expandir as UOs (escolha ) para encontrar a UO ou a conta que você deseja.

  3. Na guia Policies (Políticas), na entrada para Tagpolicies (Políticas de backup), escolha Attach (Anexar).

  4. Encontre a política que você deseja e escolha Attach policy (Anexar política).

    A lista de políticas de tag anexadas na guia Policies (Políticas) é atualizada para incluir a nova adição. A política entra em vigor imediatamente.

Para anexar uma política de tag navegando até a política

  1. Faça login no console do AWS Organizations. Você deve fazer login como um usuário do IAM, assumir uma função do IAM ou fazer login como usuário-raiz (não recomendado) na conta de gerenciamento da organização.

  2. Na página Tag policies (Políticas de tag), escolha o nome da política que deseja anexar.

  3. Na guia Targets (Alvos), selecione Attach (Anexar).

  4. Escolha o botão de opção ao lado da raiz, UO ou conta à qual você deseja anexar a política. Talvez seja necessário expandir as UOs (escolha ) para encontrar a UO ou a conta que você deseja.

  5. Escolha Attach policy (Anexar política).

    A lista de políticas de tag anexadas na guia Targets (Alvos) é atualizada para incluir a nova adição. A política entra em vigor imediatamente.

AWS CLI & AWS SDKs

Como anexar uma política de tag à raiz da organização, UO ou conta

Você pode usar um dos seguintes procedimentos para anexar uma política de tags:

  • AWS CLI: attach-policy

    O procedimento a seguir mostra como anexar a política de tag que você acabou de criar a uma única conta de teste.

    • Anexe a política de tag à conta de teste executando um comando como o exibido a seguir:

      $ aws organizations attach-policy \ --target-id <account-id> \ --policy-id p-a1b2c3d4e5

      Este comando não produz saída se for bem-sucedido.

  • AWS SDKs: AttachPolicy

A política entra em vigor imediatamente.

O que fazer em seguida

Depois de anexar uma política de tag, você pode descobrir até que ponto os recursos da conta são compatíveis com essa política de tag. Para fazer isso, use o console do Resource Groups. Para obter informações, consulte Avaliando a conformidade de uma conta no Guia do usuário do AWS Resource Groups.

Desanexar uma política de tags

Quando faz login na conta de gerenciamento de sua organização, você pode desvincular a política de tag da raiz da organização, UO ou conta à qual ela está conectada. Depois de desanexar uma política de tags de uma entidade, essa política não será mais aplicada a nenhuma conta afetada pela entidade agora desanexada. Para separar uma política, conclua as seguintes etapas.

Permissões mínimas

Para desanexar uma política de tag da raiz da organização, UO ou conta, você deve ter permissão para executar a seguinte ação:

  • organizations:DetachPolicy

AWS Management Console

Você pode desvincular uma política de tag navegando até a política ou até a raiz, UO ou conta da qual você deseja desvincular a política.

Para desvincular uma política de tag navegando até a raiz, UO ou conta à qual ela está anexada

  1. Faça login no console do AWS Organizations. Você deve fazer login como um usuário do IAM, assumir uma função do IAM ou fazer login como usuário-raiz (não recomendado) na conta de gerenciamento da organização.

  2. Na página Contas da AWS, navegue até a raiz, UO ou conta da qual você deseja desvincular uma política. Talvez seja necessário expandir as UOs (escolha ) para encontrar a UO ou a conta que você deseja. Escolha o nome da raiz, UO ou conta.

  3. Na guia Policies (Políticas), escolha o botão de opção ao lado da política de tag que você deseja desvincular e selecione Detach (Desvincular).

  4. Na caixa de diálogo de confirmação, escolha Detach policy (Desvincular política).

    A lista de políticas de tag anexada é atualizada. A política entra em vigor imediatamente.

Para desvincular uma política de tag navegando até a política

  1. Faça login no console do AWS Organizations. Você deve fazer login como um usuário do IAM, assumir uma função do IAM ou fazer login como usuário-raiz (não recomendado) na conta de gerenciamento da organização.

  2. Na página Tag policies (Políticas de tag), escolha o nome da política que você deseja desvincular de uma raiz, UO ou conta.

  3. Na guia Targets (Alvos), escolha o botão de opção ao lado da raiz, UO ou conta da qual você deseja desvincular a política. Talvez seja necessário expandir as UOs (escolha ) para encontrar a UO ou a conta que você deseja.

  4. Escolha Detach (Desvincular).

  5. Na caixa de diálogo de confirmação, escolha Detach (Desvincular).

    A lista de políticas de tag anexada é atualizada. A política entra em vigor imediatamente.

AWS CLI & AWS SDKs

Como desanexar uma política de tag da raiz da organização, UO ou conta

Você pode usar um dos seguintes procedimentos para desanexar uma política de tag:

A política entra em vigor imediatamente.