連接和分離服務控制政策 - AWS Organizations
從組織根、OU 或帳戶中分離 SCP

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

連接和分離服務控制政策

登入組織的管理帳戶時,您可以連接先前建立的服務控制政策 (SCP)。您可以將 SCP 連接至組織根、組織單位 (OU),或直接連接至帳戶。若要建立 SCP,請完成下列步驟。

最低許可

若要將 SCP 連接至根、OU 或帳戶,您需要具有執行下列動作的許可:

  • organizations:AttachPolicy,並在包含 "*" 或指定政策的 Amazon Resource Name(ARN)和您要連接政策的根、OU 或帳戶的 ARN 的相同政策陳述式中具有 Resource 元素

AWS Management Console

您可以導覽至政策或連接政策的根、OU 或帳戶,以連接 SCP 政策。

導覽至根、OU 或帳戶以連接 SCP 政策

  1. 登入 AWS Organizations 主控台。您必須以 IAM 使用者登入、擔任 IAM 角色,或是以組織管理帳戶中的根使用者 (不建議) 身分登入。

  2. AWS 帳戶 頁面上,導覽至您要連接 SCP 的根、OU 或帳戶旁邊的核取方塊,然後選擇。您可能需要展開 OU (選擇 ),以尋找您所需的 OU 和帳戶。

  3. Policies (政策) 索引標籤的 Service control policies (服務控制政策) 項目中,選擇 Attach (連接)。

  4. 尋找您所需的政策,然後選擇 Attach policy (連接政策)。

    Policies (政策) 索引標籤上的連接的 SCP 清單會更新,以包含新的新增項目。政策變更會立即影響連接的帳戶中 IAM 使用者和角色或連接的根或 OU 下所有帳戶的許可。

導覽至政策以連接 SCP

  1. 登入 AWS Organizations 主控台。您必須以 IAM 使用者登入、擔任 IAM 角色,或是以組織管理帳戶中的根使用者 (不建議) 身分登入。

  2. Service control policies (服務控制政策) 頁面上,選擇您要連接的政策名稱。

  3. Targets (目標) 索引標籤上,選擇 Attach (連接)。

  4. 選擇您要連接政策的根、OU 或帳戶旁的選項按鈕。您可能需要展開 OU (選擇 ),以尋找您所需的 OU 和帳戶。

  5. 選擇連接政策

    Targets (目標) 索引標籤上的連接的 SCP 清單會更新,以包含新的新增項目。政策變更會立即影響連接的帳戶中 IAM 使用者和角色或連接的根或 OU 下所有帳戶的許可。

AWS CLI & AWS SDKs
導覽至根、OU 或帳戶以連接 SCP 政策

您可以使用下列其中一項命令來連接 SCP:

  • AWS CLI: attach-policy

    下列範例會將 SCP 連接至 OU。

    $ aws organizations attach-policy \
    --policy-id p-i9j8k7l6m5 \
    --target-id ou-a1b2-f6g7h222

    此命令成功後就不會產生輸出。

  • AWS 軟體開發套件:AttachPolicy

政策變更會立即影響連接的帳戶中 IAM 使用者和角色或連接的根或 OU 下所有帳戶的許可。

從組織根、OU 或帳戶中分離 SCP

登入組織的管理帳戶後,您可以將 SCP 從原本連接的組織根、OU 或帳戶中分離。從實體中離開 SCP 後,該 SCP 不再適用於受現在已分離實體影響的任何 IAM 使用者和 IAM 角色。若要分離 SCP,請完成下列步驟。

注意

您無法從根、OU 或帳戶分離最後一個 SCP。必須始終有至少一個 SCP 連接至每一個根、OU 和帳戶。

最低許可

若要從根、OU 或帳戶中分離 SCP,您需要具有執行下列動作的許可:

  • organizations:DetachPolicy

AWS Management Console

您可以導覽至政策或您要分離政策的根、OU 或帳戶,以分離 SCP 政策。

導覽至連接的目標根、OU 或帳戶以分離 SCP

  1. 登入 AWS Organizations 主控台。您必須以 IAM 使用者登入、擔任 IAM 角色,或是以組織管理帳戶中的根使用者 (不建議) 身分登入。

  2. AWS 帳戶 頁面導覽至您要從中分離政策的根、OU 或帳戶。您可能需要展開 OU (選擇 ),以尋找您所需的 OU 和帳戶。選擇根、OU 或帳戶的名稱。

  3. Policies (政策) 索引標籤上,選擇您要分離的 SCP 旁邊的選項按鈕,然後選擇 Detach (分離)。

  4. 在確認對話方塊中,選擇 Detach policy (分離政策)。

    連接的 SCP 清單隨即更新。分離 SCP 導致的 SCP 變更會立即生效。例如,對於先前連接的帳戶,或先前連接的根或 OU 下的帳戶,分離 SCP 會立即影響其中 IAM 使用者和角色的許可。

導覽至政策以分離 SCP

  1. 登入 AWS Organizations 主控台。您必須以 IAM 使用者登入、擔任 IAM 角色,或是以組織管理帳戶中的根使用者 (不建議) 身分登入。

  2. Service control policies (服務控制政策) 頁面上,選擇您要從根、OU 或帳戶分離的政策名稱。

  3. Targets (目標) 索引標籤上,選擇您要分離政策的根、OU 或帳戶旁的選項按鈕。您可能需要展開 OU (選擇 ),以尋找您所需的 OU 和帳戶。

  4. 請選擇分離

  5. 在確認對話方塊中,選擇 Detach (分離)。

    連接的 SCP 清單隨即更新。分離 SCP 導致的 SCP 變更會立即生效。例如,對於先前連接的帳戶,或先前連接的根或 OU 下的帳戶,分離 SCP 會立即影響其中 IAM 使用者和角色的許可。

AWS CLI & AWS SDKs
將 SCP 從根、OU 或帳戶分離

您可以使用下列其中一項命令來分離 SCP:

  • AWS CLI: detach-policy

    下列範例會將指定的 SCP 與指定的 OU 分離。

    $ aws organizations detach-policy \
    --policy-id p-i9j8k7l6m5 \
    --target-id ou-a1b2-f6g7h222

  • AWS 軟體開發套件:DetachPolicy

政策變更會立即影響連接的帳戶中 IAM 使用者和角色或連接的根或 OU 下所有帳戶的許可