本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
連接和分離服務控制政策
登入組織的管理帳戶時,您可以連接先前建立的服務控制政策 (SCP)。您可以將 SCP 連接至組織根、組織單位 (OU),或直接連接至帳戶。若要建立 SCP,請完成下列步驟。
最低許可
若要將 SCP 連接至根、OU 或帳戶,您需要具有執行下列動作的許可:
-
organizations:AttachPolicy
,並在包含 "*" 或指定政策的 Amazon Resource Name(ARN)和您要連接政策的根、OU 或帳戶的 ARN 的相同政策陳述式中具有Resource
元素
- AWS Management Console
-
您可以導覽至政策或連接政策的根、OU 或帳戶,以連接 SCP 政策。
導覽至根、OU 或帳戶以連接 SCP 政策
-
登入 AWS Organizations 主控台
。您必須以 IAM 使用者登入、擔任 IAM 角色,或是以組織管理帳戶中的根使用者 (不建議) 身分登入。 -
在 AWS 帳戶
頁面上,導覽至您要連接 SCP 的根、OU 或帳戶旁邊的核取方塊,然後選擇。您可能需要展開 OU (選擇 ),以尋找您所需的 OU 和帳戶。 -
在 Policies (政策) 索引標籤的 Service control policies (服務控制政策) 項目中,選擇 Attach (連接)。
-
尋找您所需的政策,然後選擇 Attach policy (連接政策)。
Policies (政策) 索引標籤上的連接的 SCP 清單會更新,以包含新的新增項目。政策變更會立即影響連接的帳戶中 IAM 使用者和角色或連接的根或 OU 下所有帳戶的許可。
導覽至政策以連接 SCP
-
登入 AWS Organizations 主控台
。您必須以 IAM 使用者登入、擔任 IAM 角色,或是以組織管理帳戶中的根使用者 (不建議) 身分登入。 -
在 Service control policies
(服務控制政策) 頁面上,選擇您要連接的政策名稱。 -
在 Targets (目標) 索引標籤上,選擇 Attach (連接)。
-
選擇您要連接政策的根、OU 或帳戶旁的選項按鈕。您可能需要展開 OU (選擇 ),以尋找您所需的 OU 和帳戶。
-
選擇連接政策。
Targets (目標) 索引標籤上的連接的 SCP 清單會更新,以包含新的新增項目。政策變更會立即影響連接的帳戶中 IAM 使用者和角色或連接的根或 OU 下所有帳戶的許可。
-
- AWS CLI & AWS SDKs
-
導覽至根、OU 或帳戶以連接 SCP 政策
您可以使用下列其中一項命令來連接 SCP:
-
AWS CLI: attach-policy
下列範例會將 SCP 連接至 OU。
$
aws organizations attach-policy \ --policy-id p-i9j8k7l6m5 \ --target-id ou-a1b2-f6g7h222此命令成功後就不會產生輸出。
-
AWS 軟體開發套件:AttachPolicy
政策變更會立即影響連接的帳戶中 IAM 使用者和角色或連接的根或 OU 下所有帳戶的許可。
-
從組織根、OU 或帳戶中分離 SCP
登入組織的管理帳戶後,您可以將 SCP 從原本連接的組織根、OU 或帳戶中分離。從實體中離開 SCP 後,該 SCP 不再適用於受現在已分離實體影響的任何 IAM 使用者和 IAM 角色。若要分離 SCP,請完成下列步驟。
注意
您無法從根、OU 或帳戶分離最後一個 SCP。必須始終有至少一個 SCP 連接至每一個根、OU 和帳戶。
最低許可
若要從根、OU 或帳戶中分離 SCP,您需要具有執行下列動作的許可:
-
organizations:DetachPolicy
- AWS Management Console
-
您可以導覽至政策或您要分離政策的根、OU 或帳戶,以分離 SCP 政策。
導覽至連接的目標根、OU 或帳戶以分離 SCP
-
登入 AWS Organizations 主控台
。您必須以 IAM 使用者登入、擔任 IAM 角色,或是以組織管理帳戶中的根使用者 (不建議) 身分登入。 -
在 AWS 帳戶
頁面導覽至您要從中分離政策的根、OU 或帳戶。您可能需要展開 OU (選擇 ),以尋找您所需的 OU 和帳戶。選擇根、OU 或帳戶的名稱。 -
在 Policies (政策) 索引標籤上,選擇您要分離的 SCP 旁邊的選項按鈕,然後選擇 Detach (分離)。
-
在確認對話方塊中,選擇 Detach policy (分離政策)。
連接的 SCP 清單隨即更新。分離 SCP 導致的 SCP 變更會立即生效。例如,對於先前連接的帳戶,或先前連接的根或 OU 下的帳戶,分離 SCP 會立即影響其中 IAM 使用者和角色的許可。
導覽至政策以分離 SCP
-
登入 AWS Organizations 主控台
。您必須以 IAM 使用者登入、擔任 IAM 角色,或是以組織管理帳戶中的根使用者 (不建議) 身分登入。 -
在 Service control policies
(服務控制政策) 頁面上,選擇您要從根、OU 或帳戶分離的政策名稱。 -
在 Targets (目標) 索引標籤上,選擇您要分離政策的根、OU 或帳戶旁的選項按鈕。您可能需要展開 OU (選擇 ),以尋找您所需的 OU 和帳戶。
-
請選擇分離。
-
在確認對話方塊中,選擇 Detach (分離)。
連接的 SCP 清單隨即更新。分離 SCP 導致的 SCP 變更會立即生效。例如,對於先前連接的帳戶,或先前連接的根或 OU 下的帳戶,分離 SCP 會立即影響其中 IAM 使用者和角色的許可。
-
- AWS CLI & AWS SDKs
-
將 SCP 從根、OU 或帳戶分離
您可以使用下列其中一項命令來分離 SCP:
-
AWS CLI: detach-policy
下列範例會將指定的 SCP 與指定的 OU 分離。
$
aws organizations detach-policy \ --policy-id p-i9j8k7l6m5 \ --target-id ou-a1b2-f6g7h222 -
AWS 軟體開發套件:DetachPolicy
政策變更會立即影響連接的帳戶中 IAM 使用者和角色或連接的根或 OU 下所有帳戶的許可
-