创建、更新和删除 AI 服务选择退出策略

本主题内容：

• 为组织启用 AI 服务选择退出策略后，您可以创建策略。

• 当选择退出要求发生变化时，您可以更新现有策略。

• 当您不再需要策略并将其与所有组织部门（OU）和账户分离后，您可以删除策略。

创建 AI 服务选择退出策略

最小权限

要创建 AI 服务选择退出策略，您需要运行以下操作的权限：

• organizations:CreatePolicy

AWS Management Console

创建 AI 服务选择退出策略

1. 登录 AWS Organizations 控制台。您必须以 IAM 用户的身份登录，担任 IAM 角色；或在组织的管理账户中以根用户的身份登录（不推荐）。

2. 在 AI services opt-out policies (AI 服务选择退出策略) 页面上，选择 Create policy (创建策略)。

3. 在 Create new AI services opt-out policy（创建新的 AI 服务选择退出策略）页面上，输入 Policy name（策略名称）和可选 Policy description（策略说明）。

4. （可选）您可以向策略添加一个或多个标签，方法是选择 Add tag (添加标签)，然后输入一个键和可选的值。将值留空，设置为空字符串；它并非 null。您最多可以向策略附加 50 个标签。有关更多信息，请参阅 为 AWS Organizations 资源添加标签。

5. 输入策略文本或将其粘贴到 JSON 选项卡。有关 AI 服务选择退出策略语法的信息，请参阅AI 服务选择退出策略语法和示例。有关可用作起始点的策略的示例，请参阅AI 服务选择退出策略示例。

6. 编辑完策略后，选择位于页面右下角的 Create policy (创建策略)。

AWS CLI & AWS SDKs

创建 AI 服务选择退出策略

您可以使用以下方法之一来创建标签策略：

• AWS CLI：create-policy

  1. 创建如下所示的 AI 服务选择退出策略，并将其存储在文本文件中。请注意，“optOut”和“optIn”区分大小写。

     {
         "services": {
             "default": {
                 "opt_out_policy": {
                     "@@assign": "optOut"
                 }
             },
             "rekognition": {
                 "opt_out_policy": {
                     "@@assign": "optIn"
                 }
             }
         }
     }

     此 AI 服务选择退出策略指定所有受策略影响的账户都选择退出除 Amazon Rekognition 之外的所有 AI 服务。

  2. 导入 JSON 策略文件以在组织中创建新的策略。在本示例中，上一个 JSON 文件名为 policy.json。

     $ aws organizations create-policy \
         --type AISERVICES_OPT_OUT_POLICY \
         --name "MyTestPolicy" \
         --description "My test policy" \
         --content file://policy.json
     {
         "Policy": {
             "Content": "{\"services\":{\"default\":{\"opt_out_policy\":{\"@@assign\":\"optOut\"}},\"rekognition\":{\"opt_out_policy\":{\"@@assign\":\"optIn\"}}}}",
             "PolicySummary": {
                 "Id": "p-i9j8k7l6m5"
                 "Arn": "arn:aws:organizations::o-aa111bb222:policy/aiservices_opt_out_policy/p-i9j8k7l6m5",
                 "Description": "My test policy",
                 "Name": "MyTestPolicy",
                 "Type": "AISERVICES_OPT_OUT_POLICY"
             }
         }
     }

• AWS 软件开发工具包：CreatePolicy

后续操作

创建 AI 服务选择退出策略后，您可以使选择退出的选项生效。为此，您可以将策略附加到组织根目录、组织单位 (OU)、组织 AWS 账户 内部或所有这些的组合。

更新 AI 服务选择退出策略

最小权限

要更新 AI 服务选择退出策略，您必须具有运行以下操作的权限：

• organizations:UpdatePolicy，且同一条策略语句中有一个 Resource 元素包含所指定策略的 ARN（或“*”）。

• organizations:DescribePolicy，且同一条策略语句中有一个 Resource 元素包含所指定策略的 Amazon Resource Name（ARN）（或“*”）。

AWS Management Console

更新 AI 服务选择退出策略

1. 登录 AWS Organizations 控制台。您必须以 IAM 用户的身份登录，担任 IAM 角色；或在组织的管理账户中以根用户的身份登录（不推荐）。

2. 在 AI services opt-out policies (AI 服务选择退出策略) 页面上，选择要更新的策略的名称。

3. 在策略的详细信息页面上，选择 Edit policy (编辑策略)。

4. 您可以输入一个新的 Policy name (策略名称)、Policy description (策略说明)，或编辑 JSON 策略文本。有关 AI 服务选择退出策略语法的信息，请参阅AI 服务选择退出策略语法和示例。有关可用作起始点的策略的示例，请参阅AI 服务选择退出策略示例。

5. 完成更新策略后，选择保存更改。

AWS CLI & AWS SDKs

更新策略

您可以使用以下命令之一来更新策略：

• AWS CLI：update-policy

  以下示例重命名 AI 服务选择退出策略。

  $ aws organizations update-policy \
      --policy-id p-i9j8k7l6m5 \
      --name "Renamed policy"
  {
      "Policy": {
          "PolicySummary": {
              "Id": "p-i9j8k7l6m5",
              "Arn": "arn:aws:organizations::123456789012:policy/o-aa111bb222/aiservices_opt_out_policy/p-i9j8k7l6m5",
              "Name": "Renamed policy",
              "Type": "AISERVICES_OPT_OUT_POLICY",
              "AwsManaged": false
          },
          "Content": "{\"services\":{\"default\":{\"opt_out_policy\":   ....TRUNCATED FOR BREVITY...   :{\"@@assign\":\"optIn\"}}}}"
      }
  }

  以下示例添加或更改 AI 服务选择退出策略的说明。

  $ aws organizations update-policy \
      --policy-id p-i9j8k7l6m5 \
      --description "My new description"
  {
      "Policy": {
          "PolicySummary": {
              "Id": "p-i9j8k7l6m5",
              "Arn": "arn:aws:organizations::123456789012:policy/o-aa111bb222/aiservices_opt_out_policy/p-i9j8k7l6m5",
              "Name": "Renamed policy",
              "Description": "My new description",
              "Type": "AISERVICES_OPT_OUT_POLICY",
              "AwsManaged": false
          },
          "Content": "{\"services\":{\"default\":{\"opt_out_policy\":   ....TRUNCATED FOR BREVITY...   :{\"@@assign\":\"optIn\"}}}}"
      }
  }

  以下示例更改附加到 AI 服务选择退出策略的 JSON 策略文档。在此示例中，内容取自一个名为 policy.json 的文件，使用以下文本：

  {
      "services": {
          "default": {
              "opt_out_policy": {
                  "@@assign": "optOut"
              }
          },
          "comprehend": {
              "opt_out_policy": {
                  "@@operators_allowed_for_child_policies": ["@@none"],
                  "@@assign": "optOut"
              }
          },
          "rekognition": {
              "opt_out_policy": {
                  "@@assign": "optIn"
              }
          }
      }
  }

  $ aws organizations update-policy \
      --policy-id p-i9j8k7l6m5 \
      --content file://policy.json
  {
      "Policy": {
          "PolicySummary": {
              "Id": "p-i9j8k7l6m5",
              "Arn": "arn:aws:organizations::123456789012:policy/o-aa111bb222/aiservices_opt_out_policy/p-i9j8k7l6m5",
              "Name": "Renamed policy",
              "Description": "My new description",
              "Type": "AISERVICES_OPT_OUT_POLICY",
              "AwsManaged": false
          },
           "Content": "{\n\"services\": {\n\"default\": {\n\"   ....TRUNCATED FOR BREVITY....    ": \"optIn\"\n}\n}\n}\n}\n"}
  }

• AWS 软件开发工具包：UpdatePolicy

编辑附加到 AI 服务选择退出策略的标签

当您登录到组织的管理账户时，您可以添加或删除附加到 AI 服务选择退出策略的标签。有关标记的更多信息，请参阅为 AWS Organizations 资源添加标签。

最小权限

要编辑附加到 AWS 组织中 AI 选择退出策略的标签，您必须拥有以下权限：

• organizations:DescribeOrganization – 仅当使用 Organizations 控制台时才需要

• organizations:DescribePolicy – 仅当使用 Organizations 控制台时才需要

• organizations:TagResource

• organizations:UntagResource

AWS Management Console

编辑附加到 AI 服务选择退出策略的标签

1. 登录 AWS Organizations 控制台。您必须以 IAM 用户的身份登录，担任 IAM 角色；或在组织的管理账户中以根用户的身份登录（不推荐）。

2. 在 AI services opt-out policies (AI 服务选择退出策略) 页面上，选择带有您想要编辑的标签的策略名称。

3. 在所选策略的详细信息页面上，选择 Tags (标签) 选项卡，然后选择 Manage tags (管理标签)。

4. 您可以在此页面上执行以下操作：

   • 编辑任何标签的值，方法是在旧标签上输入新值。您不能修改键。要更改键，您必须删除带有旧键的标签，然后添加使用新键的标签。

   • 删除任何现有的标签，方法是选择 Remove (删除)。

   • 添加新的标签键和值对。选择 Add tag (添加标签)，然后在提供的框中输入新的键名称和可选值。如果您将 Value (值) 框留空，则值是空字符串；它并非 null。

5. 在完成所有要进行的添加、删除和编辑操作之后，选择 Save changes (保存更改)。

AWS CLI & AWS SDKs

编辑附加到 AI 服务选择退出策略的标签

您可以使用以下命令之一编辑附加到 AI 服务选择退出策略的标签：

• AWS CLI：tag-resource 和 untag-resource

• AWS 软件开发工具包：TagResource和 UntagResource

删除 AI 服务选择退出策略

当登录到您组织的管理账户时，您可以删除您的组织中不再需要的策略。

必须先将某个策略从所有附加实体中分离，然后才能删除该策略。

最小权限

要删除策略，您必须具有运行以下操作的权限：

• organizations:DescribePolicy（仅限控制台 – 导航到策略）

• organizations:DeletePolicy

AWS Management Console

删除 AI 服务选择退出策略

1. 登录 AWS Organizations 控制台。您必须以 IAM 用户的身份登录，担任 IAM 角色；或在组织的管理账户中以根用户的身份登录（不推荐）。

2. 在 AI services opt-out policies (AI 服务选择退出策略) 页面上，选择要删除的策略的名称。

3. 要删除的策略必须先从所有根、OU 和账户分离。选择 Targets (目标) 选项卡，选择显示在 Targets (目标) 列表中的每个根、OU 或账户旁边的单选按钮，然后选择 Detach (分离)。在确认对话框中，选择 Detach (分离)。重复操作，直到删除所有目标。

4. 在页面的顶部，选择 Delete (删除)。

5. 在确认对话框上，输入策略的名称，然后选择 Delete (删除)。

AWS CLI 和 AWS SDK

删除 AI 服务选择退出政策

以下代码示例演示如何使用 DeletePolicy。

.NET

AWS SDK for .NET

注意

还有更多相关信息 GitHub。在 AWS 代码示例存储库中查找完整示例，了解如何进行设置和运行。

    using System;
    using System.Threading.Tasks;
    using Amazon.Organizations;
    using Amazon.Organizations.Model;

    /// <summary>
    /// Deletes an existing AWS Organizations policy.
    /// </summary>
    public class DeletePolicy
    {
        /// <summary>
        /// Initializes the Organizations client object and then uses it to
        /// delete the policy with the specified policyId.
        /// </summary>
        public static async Task Main()
        {
            // Create the client object using the default account.
            IAmazonOrganizations client = new AmazonOrganizationsClient();

            var policyId = "p-00000000";

            var request = new DeletePolicyRequest
            {
                PolicyId = policyId,
            };

            var response = await client.DeletePolicyAsync(request);

            if (response.HttpStatusCode == System.Net.HttpStatusCode.OK)
            {
                Console.WriteLine($"Successfully deleted Policy: {policyId}.");
            }
            else
            {
                Console.WriteLine($"Could not delete Policy: {policyId}.");
            }
        }
    }

• 有关 API 的详细信息，请参阅 AWS SDK for .NET API 参考DeletePolicy中的。

CLI

AWS CLI

删除策略

以下示例演示如何删除组织的策略。该示例假设您之前已将策略与所有实体分离：

aws organizations delete-policy --policy-id p-examplepolicyid111

• 有关 API 的详细信息，请参阅AWS CLI 命令参考DeletePolicy中的。

Python

SDK for Python (Boto3)

注意

还有更多相关信息 GitHub。在 AWS 代码示例存储库中查找完整示例，了解如何进行设置和运行。

def delete_policy(policy_id, orgs_client):
    """
    Deletes a policy.

    :param policy_id: The ID of the policy to delete.
    :param orgs_client: The Boto3 Organizations client.
    """
    try:
        orgs_client.delete_policy(PolicyId=policy_id)
        logger.info("Deleted policy %s.", policy_id)
    except ClientError:
        logger.exception("Couldn't delete policy %s.", policy_id)
        raise

• 有关 API 的详细信息，请参阅适用DeletePolicy于 Python 的AWS SDK (Boto3) API 参考。