使用 建立組織政策 AWS Organizations

為組織啟用政策後，您可以建立政策。

本主題說明如何使用 建立政策 AWS Organizations。政策會定義您要套用至 群組的控制項 AWS 帳戶。

建立服務控制政策 (SCP)

最低許可

若要建立 SCP，您需要具有執行下列動作的許可：

• organizations:CreatePolicy

AWS Management Console

建立服務控制政策

1. 登入 AWS Organizations 主控台。您必須以 IAM 使用者登入、擔任 IAM 角色，或是以組織管理帳戶中的根使用者 (不建議) 身分登入。

2. 在 Service control policies (服務控制政策) 頁面上，選擇 Create policy (建立政策)。

3. 在 Create policy (建立政策) 頁面上，輸入政策的 Policy name (政策名稱) 與選用的 Policy description (政策描述)。

4. (選用) 選擇 Add tag (新增標籤)，然後輸入一個鍵和一個選用值，來新增一個或多個標籤。將值留空會將其設定為空白字串；而不是 null。您可以在政策中連接最多 50 個標籤。如需詳細資訊，請參閱標記 AWS Organizations 資源。

   注意

   在接下來的大部分步驟中，我們會討論使用 JSON 編輯器右側的控制項，逐元素建構政策。或者，您可以隨時在視窗左側的 JSON 編輯器中輸入文字。您可以直接輸入，或者可以使用複製和貼上。

5. 若要建置政策，您的下一個步驟會因您是否希望新增陳述式，拒絕或允許存取而有所不同。如需詳細資訊，請參閱SCP 評估。您可以使用 Deny 陳述式，您可以擁有額外的控制，因為您可以限制存取特定資源、定義 SCP 生效的條件，以及使用 NotAction 元素。如需語法的詳細資訊，請參閱SCP 語法。

   新增「拒絕」存取的陳述式：

   1. 在編輯器的右側編輯陳述式窗格中，在新增動作下，選擇 AWS 服務。

      在您選擇右側的選項時，JSON 編輯器會隨即更新，在左側顯示相應的 JSON 政策。

   2. 選取服務之後，包含該服務可用動作的清單即會開啟。您可以選擇 All actions (所有動作)，或選擇您要拒絕的一個或多個個別動作。

      左側的 JSON 會隨即更新，以包含您選取的動作。

      注意

      如果您選取個別動作，然後返回上一步並選取 All actions (所有動作)，servicename:* 的預期項目會新增至 JSON，但您之前選取的個別動作會留在 JSON 中，而不會移除。

   3. 如果您想要從其他服務新增動作，可以選擇 Statement (陳述式) 方塊頂部的 All Services (所有服務)，然後視需要重複之前的兩個步驟。

   4. 指定要包含在陳述式中的資源。

      • 在 Add a resource (新增資源) 旁邊，選擇 Add (新增)。

      • 在 Add resource (新增資源) 對話方塊，從清單中選擇您要控制其資源的服務。您只能從在上一步選擇的服務中進行選擇。

      • 在 Resource Type (資源類型)下，選擇您要控制的資源類型。

      • 最後，完成 Resource ARN (資源 ARN) 中的 Amazon 資源名稱 (ARN)，以識別您要控制存取的特定資源。您必須取代由大括號 {} 包圍的所有預留位置。您可以指定資源類型的 ARN 語法允許的萬用字元 (*）。如需有關可以在何處使用萬用字元的資訊，請參閱文件以取得特定資源類型。

      • 選擇 Add resource (新增資源)，以儲存您對政策的新增。JSON 中的 Resource 元素會反映您的新增或變更。資源元素為必要項目。

      提示

      如果您想要為所選取的服務指定所有資源，請選擇 All resources (所有資源) 選項，或 JSON 中直接編輯 Resource 語句來讀取 "Resource":"*"。

   5. (選用) 若要指定在政策陳述式生效時限制的條件，請在 Add a resource (新增資源) 旁邊，選擇 Add (新增)。

      • 條件索引鍵 – 您可以從清單中選擇所有 AWS 服務可用的任何條件索引鍵 （例如 aws:SourceIp)，或僅針對您為此陳述式選取的其中一個服務選擇服務特定的索引鍵。

      • 限定詞 – （選用） 當請求具有多個多值內容索引鍵的值時，您可以指定限定詞，以根據值測試請求。如需詳細資訊，請參閱《IAM 使用者指南》中的單一值與多值內容索引鍵。若要檢查請求是否可以有多個值，請參閱服務授權參考中的 的動作、資源和條件索引鍵 AWS 服務。

        • 預設值 – 針對政策中的條件索引鍵值，測試請求中的單一值。如果請求中的值符合政策中的值，則條件會傳回 true。如果政策指定多個值，則會將其視為「或」測試，如果請求值符合任何政策值，則條件會傳回 true。

        • 對於請求中的任意值 – 當請求可以有多個值時，此選項會測試是否至少一個請求值符合政策中至少其中一個條件索引鍵值。如果請求中任一鍵值符合政策中的任一條件值，則條件會傳回 true。如果沒有相符金鑰或為 null 資料集，則條件會傳回 false。

        • 對於請求中的所有值 – 當請求可以有多個值時，此選項會測試是否每一個請求值均符合政策中的條件索引鍵值。如果請求中每個鍵值至少符合政策中的一個值，則條件會傳回 true。如果請求中沒有鍵，或鍵值解析為 null 資料集 (例如空白字串)，則也會傳回 true。

      • 運算子 – 運算子指定要進行的比較類型。顯示的選項取決於條件索引鍵的資料類型。例如，aws:CurrentTime 全域條件索引鍵可讓您從任何日期比較運算子中選擇，或 Null，您可以用於測試該值是否存在於請求中。

        針對除 Null 測試之外的任何條件運算子，您可以選擇 IfExists 選項。

      • 數值 – (選用) 指定您要測試請求的一個或多個值。

      選擇新增條件。

      如需有關條件索引鍵的詳細資訊，請參閱 IAM 使用者指南中的 IAM JSON 政策元素：條件。

6. 新增「允許」存取的陳述式：

   1. 在左側的 JSON 編輯器中，將行 "Effect": "Deny" 變更為 "Effect": "Allow"。

      在您選擇右側的選項時，JSON 編輯器會隨即更新，在左側顯示相應的 JSON 政策。

   2. 選取服務之後，包含該服務可用動作的清單即會開啟。您可以選擇 All actions (所有動作)，或選擇您要允許的一個或多個個別動作。

      左側的 JSON 會隨即更新，以包含您選取的動作。

      注意

      如果您選取個別動作，然後返回上一步並選取 All actions (所有動作)，servicename:* 的預期項目會新增至 JSON，但您之前選取的個別動作會留在 JSON 中，而不會移除。

   3. 如果您想要從其他服務新增動作，可以選擇 Statement (陳述式) 方塊頂部的 All Services (所有服務)，然後視需要重複之前的兩個步驟。

7. (選用) 若要將另一個陳述式新增到政策，請選擇 Add statement (新增陳述式) 並使用視覺編輯器來建置下一個陳述式。

8. 當您完成新增陳述式後，請選擇 Create policy (建立政策) 來儲存完成的 SCP。

您的新 SCP 會出現在組織的政策清單中。您現在可以將 SCP 連接至根、OU 或帳戶。

AWS CLI & AWS SDKs

建立服務控制政策

您可以使用下列其中一項命令來建立 SCP：

• AWS CLI: create-policy

  以下範例假設您已有名稱為 Deny-IAM.json 的檔案，且包含 JSON 政策文字。它會使用該檔案來建立新的服務控制政策。

  $ aws organizations create-policy \
      --content file://Deny-IAM.json \
      --description "Deny all IAM actions" \
      --name DenyIAMSCP \
      --type SERVICE_CONTROL_POLICY
  {
      "Policy": {
          "PolicySummary": {
              "Id": "p-i9j8k7l6m5",
              "Arn": "arn:aws:organizations::123456789012:policy/o-aa111bb222/service_control_policy/p-i9j8k7l6m5",
              "Name": "DenyIAMSCP",
              "Description": "Deny all IAM actions",
              "Type": "SERVICE_CONTROL_POLICY",
              "AwsManaged": false
          },
           "Content": "{\"Version\":\"2012-10-17\",\"Statement\":[{\"Sid\":\"Statement1\",\"Effect\":\"Deny\",\"Action\":[\"iam:*\"],\"Resource\":[\"*\"]}]}"
      }
  }

• AWS SDKs：CreatePolicy

注意

遇到管理帳戶與少數其他幾種情況時，SCP 沒有任何作用。如需詳細資訊，請參閱不受 限制的任務和實體 SCPs。

建立資源控制政策 (RCP)

最低許可

若要建立 RCPs，您需要執行下列動作的許可：

• organizations:CreatePolicy

AWS Management Console

建立資源控制政策

1. 登入 AWS Organizations 主控台。您必須以 IAM 使用者登入、擔任 IAM 角色，或是以組織管理帳戶中的根使用者 (不建議) 身分登入。

2. 在資源控制政策頁面上，選擇建立政策。

3. 在建立新的資源控制政策頁面上，輸入政策名稱和選用的政策描述。

4. (選用) 選擇 Add tag (新增標籤)，然後輸入一個鍵和一個選用值，來新增一個或多個標籤。將值留空會將其設定為空白字串；而不是 null。您可以在政策中連接最多 50 個標籤。如需詳細資訊，請參閱標記 AWS Organizations 資源。

   注意

   在接下來的大部分步驟中，我們會討論使用 JSON 編輯器右側的控制項，逐元素建構政策。或者，您可以隨時在視窗左側的 JSON 編輯器中輸入文字。您可以直接輸入，或者可以使用複製和貼上。

5. 若要新增陳述式：

   1. 在編輯器的右側編輯陳述式窗格中，在新增動作下，選擇 AWS 服務。

      在您選擇右側的選項時，JSON 編輯器會隨即更新，在左側顯示相應的 JSON 政策。

   2. 選取服務之後，包含該服務可用動作的清單即會開啟。您可以選擇 All actions (所有動作)，或選擇您要拒絕的一個或多個個別動作。

      左側的 JSON 會隨即更新，以包含您選取的動作。

      注意

      如果您選取個別動作，然後返回上一步並選取 All actions (所有動作)，servicename:* 的預期項目會新增至 JSON，但您之前選取的個別動作會留在 JSON 中，而不會移除。

   3. 如果您想要從其他服務新增動作，可以選擇 Statement (陳述式) 方塊頂部的 All Services (所有服務)，然後視需要重複之前的兩個步驟。

   4. 指定要包含在陳述式中的資源。

      • 在 Add a resource (新增資源) 旁邊，選擇 Add (新增)。

      • 在 Add resource (新增資源) 對話方塊，從清單中選擇您要控制其資源的服務。您只能從在上一步選擇的服務中進行選擇。

      • 在 Resource Type (資源類型)下，選擇您要控制的資源類型。

      • 完成資源 ARN 中的 Amazon Resource Name (ARN)，以識別您要控制存取的特定資源。您必須取代由大括號 {} 包圍的所有預留位置。您可以指定資源類型的 ARN 語法允許的萬用字元 (*）。如需您可在何處使用萬用字元的相關資訊，請參閱特定資源類型的文件。

      • 選擇 Add resource (新增資源)，以儲存您對政策的新增。JSON 中的 Resource 元素會反映您的新增或變更。資源元素為必要項目。

      提示

      如果您想要為所選取的服務指定所有資源，請選擇 All resources (所有資源) 選項，或 JSON 中直接編輯 Resource 語句來讀取 "Resource":"*"。

   5. (選用) 若要指定在政策陳述式生效時限制的條件，請在 Add a resource (新增資源) 旁邊，選擇 Add (新增)。

      • 條件索引鍵 – 您可以從清單中選擇所有 AWS 服務可用的任何條件索引鍵 （例如 aws:SourceIp)，或只針對您為此陳述式選取的其中一個服務選擇服務特定的索引鍵。

      • 限定詞 – （選用） 當請求具有多值內容索引鍵的多個值時，您可以指定限定詞，以根據值測試請求。如需詳細資訊，請參閱《IAM 使用者指南》中的單一值與多值內容索引鍵。若要檢查請求是否可以有多個值，請參閱服務授權參考中的 的動作、資源和條件索引鍵 AWS 服務。

        • 預設值 – 針對政策中的條件索引鍵值，測試請求中的單一值。如果請求中的值符合政策中的值，則條件會傳回 true。如果政策指定多個值，則會將其視為「或」測試，如果請求值符合任何政策值，則條件會傳回 true。

        • 對於請求中的任意值 – 當請求可以有多個值時，此選項會測試是否至少一個請求值符合政策中至少其中一個條件索引鍵值。如果請求中任一鍵值符合政策中的任一條件值，則條件會傳回 true。如果沒有相符金鑰或為 null 資料集，則條件會傳回 false。

        • 對於請求中的所有值 – 當請求可以有多個值時，此選項會測試是否每一個請求值均符合政策中的條件索引鍵值。如果請求中每個鍵值至少符合政策中的一個值，則條件會傳回 true。如果請求中沒有鍵，或鍵值解析為 null 資料集 (例如空白字串)，則也會傳回 true。

      • 運算子 – 運算子指定要進行的比較類型。顯示的選項取決於條件索引鍵的資料類型。例如，aws:CurrentTime 全域條件索引鍵可讓您從任何日期比較運算子中選擇，或 Null，您可以用於測試該值是否存在於請求中。

        針對除 Null 測試之外的任何條件運算子，您可以選擇 IfExists 選項。

      • 數值 – (選用) 指定您要測試請求的一個或多個值。

      選擇新增條件。

      如需有關條件索引鍵的詳細資訊，請參閱 IAM 使用者指南中的 IAM JSON 政策元素：條件。

   6. (選用) 若要使用 NotAction 元素拒絕存取除指定動作之外的所有動作，請在左側窗格中，將 "Effect": "Deny", 元素之後的 Action 替換為 NotAction。如需詳細資訊，請參閱 IAM 使用者指南中的 IAM JSON 政策元素：NotAction。

6. (選用) 若要將另一個陳述式新增到政策，請選擇 Add statement (新增陳述式) 並使用視覺編輯器來建置下一個陳述式。

7. 新增陳述式完成後，請選擇建立政策以儲存完成的 RCP。

您的新 RCP 會出現在組織的政策清單中。您現在可以將 RCP 連接至根帳戶、OUs 帳戶或帳戶。

AWS CLI & AWS SDKs

建立資源控制政策

您可以使用下列其中一個命令來建立 RCP：

• AWS CLI: create-policy

  以下範例假設您已有名稱為 Deny-IAM.json 的檔案，且包含 JSON 政策文字。它使用該檔案來建立新的資源控制政策。

  $ aws organizations create-policy \
      --content file://Deny-IAM.json \
      --description "Deny all IAM actions" \
      --name DenyIAMRCP \
      --type RESOURCE_CONTROL_POLICY
  {
      "Policy": {
          "PolicySummary": {
              "Id": "p-i9j8k7l6m5",
              "Arn": "arn:aws:organizations::123456789012:policy/o-aa111bb222/resource_control_policy/p-i9j8k7l6m5",
              "Name": "DenyIAMRCP",
              "Description": "Deny all IAM actions",
              "Type": "RESOURCE_CONTROL_POLICY",
              "AwsManaged": false
          },
           "Content": "{\"Version\":\"2012-10-17\",\"Statement\":[{\"Sid\":\"Statement1\",\"Effect\":\"Deny\",\"Action\":[\"iam:*\"],\"Resource\":[\"*\"]}]}"
      }
  }

• AWS SDKs：CreatePolicy

注意

RCPs 不會對管理帳戶和少數其他情況生效。如需詳細資訊，請參閱不受 限制的資源和實體 RCPs。

建立宣告政策

最低許可

若要建立宣告政策，您需要執行下列動作的許可：

• organizations:CreatePolicy

AWS Management Console

建立宣告政策

1. 登入 AWS Organizations 主控台。您必須以 IAM 使用者登入、擔任 IAM 角色，或是以組織管理帳戶中的根使用者 (不建議) 身分登入。

2. 在宣告政策頁面上，選擇建立政策。

3. 在為 EC2 建立新的宣告政策頁面上，輸入政策名稱和選用的政策描述。

4. (選用) 您可以透過選擇 Add tag (新增標籤)，然後輸入一個鍵和一個選用值，來將一個或多個標籤新增至政策。將值留空會將其設定為空白字串；而不是 null。您可以在政策中連接最多 50 個標籤。如需詳細資訊，請參閱標記 AWS Organizations 資源。

5. 您可以使用 Visual editor (視覺化編輯器) 建置政策，如本程序所述。您也可以在 JSON 索引標籤中輸入或貼上政策文字。如需宣告政策語法的相關資訊，請參閱 宣告性政策語法和範例。

   如果您選擇使用視覺化編輯器，請選取您要包含在宣告政策中的服務屬性。如需詳細資訊，請參閱支援的 AWS 服務 和 屬性。

6. 選擇新增服務屬性，並將 屬性設定為您的規格。如需每個效果的詳細資訊，請參閱 宣告性政策語法和範例。

7. 當政策編輯完成時，請在頁面的右下角選擇 Create policy (建立政策)。

AWS CLI & AWS SDKs

建立宣告政策

您可以使用下列其中一項來建立宣告政策：

• AWS CLI: create-policy

  1. 建立如下所示的宣告政策，並將其存放在文字檔案中。

     {
         "ec2_attributes": {
             "image_block_public_access": {
                 "state": {
                     "@@assign": "block_new_sharing"
                 }
             }
         }
     }

     此宣告性政策會指定必須設定受政策影響的所有帳戶，才能讓新的 Amazon Machine Image (AMIs) 無法公開共享。如需宣告性政策語法的相關資訊，請參閱 宣告性政策語法和範例。

  2. 匯入 JSON 政策檔案，以在組織中建立新的政策。在此範例中，之前的 JSON 檔案名稱為 policy.json。

     $ aws organizations create-policy \
         --type DECLARATIVE_POLICY_EC2 \
         --name "MyTestPolicy" \
         --description "My test policy" \
         --content file://policy.json
     {
         "Policy": {
             "Content": "{"ec2_attributes":{"image_block_public_access":{"state":{"@@assign":"block_new_sharing"}}}}".
             "PolicySummary": {
                 "Id": "p-i9j8k7l6m5"
                 "Arn": "arn:aws:organizations::o-aa111bb222:policy/declarative_policy_ec2/p-i9j8k7l6m5",
                 "Description": "My test policy",
                 "Name": "MyTestPolicy",
                 "Type": "DECLARATIVE_POLICY_EC2"
             }
         }
     }

• AWS SDKs：CreatePolicy

後續作業

建立宣告政策後，請使用帳戶狀態報告評估準備狀態。然後，您可以強制執行基準組態。若要這麼做，您可以將政策連接至組織根目錄、組織單位 (OUs)、 AWS 帳戶 組織內的 ，或所有這些政策的組合。

建立備份政策

最低許可

若要建立備份政策，您需要具有執行下列動作的許可：

• organizations:CreatePolicy

AWS Management Console

您可以透過下列兩種方式 AWS Management Console 之一，在 中建立備份政策：

• 視覺化編輯器，可讓您選擇選項，然後為您產生 JSON 政策文字。

• 文字編輯器，可讓您直接建立 JSON 政策文字。

視覺化編輯器讓程序變簡單，但彈性受限。若要建立第一個政策並熟悉使用政策，這是好方法。在了解政策的運作方式，並開始覺得受限於視覺化編輯器後，您可以自行編輯 JSON 政策文字，將進階功能新增至政策。視覺化編輯器只使用 @@assign 值設定運算子，完全不支援存取子控制運算子。只有在手動編輯 JSON 政策文字時，才能新增子控制運算子。

建立備份政策

1. 登入 AWS Organizations 主控台。您必須以 IAM 使用者登入、擔任 IAM 角色，或是以組織管理帳戶中的根使用者 (不建議) 身分登入。

2. 在 Backup policies (備份政策) 頁面上，選擇 Create policy (建立政策)。

3. 在 Create policy (建立政策) 頁面上，輸入政策的 Policy name (政策名稱) 與選用的 Policy description (政策描述)。

4. (選用) 您可以透過選擇 Add tag (新增標籤)，然後輸入一個鍵和一個選用值，來將一個或多個標籤新增至政策。將值留空會將其設定為空白字串；而不是 null。您可以在政策中連接最多 50 個標籤。如需標記的相關資訊，請參閱標記 AWS Organizations 資源。

5. 您可以使用 Visual editor (視覺化編輯器) 建置政策，如本程序所述。您也可以在 JSON 索引標籤中輸入或貼上政策文字。如需備份政策語法的相關資訊，請參閱備份政策語法和範例。

   如果您選擇使用 Visual editor (視覺化編輯器)，請選取適合您情境的備份選項。備份計劃由三個部分組成。如需這些備份計劃元素的詳細資訊，請參閱AWS Backup 開發人員指南中的建立備份計劃和指派資源。

   1. 備份計劃一般詳細資訊

      • Backup plan name (備份計劃名稱)只能由英數字元、連字號和底線字元組成。

      • 您必須從清單中至少選取一個 Backup plan region (備份計劃區域)。計劃只能在選取的 中備份資源 AWS 區域。

   2. 一或多個備份規則，指定 AWS Backup 的運作方式和時機。每個備份規則定義下列項目：

      • 包含備份頻率以及進行備份的時段的排程。

      • 要使用的備份保存庫名稱。Backup vault name (備份保存庫名稱)只能由英數字元、連字號和底線字元組成。備份保存庫必須先存在，計劃才能順利執行。使用 AWS Backup 主控台或 AWS CLI 命令建立保存庫。

      • (選用) 一或多個 Copy to region (複製到區域)規則，也將備份複製到其他 AWS 區域中的保存庫。

      • 一或多個標籤鍵和值配對，連接至每次執行此備份計劃時建立的備份復原點。

      • 生命週期選項，指定備份何時轉移至不常用的儲存體及備份何時到期。

      選擇 Add rule (新增規則)，將您需要的每個規則新增至計劃。

      如需關於備份規則的詳細資訊，請參閱 AWS Backup 開發人員指南中的備份規則。

   3. 資源指派，指定 AWS Backup 應該按照此計劃而備份的資源。指派是透過指定 AWS Backup 標籤對來尋找和比對資源

      • Resource assignment name (資源指派名稱)只能由英數字元、連字號和底線字元組成。

      • 指定 IAM 角色，以便 AWS Backup 用於依名稱執行備份。

        在主控台，您不需要指定整個 Amazon 資源名稱 (ARN)。角色名稱及其前綴 (指定角色類型) 都必須包括在內。前綴通常是 role 或 service-role，並以正斜線 ('/') 與角色名稱分隔。例如，您可以輸入 role/MyRoleName 或 service-role/MyManagedRoleName。存放在基礎 JSON 中可轉換為完整 ARN。

        重要

        指定的 IAM 角色必須已存在於套用政策的帳戶中。否則，雖然備份計劃可能成功啟動備份任務，但這些備份任務會失敗。

      • 指定一個或多個資源標籤標籤鍵和標籤值組，以識別您想要備份的資源。如果有多個標籤值，請以逗號分隔值。

      選擇 Add assignment (新增指派)，將每個設定的資源指派新增至備份計劃。

      如需詳細資訊，請參閱AWS Backup 開發人員指南中的將資源指派至備份計劃。

6. 政策建立完成時，請選擇 Create policy (建立政策)。政策會出現在可用的備份政策清單中。

AWS CLI & AWS SDKs

建立備份政策

您可以使用下列其中一項來建立備份政策：

• AWS CLI: create-policy

  將備份計劃建立為類似以下內容的 JSON 文字，並將其存放在文字檔案中。如需語法的完整規則，請參閱備份政策語法和範例。

  {
      "plans": {
          "PII_Backup_Plan": {
              "regions": { "@@assign": [ "ap-northeast-2", "us-east-1", "eu-north-1" ] },
              "rules": {
                  "Hourly": {
                      "schedule_expression": { "@@assign": "cron(0 5/1 ? * * *)" },
                      "start_backup_window_minutes": { "@@assign": "480" },
                      "complete_backup_window_minutes": { "@@assign": "10080" },
                      "lifecycle": {
                          "move_to_cold_storage_after_days": { "@@assign": "180" },
                          "delete_after_days": { "@@assign": "270" }
                      },
                      "target_backup_vault_name": { "@@assign": "FortKnox" },
                      "copy_actions": {
                          "arn:aws:backup:us-east-1:$account:backup-vault:secondary-vault": {
                              "lifecycle": {
                                  "move_to_cold_storage_after_days": { "@@assign": "10" },
                                  "delete_after_days": { "@@assign": "100" }
                              }
                          }
                      }
                  }
              },
              "selections": {
                  "tags": {
                      "datatype": {
                          "iam_role_arn": { "@@assign": "arn:aws:iam::$account:role/MyIamRole" },
                          "tag_key": { "@@assign": "dataType" },
                          "tag_value": { "@@assign": [ "PII" ] }
                      }
                  }
              }
          }
      }
  }

  此備份計劃指定 AWS Backup 應備份受影響 中所有資源 AWS 帳戶 ，這些資源位於指定的 中， AWS 區域 且標籤的值dataType為 PII。

  然後，匯入 JSON 政策檔案備份計劃，以在組織中建立新的政策備份計劃。請注意輸出中的政策 ARN 結尾的政策 ID。

  $ aws organizations create-policy \
      --name "MyBackupPolicy" \
      --type BACKUP_POLICY \
      --description "My backup policy" \
      --content file://policy.json{
      "Policy": {
          "PolicySummary": {
              "Arn": "arn:aws:organizations::o-aa111bb222:policy/backup_policy/p-i9j8k7l6m5",
              "Description": "My backup policy",
              "Name": "MyBackupPolicy",
              "Type": "BACKUP_POLICY"
          }
          "Content": "...a condensed version of the JSON policy document you provided in the file...",
      }
  }

• AWS SDKs：CreatePolicy

建立標籤政策

最低許可

若要建立標籤政策，您需要具有執行下列動作的許可：

• organizations:CreatePolicy

您可以透過下列兩種方式 AWS Management Console 之一，在 中建立標籤政策：

• 視覺化編輯器，可讓您選擇選項，然後為您產生 JSON 政策文字。

• 文字編輯器，可讓您直接建立 JSON 政策文字。

視覺化編輯器讓程序變簡單，但彈性受限。若要建立第一個政策並熟悉使用政策，這是好方法。在了解政策的運作方式，並開始覺得受限於視覺化編輯器後，您可以自行編輯 JSON 政策文字，將進階功能新增至政策。視覺化編輯器只使用 @@assign 值設定運算子，完全不支援存取子控制運算子。只有在手動編輯 JSON 政策文字時，才能新增子控制運算子。

AWS Management Console

您可以透過下列兩種方式 AWS Management Console 之一，在 中建立標籤政策：

• 視覺化編輯器，可讓您選擇選項，然後為您產生 JSON 政策文字。

• 文字編輯器，可讓您直接建立 JSON 政策文字。

視覺化編輯器讓程序變簡單，但彈性受限。若要建立第一個政策並熟悉使用政策，這是好方法。在了解政策的運作方式，並開始覺得受限於視覺化編輯器後，您可以自行編輯 JSON 政策文字，將進階功能新增至政策。視覺化編輯器只使用 @@assign 值設定運算子，完全不支援存取子控制運算子。只有在手動編輯 JSON 政策文字時，才能新增子控制運算子。

建立標籤政策

1. 登入 AWS Organizations 主控台。您必須以 IAM 使用者登入、擔任 IAM 角色，或是以組織管理帳戶中的根使用者 (不建議) 身分登入。

2. 在 Tag policies (標籤政策) 頁面上，選擇 Create policy (建立政策)。

3. 在 Create policy (建立政策) 頁面上，輸入政策的 Policy name (政策名稱) 與選用的 Policy description (政策描述)。

4. (選用) 您可以將一個或多個標籤新增至政策物件本身。這些標籤不是政策的一部分。若要執行此操作，請選擇 Add tag (新增標籤)，然後輸入一個鍵和一個選用值。將值留空會將其設定為空白字串；而不是 null。您可以在政策中連接最多 50 個標籤。如需詳細資訊，請參閱標記 AWS Organizations 資源。

5. 您可以使用 Visual editor (視覺化編輯器) 建立標籤政策，如本程序所述。您也可以在 JSON 索引標籤中輸入或貼上標籤政策。如需標籤政策語法的相關資訊，請參閱標籤政策語法。

   如果您選擇使用視覺化編輯器，請指定下列項目：

6. 針對 New Tag Key 1(新標籤鍵 1)，指定要新增的標籤鍵名稱。

7. 對於合規選項，您可以選取下列選項：

   1. 使用您上述為標籤金鑰指定的大寫 — 保持此選項清除 （預設值），以指定繼承的父標籤政策，如果有的話， 應該定義標籤金鑰的案例處理方式。

      如果您要使用此政策來強制標籤鍵的特定大寫，請啟用此選項。如果您選取此選項，您為 Tag Key (標籤鍵) 指定的大寫，將覆寫父政策中指定的大小寫處理。

      如果父政策不存在且您未選取此選項，則只有完全小寫字元的標籤鍵才視為合規。如需父政策中有關繼承的詳細資訊，請參閱理解管理政策繼承。

      提示

      在建立標籤政策來定義標籤鍵及其大小寫處理時，請考慮使用範例 1：定義整個組織的標籤鍵大小寫中顯示的範例標籤政策作為指南。將此標籤政策連接至組織根目錄。稍後，您可以建立額外的標籤政策，並連接至 OU 或帳戶，以建立其他標記規則。

   2. 指定此標籤索引鍵的允許值 — 如果您要將此標籤索引鍵的允許值新增至從父政策繼承的任何值，請啟用此選項。

      依預設會清除此選項，這表示只有從父政策定義和繼承的那些值才視為合規。如果父政策不存在或未指定標籤值，則任何值 (包括完全沒有值) 都視為合規。

      若要更新可接受的標籤值清單，請選取 Specify allowed values for this tag key (指定此標籤鍵的允許值)，然後選取 Specify values (指定值)。出現提示時，輸入新的值 (每個方塊一個值)，然後選擇 Save changes (儲存變更)。

8. 對於要強制執行的資源類型，您可以為此標籤選取防止不合規操作。

   建議您清除此選項 （預設值），除非您在使用標籤政策時有經驗。請確定您已檢閱了解強制中的建議，並全面測試。否則，可能會使組織帳戶中的使用者無法標記他們所需的資源。

   如果您確實想要強制此標籤鍵合規，請選取此核取方塊，然後選取 Specify resource types (指定資源類型)。提示後，請選取要包含在政策中的資源類型。接著選擇 Save changes (儲存變更)。

   重要

   選取此選項後，任何操縱指定類型資源標籤的操作，僅在操作使標籤符合政策時才會成功。

9. (選用) 若要將另一個標籤鍵新增至此標籤政策，請選擇 Add tag key (新增標籤鍵)。然後執行步驟 6–9 來定義標籤鍵。

10. 標籤政策建置完成時，請選擇 Save Changes (儲存變更)。

AWS CLI & AWS SDKs

建立標籤政策

您可以使用下列其中一項來建立標籤政策：

• AWS CLI: create-policy

  您可以使用任何文字編輯器來建立標籤政策。使用 JSON 語法，並在您選擇的位置中，以任何名稱和副檔名將標籤政策儲存為檔案。標籤政策最多可包含 2,500 個字元，包括空格。如需標籤政策語法的相關資訊，請參閱標籤政策語法。

  建立標籤政策

  1. 文字檔案中建立看起來類似下列內容的標籤政策︰

     testpolicy.json 的內容：

     {
         "tags": {
             "CostCenter": {
                 "tag_key": {
                     "@@assign": "CostCenter"
                 }
             }
         }
     }

     此標籤政策定義 CostCenter 標籤鍵。標籤可以接受或不接受任何值。這樣的政策表示，帶有CostCenter 標籤的資源 (無論是否連接任何值) 都符合規定。

  2. 建立包含檔案中政策內容的政策。為了便於閱讀，輸出中的額外空白字元已被截斷。

     $ aws organizations create-policy \
         --name "MyTestTagPolicy" \
         --description "My Test policy" \
         --content file://testpolicy.json \
         --type TAG_POLICY
     {
         "Policy": {
             "PolicySummary": {
                 "Id": "p-a1b2c3d4e5",
                 "Arn": "arn:aws:organizations::123456789012:policy/o-aa111bb222/tag_policy/p-a1b2c3d4e5",
                 "Name": "MyTestTagPolicy",
                 "Description": "My Test policy",
                 "Type": "TAG_POLICY",
                 "AwsManaged": false
             },
             "Content": "{\n\"tags\":{\n\"CostCenter\":{\n\"tag_key\":{\n\"@@assign\":\"CostCenter\"\n}\n}\n}\n}\n\n"
         }
     }

• AWS SDKs：CreatePolicy

建立聊天機器人政策

最低許可

若要建立聊天機器人政策，您需要執行下列動作的許可：

• organizations:CreatePolicy

AWS Management Console

您可以透過下列兩種方式 AWS Management Console 之一，在 中建立聊天機器人政策：

• 視覺化編輯器，可讓您選擇選項，然後為您產生 JSON 政策文字。

• 文字編輯器，可讓您直接建立 JSON 政策文字。

視覺化編輯器讓程序變簡單，但彈性受限。若要建立第一個政策並熟悉使用政策，這是好方法。在了解政策的運作方式，並開始覺得受限於視覺化編輯器後，您可以自行編輯 JSON 政策文字，將進階功能新增至政策。視覺化編輯器只使用 @@assign 值設定運算子，完全不支援存取子控制運算子。只有在手動編輯 JSON 政策文字時，才能新增子控制運算子。

建立聊天機器人政策

1. 登入 AWS Organizations 主控台。您必須以 IAM 使用者登入、擔任 IAM 角色，或是以組織管理帳戶中的根使用者 (不建議) 身分登入。

2. 在聊天機器人政策頁面上，選擇建立政策。

3. 在建立新的聊天機器人政策頁面上，輸入政策名稱和選用的政策描述。

4. (選用) 您可以透過選擇 Add tag (新增標籤)，然後輸入一個鍵和一個選用值，來將一個或多個標籤新增至政策。將值留空會將其設定為空白字串；而不是 null。您可以在政策中連接最多 50 個標籤。如需詳細資訊，請參閱標記 AWS Organizations 資源。

5. 您可以使用 Visual editor (視覺化編輯器) 建置政策，如本程序所述。您也可以在 JSON 索引標籤中輸入或貼上政策文字。如需 chatbot 政策語法的詳細資訊，請參閱 Chatbot 政策語法和範例。

   如果您選擇使用視覺化編輯器，請透過指定聊天用戶端的存取控制來設定聊天機器人政策。

   1. 為設定 Amazon Chime 聊天用戶端存取選擇下列其中一項

      • 拒絕提示存取。

      • 允許 Chime 存取。

   2. 選擇下列設定 Microsoft Teams 聊天用戶端存取權的選項

      • 拒絕存取所有 Teams

      • 允許存取所有 Teams

      • 限制對具名 Teams 的存取

   3. 為設定 Slack 聊天用戶端存取選擇下列其中一項

      • 拒絕存取所有 Slack 工作區

      • 允許存取所有 Slack 工作區

      • 限制對具名 Slack 函式的存取

      注意

      此外，您可以選取僅限私有 Slack 頻道 Amazon Q 聊天應用程式的開發人員 的用量限制。

   4. 為設定 IAM 許可類型選取下列選項

      • 啟用頻道層級 IAM 角色 — 所有頻道成員共用 IAM 角色許可，以在頻道中執行任務。如果頻道成員需要相同的許可，則頻道角色是適當的。

      • 啟用使用者層級 IAM 角色 — 頻道成員必須選擇 IAM 使用者角色才能執行動作 （需要主控台存取權才能選擇角色）。如果頻道成員需要不同的許可，並且可以選擇其使用者角色，則使用者角色是適當的。

6. 政策建立完成時，請選擇 Create policy (建立政策)。政策會出現在聊天機器人備份政策清單中。

AWS CLI & AWS SDKs

建立聊天機器人政策

您可以使用下列其中一項來建立聊天機器人政策：

• AWS CLI: create-policy

  您可以使用任何文字編輯器來建立聊天機器人政策。使用 JSON 語法，並將聊天機器人政策儲存為檔案，並在您選擇的位置使用任何名稱和副檔名。Chatbot 政策最多可有 ？ 個字元，包括空格。如需標籤政策語法的相關資訊，請參閱Chatbot 政策語法和範例。

  建立聊天機器人政策

  1. 在如下所示的文字檔案中建立聊天機器人政策：

     testpolicy.json 的內容：

     {
        "chatbot": {
           "platforms": {
              "slack": {
                 "client": {
                    "@@assign": "enabled"
                 },
                 "workspaces": {
                    "@@assign": [
                       "Slack-Workspace-Id"
                    ]
                 },
                 "default": {
                    "supported_channel_types": {
                       "@@assign": [
                          "private"
                       ]
                    }
                 }
              },
              "microsoft_teams": {
                 "client": {
                    "@@assign": "disabled"
                 }
              }
           }
        }
     }

     此聊天機器人政策僅允許特定工作區中的私有 Slack 頻道、停用 Microsoft Teams，並支援所有角色設定。

  2. 建立包含檔案中政策內容的政策。為了便於閱讀，輸出中的額外空白字元已被截斷。

     $ aws organizations create-policy \
         --name "MyTestChatbotPolicy" \
         --description "My Test policy" \
         --content file://testpolicy.json \
         --type CHATBOT_POLICY
     {
         "Policy": {
             "PolicySummary": {
                 "Id": "p-a1b2c3d4e5",
                 "Arn": "arn:aws:organizations::123456789012:policy/o-aa111bb222/chatbot_policy/p-a1b2c3d4e5",
                 "Name": "MyTestChatbotPolicy",
                 "Description": "My Test policy",
                 "Type": "CHATBOT_POLICY",
                 "AwsManaged": false
             },
             "Content": "{"chatbot":{"platforms":{"slack":{"client":{"@@assign":"enabled"},"workspaces":{"@@assign":["Slack-Workspace-Id"]},"supported_channel_types":{"@@assign":["private"]}},"microsoft_teams":{"client":{"@@assign":"disabled"}}}}}"
         }
     }

• AWS SDKs：CreatePolicy

建立 AI 服務選擇退出政策

最低許可

若要建立 AI 服務選擇退出政策，您需要具有執行下列動作的許可︰

• organizations:CreatePolicy

AWS Management Console

建立 AI 服務選擇退出政策

1. 登入 AWS Organizations 主控台。您必須以 IAM 使用者登入、擔任 IAM 角色，或是以組織管理帳戶中的根使用者 (不建議) 身分登入。

2. 在 AI services opt-out policies (AI 服務選擇退出政策) 頁面上，選擇 Create policy (建立政策)。

3. 在 Create new AI services opt-out policy (建立新的 AI 服務選擇退出政策) 頁面上，輸入 Policy name (政策名稱) 與選用的 Policy description (政策描述)。

4. (選用) 您可以透過選擇 Add tag (新增標籤)，然後輸入一個鍵和一個選用值，來將一個或多個標籤新增至政策。將值留空會將其設定為空白字串；而不是 null。您可以在政策中連接最多 50 個標籤。如需詳細資訊，請參閱標記 AWS Organizations 資源。

5. 在 JSON 索引標籤中輸入或貼上政策文字。如需 AI 服務選擇退出政策語法的相關資訊，請參閱AI 服務選擇退出政策語法和範例。例如，您可以用作起點的政策，請參閱AI 服務選擇退出政策範例。

6. 當政策編輯完成時，請在頁面的右下角選擇 Create policy (建立政策)。

AWS CLI & AWS SDKs

建立 AI 服務選擇退出政策

您可以使用下列其中一項來建立標籤政策：

• AWS CLI: create-policy

  1. 建立如下所示的 AI 服務選擇退出政策，並將其存放在文字檔案中。請注意，"optOut" 和 "optIn" 區分大小寫。

     {
         "services": {
             "default": {
                 "opt_out_policy": {
                     "@@assign": "optOut"
                 }
             },
             "rekognition": {
                 "opt_out_policy": {
                     "@@assign": "optIn"
                 }
             }
         }
     }

     此 AI 服務選擇退出政策規定，除了 Amazon Rekognition 以外，受政策影響的所有帳戶都選擇退出所有 AI 服務。

  2. 匯入 JSON 政策檔案，以在組織中建立新的政策。在此範例中，之前的 JSON 檔案名稱為 policy.json。

     $ aws organizations create-policy \
         --type AISERVICES_OPT_OUT_POLICY \
         --name "MyTestPolicy" \
         --description "My test policy" \
         --content file://policy.json
     {
         "Policy": {
             "Content": "{\"services\":{\"default\":{\"opt_out_policy\":{\"@@assign\":\"optOut\"}},\"rekognition\":{\"opt_out_policy\":{\"@@assign\":\"optIn\"}}}}",
             "PolicySummary": {
                 "Id": "p-i9j8k7l6m5"
                 "Arn": "arn:aws:organizations::o-aa111bb222:policy/aiservices_opt_out_policy/p-i9j8k7l6m5",
                 "Description": "My test policy",
                 "Name": "MyTestPolicy",
                 "Type": "AISERVICES_OPT_OUT_POLICY"
             }
         }
     }

• AWS SDKs：CreatePolicy