Anexar e desvincular políticas de controle de serviço - AWS Organizations
Desanexar uma SCP da raiz da organização, UO ou conta

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Anexar e desvincular políticas de controle de serviço

Quando faz login na conta de gerenciamento da sua organização, você pode anexar uma política de controle de serviço (SCP) criada anteriormente. Você pode anexar uma SCP à raiz da organização, a uma unidade organizacional (UO) ou diretamente a uma conta. Para anexar uma SCP, conclua as seguintes etapas.

Permissões mínimas

Para anexar uma SCP a uma raiz, UO ou conta, você precisa de permissão para executar a seguinte ação:

  • organizations:AttachPolicy com um elemento Resource na mesma instrução de política que inclui "*" ou o nome do recurso da Amazon (ARN) da política especificada e o ARN da raiz, UO ou conta que você deseja anexar à política

AWS Management Console

Você pode anexar uma SCP navegando até a política ou até a raiz, UO ou conta à qual você deseja anexar a política.

Para anexar uma SCP navegando para a raiz, UO ou conta

  1. Faça login no console do AWS Organizations. Você deve fazer login como um usuário do IAM, assumir uma função do IAM ou fazer login como usuário-raiz (não recomendado) na conta de gerenciamento da organização.

  2. Na página Contas da AWS, navegue e marque a caixa de seleção ao lado da raiz, UO ou conta à qual você deseja anexar uma SCP. Talvez seja necessário expandir as UOs (escolha ) para encontrar a UO ou a conta que você deseja.

  3. Na guia Policies (Políticas), na entrada para Service control policies (Políticas de controle de serviço), escolha Attach (Anexar).

  4. Encontre a política que você deseja e escolha Attach policy (Anexar política).

    A lista de SCPs anexadas na guia Policies (Políticas) é atualizada para incluir a nova adição. A alteração da política tem efeito imediatamente, afetanto as permissões de usuários e funções do IAM na conta anexada ou em todas as contas na raiz ou UO anexada.

Para anexar uma SCP navegando até a política

  1. Faça login no console do AWS Organizations. Você deve fazer login como um usuário do IAM, assumir uma função do IAM ou fazer login como usuário-raiz (não recomendado) na conta de gerenciamento da organização.

  2. Na página Service control policies (Políticas de controle de serviço), escolha o nome da política que você deseja anexar.

  3. Na guia Targets (Alvos), selecione Attach (Anexar).

  4. Escolha o botão de opção ao lado da raiz, UO ou conta à qual você deseja anexar a política. Talvez seja necessário expandir as UOs (escolha ) para encontrar a UO ou a conta que você deseja.

  5. Escolha Attach policy (Anexar política).

    A lista de SCPs anexadas na guia Targets (Alvos) é atualizada para incluir a nova adição. A alteração da política tem efeito imediatamente, afetanto as permissões de usuários e funções do IAM na conta anexada ou em todas as contas na raiz ou UO anexada.

AWS CLI & AWS SDKs
Para anexar uma SCP navegando para a raiz, UO ou conta

Você pode usar um dos seguintes comandos para anexar uma SCP:

  • AWS CLI: attach-policy

    O exemplo a seguir anexa uma SCP a uma UO.

    $ aws organizations attach-policy \
    --policy-id p-i9j8k7l6m5 \
    --target-id ou-a1b2-f6g7h222

    Esse comando não gera nenhuma saída quando é bem-sucedido.

  • AWS SDKs: AttachPolicy

A alteração da política tem efeito imediatamente, afetanto as permissões de usuários e funções do IAM na conta anexada ou em todas as contas na raiz ou UO anexada.

Desanexar uma SCP da raiz da organização, UO ou conta

Quando faz login na conta de gerenciamento de sua organização, você pode desvincular uma SCP da raiz da organização, UO ou conta à qual ela está anexada. Depois de separar um SCP de uma entidade, esse SCP não se aplica mais a nenhum usuário e função do IAM que tenha sido afetado pela entidade agora desanexada. Para desanexar uma SCP, conclua as seguintes etapas.

nota

Não é possível desanexar a última SCP de uma raiz, uma UO ou uma conta. Deve haver pelo menos uma SCP anexada a cada raiz, UO e conta durante todo o tempo.

Permissões mínimas

Para desvincular uma SCP da raiz, UO ou conta, você precisa de permissão para executar a seguinte ação:

  • organizations:DetachPolicy

AWS Management Console

Você pode desvincular uma SCP navegando até a política ou até a raiz, UO ou conta da qual você deseja desvincular a política.

Para desvincular uma SCP navegando até a raiz, UO ou conta à qual ela está anexada

  1. Faça login no console do AWS Organizations. Você deve fazer login como um usuário do IAM, assumir uma função do IAM ou fazer login como usuário-raiz (não recomendado) na conta de gerenciamento da organização.

  2. Na página Contas da AWS, navegue até a raiz, UO ou conta da qual você deseja desvincular uma política. Talvez seja necessário expandir as UOs (escolha ) para encontrar a UO ou a conta que você deseja. Escolha o nome da raiz, UO ou conta.

  3. Na guia Policies (Políticas), escolha o botão de opção ao lado da SCP que você deseja desvincular e selecione Detach (Desvincular).

  4. Na caixa de diálogo de confirmação, escolha Detach policy (Desvincular política).

    A lista de SCPs anexadas será atualizada. A alteração da política causada pela desvinculação da SCP entra em vigor imediatamente. Por exemplo, a desvinculação de uma SCP afeta imediatamente as permissões de usuários e funções do IAM na conta anexada anteriormente ou contas abaixo da raiz ou UO anexada anteriormente.

Para desvincular uma SCP navegando até a política

  1. Faça login no console do AWS Organizations. Você deve fazer login como um usuário do IAM, assumir uma função do IAM ou fazer login como usuário-raiz (não recomendado) na conta de gerenciamento da organização.

  2. Na página Service control policies (Políticas de controle de serviço), escolha o nome da política que você deseja desvincular de uma raiz, UO ou conta.

  3. Na guia Targets (Alvos), escolha o botão de opção ao lado da raiz, UO ou conta da qual você deseja desvincular a política. Talvez seja necessário expandir as UOs (escolha ) para encontrar a UO ou a conta que você deseja.

  4. Escolha Detach (Desvincular).

  5. Na caixa de diálogo de confirmação, escolha Detach (Desvincular).

    A lista de SCPs anexadas será atualizada. A alteração da política causada pela desvinculação da SCP entra em vigor imediatamente. Por exemplo, a desvinculação de uma SCP afeta imediatamente as permissões de usuários e funções do IAM na conta anexada anteriormente ou contas abaixo da raiz ou UO anexada anteriormente.

AWS CLI & AWS SDKs
Para desvincular uma SCP de uma raiz, UO ou conta

Você pode usar um dos seguintes comandos para desvincular uma SCP:

  • AWS CLI: detach-policy

    O exemplo a seguir desvincula a SCP especificada da UO especificada.

    $ aws organizations detach-policy \
    --policy-id p-i9j8k7l6m5 \
    --target-id ou-a1b2-f6g7h222

  • AWS SDKs: DetachPolicy

A alteração da política tem efeito imediatamente, afetanto as permissões de usuários e funções do IAM na conta anexada ou em todas as contas na raiz ou UO anexada