附加和分离服务控制策略 - AWS Organizations

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

附加和分离服务控制策略

登录到组织的管理账户时,您可以附加以前创建的服务控制策略(SCP)。您可以将 SCP 附加到组织根、组织部门(OU)或直接附加到账户。要创建 SCP,请完成以下步骤。

最小权限

要将 SCP 附加到根、OU 或账户,您需要运行以下操作的权限:

  • organizations:AttachPolicy,且同一条策略语句中有一个 Resource 元素包含“*”、指定策略的 Amazon Resource Name(ARN)或是您要附加该策略的根、OU 或账户的 ARN。

AWS Management Console

您可以导航到要附加策略的根、OU 或账户,为其附加 SCP。

通过导航到根、OU 或账户来附加 SCP
  1. 登录 AWS Organizations 控制台。您必须以 IAM 用户的身份登录,担任 IAM 角色;或在组织的管理账户中以根用户的身份登录(不推荐)。

  2. AWS 账户页面上,导航到要将 SCP 附加到的根、OU 或账户,并选择其旁边的复选框。您可能需要展开 OU(选择 )以查找所需的 OU 或账户。

  3. Policies (策略) 选项卡上的 Service control policies (服务控制策略) 条目中,选择 Attach (附加)

  4. 找到所需的策略,然后选择 Attach policy (附加策略)

    Policies (策略) 选项卡上的附加的 SCP 列表会更新,以包含新添加的内容。策略更改会立即影响所附加的根或 OU 下方的所附加账户或所有账户中 IAM 用户和角色的权限。

通过导航到策略来附加 SCP
  1. 登录 AWS Organizations 控制台。您必须以 IAM 用户的身份登录,担任 IAM 角色;或在组织的管理账户中以根用户的身份登录(不推荐)。

  2. Service control policies (服务控制策略) 页面上,选择要附加的策略的名称。

  3. Targets (目标) 选项卡上,选择 Attach (附加)

  4. 选择要附加策略的根、OU 或账户旁边的单选按钮。您可能需要展开 OU(选择 )以查找所需的 OU 或账户。

  5. 选择附加策略

    Targets (目标) 选项卡上的附加的 SCP 列表会更新,以包含新添加的内容。策略更改会立即影响所附加的根或 OU 下方的所附加账户或所有账户中 IAM 用户和角色的权限。

AWS CLI & AWS SDKs
通过导航到根、OU 或账户来附加 SCP

您可以使用以下命令之一附加 SCP:

  • AWS CLI:attach-policy

    以下示例将 SCP 附加到 OU。

    $ aws organizations attach-policy \ --policy-id p-i9j8k7l6m5 \ --target-id ou-a1b2-f6g7h222

    如果成功,此命令不会产生任何输出。

  • AWS 软件开发工具包:AttachPolicy

策略更改会立即影响所附加的根或 OU 下方的所附加账户或所有账户中 IAM 用户和角色的权限。

从组织根、OU 或账户分离 SCP

当您登录到组织的管理账户时,您可以从 SCP 所附加到的组织根、OU 或账户分离 SCP。将 SCP 与实体分离后,该 SCP 将不再适用于受现已分离的实体影响的任何 IAM 用户和 IAM 角色。要分离 SCP,请完成以下步骤。

注意

您无法从根、OU 或账户分离最后一个 SCP。每个根、OU 和账户必须始终附加有至少一个 SCP。

最小权限

要从根、OU 或账户分离 SCP,您需要运行以下操作的权限:

  • organizations:DetachPolicy

AWS Management Console

您可以导航到要从中分离策略的根、OU 或账户,为其分离 SCP。

通过导航到已附加策略的根、OU 或账户来分离 SCP
  1. 登录 AWS Organizations 控制台。您必须以 IAM 用户的身份登录,担任 IAM 角色;或在组织的管理账户中以根用户的身份登录(不推荐)。

  2. AWS 账户页面导航到要分离策略的根、OU 或账户。您可能需要展开 OU(选择 )以查找所需的 OU 或账户。选择根、OU 或账户的名称。

  3. Policies (策略) 选项卡上,选择要分离的 SCP 旁边的单选按钮,然后选择 Detach (分离)

  4. 在确认对话框中,选择 Detach policy (分离策略)

    附加 SCP 的列表更新。分离 SCP 引起的策略更改立即生效。例如,分离 SCP 会立即影响以前附加的账户或以前附加的组织根或 OU 下的账户中 IAM 用户和角色的权限。

通过导航到策略来分离 SCP
  1. 登录 AWS Organizations 控制台。您必须以 IAM 用户的身份登录,担任 IAM 角色;或在组织的管理账户中以根用户的身份登录(不推荐)。

  2. Service control policies (服务控制策略) 页面上,选择要从根、OU 或账户分离的策略的名称。

  3. Targets (目标) 选项卡上,选择要分离策略的根、OU 或账户旁边的单选按钮。您可能需要展开 OU(选择 )以查找所需的 OU 或账户。

  4. 选择分离

  5. 在确认对话框中,选择 Detach (分离)

    附加 SCP 的列表更新。分离 SCP 引起的策略更改立即生效。例如,分离 SCP 会立即影响以前附加的账户或以前附加的组织根或 OU 下的账户中 IAM 用户和角色的权限。

AWS CLI & AWS SDKs
从根、OU 或账户分离 SCP

您可以使用以下命令之一分离 SCP:

  • AWS CLI:detach-policy

    以下示例将指定的 SCP 与指定的 OU 分离。

    $ aws organizations detach-policy \ --policy-id p-i9j8k7l6m5 \ --target-id ou-a1b2-f6g7h222
  • AWS 软件开发工具包:DetachPolicy

策略更改会立即影响所附加的根或 OU 下方的所附加账户或所有账户中 IAM 用户和角色的权限