Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
# Membuat kebijakan organisasi dengan AWS Organizations
Setelah [mengaktifkan kebijakan](enable-policy-type.md) untuk organisasi, Anda dapat membuat kebijakan.
Topik ini menjelaskan cara membuat kebijakan dengan AWS Organizations. *Kebijakan* mendefinisikan kontrol yang ingin Anda terapkan ke grup. Akun AWS
**Topics**
+ [Membuat kebijakan kontrol layanan (SCP)](#create-an-scp)
+ [Membuat kebijakan kontrol sumber daya (RCP)](#create-an-rcp)
+ [Buat kebijakan deklaratif](#create-declarative-policy-procedure)
+ [Buat kebijakan cadangan](#create-backup-policy-procedure)
+ [Buat kebijakan tag](#create-tag-policy-procedure)
+ [Buat kebijakan aplikasi obrolan](#create-chatbot-policy-procedure)
+ [Buat kebijakan opt-out layanan AI](#create-ai-opt-out-policy-procedure)
+ [Membuat kebijakan peluncuran pemutakhiran](#create-upgrade-rollout-policy-procedure)
+ [Membuat kebijakan Security Hub](#create-security-hub-policy-procedure)
## Membuat kebijakan kontrol layanan (SCP)
**Izin minimum**
Untuk membuat SCPs, Anda memerlukan izin untuk menjalankan tindakan berikut:
`organizations:CreatePolicy`
------
#### [ Konsol Manajemen AWS ]
**Untuk membuat kebijakan kontrol layanan**
1. Masuk ke [konsol AWS Organizations](https://console.aws.amazon.com/organizations/v2). Anda harus masuk sebagai pengguna IAM, mengambil IAM role, atau masuk sebagai pengguna root ([tidak direkomendasikan](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials)) di akun pengelolaan organisasi.
1. Pada halaman **[Kebijakan kontrol layanan](https://console.aws.amazon.com/organizations/v2/home/policies/service-control-policy)**, pilih **Buat kebijakan**.
1. Pada halaman [halaman **Membuat kebijakan kontrol layanan baru**](https://console.aws.amazon.com/organizations/home/policies/service-control/create), masukkan **Nama kebijakan** dan **Deskripsi kebijakan** opsional.
1. (Opsional) Tambahkan satu tag atau lebih dengan memilih **Tambahkan tag** dan kemudian masukkan kunci dan nilai opsional. Membiarkan nilai kosong akan mengaturnya menjadi string kosong; itu bukan `null`. Anda dapat melampirkan hingga 50 tag ke kebijakan. Untuk informasi lebih lanjut, lihat [Sumber daya penandaan AWS OrganizationsPertimbangan-pertimbangan](orgs_tagging.md).
**catatan**
Dalam sebagian besar langkah-langkah yang mengikuti, kita membahas penggunaan kontrol di sisi kanan editor JSON untuk membangun kebijakan, elemen demi elemen. Atau, Anda dapat, kapan saja, cukup memasukkan teks di editor JSON yang ada di sisi kiri jendela. Anda dapat langsung mengetik, atau menggunakan salin dan tempel.
1. Untuk membangun kebijakan, langkah berikutnya berbeda-beda tergantung pada apakah Anda ingin menambahkan pernyataan yang [menolak](orgs_manage_policies_scps_evaluation.md#how_scps_deny) atau [memungkinkan](orgs_manage_policies_scps_evaluation.md#how_scps_allow) akses. Untuk informasi selengkapnya, lihat [Evaluasi SCP](orgs_manage_policies_scps_evaluation.md). Jika Anda menggunakan `Deny` pernyataan, Anda memiliki kontrol tambahan karena Anda dapat membatasi akses ke sumber daya tertentu, menentukan kondisi kapan SCPs berlaku, dan menggunakan [NotAction](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_notaction.html)elemen. Untuk detail tentang sintaksis, lihat [Sintaksis SCP](orgs_manage_policies_scps_syntax.md).
Untuk menambahkan pernyataan yang *menolak* akses:
1. Di sebelah kanan **Edit panel pernyataan** editor, di bawah **Tambahkan tindakan**, pilih AWS layanan.
Ketika Anda memilih opsi yang ada di sebelah kanan, editor JSON diperbarui untuk menampilkan kebijakan JSON yang sesuai di sebelah kiri.
1. Setelah Anda memilih layanan, daftar yang berisi tindakan yang tersedia untuk layanan tersebut akan terbuka. Anda dapat memilih **Semua tindakan**, atau pilih satu atau beberapa tindakan individual yang ingin Anda tolak.
JSON di sebelah kiri memperbarui untuk menyertakan tindakan yang Anda pilih.
**catatan**
Jika Anda memilih tindakan individu dan kemudian juga kembali dan juga memilih **Semua tindakan**, maka entri yang diharapkan untuk `servicename:*` ditambahkan ke JSON, tetapi tindakan individu yang sebelumnya Anda pilih dibiarkan di JSON dan tidak dihapus.
1. Jika ingin menambahkan tindakan dari layanan tambahan, Anda dapat memilih **Semua layanan** di bagian atas kotak **Pernyataan**, dan kemudian ulangi dua langkah sebelumnya sesuai kebutuhan.
1. Tentukan sumber daya untuk menyertakan dalam pernyataan.
+ Di samping **Tambahkan sumber daya**, pilih **Tambah**.
+ Di **Menambahkan sumber daya**, pilih layanan yang sumber daya-nya ingin Anda kontrol dari daftar. Anda dapat memilih hanya dari antara layanan-layanan yang Anda pilih pada langkah sebelumnya.
+ Di bawah **Jenis sumber daya**, pilih jenis sumber daya yang ingin Anda kontrol.
+ Akhirnya, selesaikan Amazon Resource Name (ARN) di **Sumber Daya ARN** untuk mengidentifikasi sumber daya tertentu yang Anda inginkan untuk mengontrol akses. Anda harus mengganti semua placeholder yang dikelilingi oleh kurung kurawal `{}`. Anda dapat menentukan kartu liar (`*`) di mana sintaksis ARN jenis sumber daya tersebut diizinkan. Lihat dokumentasi untuk jenis sumber daya tertentu untuk informasi tentang di mana Anda dapat menggunakan kartu liar.
+ Simpan penambahan Anda ke kebijakan dengan memilih **Menambahkan sumber daya**. Elemen `Resource` dalam JSON mencerminkan penambahan atau perubahan. Elemen **Sumber Daya** wajib diisi.
**Tip**
Jika Anda ingin menentukan semua sumber daya untuk layanan yang dipilih, pilih opsi **Semua sumber daya** dalam daftar, atau edit pernyataan `Resource` secara langsung di JSON untuk membaca `"Resource":"*"`.
1. (Opsional) Untuk menentukan kondisi yang membatasi saat pernyataan kebijakan berlaku, di samping **Tambahkan kondisi**, pilih **Tambah**.
+ **Kunci kondisi** — Dari daftar Anda dapat memilih kunci kondisi apa pun yang tersedia untuk semua AWS layanan (misalnya,`aws:SourceIp`) atau kunci khusus layanan hanya untuk salah satu layanan yang Anda pilih untuk pernyataan ini.
+ **Kualifikasi** — (Opsional) Jika permintaan memiliki lebih dari satu nilai untuk kunci konteks multivaluasi, Anda dapat menentukan [kualifikasi](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_multi-value-conditions.html) untuk permintaan pengujian terhadap nilai. *Untuk informasi selengkapnya lihat, [Kunci konteks bernilai tunggal vs. multivaluasi](reference_policies_condition-single-vs-multi-valued-context-keys.html) di Panduan Pengguna IAM.* Untuk memeriksa apakah permintaan dapat memiliki beberapa nilai, lihat [kunci Tindakan, sumber daya, dan kondisi Layanan AWS](https://docs.aws.amazon.com/service-authorization/latest/reference/reference_policies_actions-resources-contextkeys.html) di *Referensi Otorisasi Layanan*.
+ **Default** — Menguji nilai tunggal dalam permintaan terhadap nilai kunci syarat dalam kebijakan. Syarat tersebut akan memberikan hasil BETUL jika setiap nilai kunci dalam permintaan tersebut sesuai dengan setidaknya satu nilai dalam kebijakan. Jika kebijakan menentukan lebih dari satu nilai maka mereka diperlakukan sebagai uji "atau", dan syarat akan memberikan hasil BETUL jika nilai permintaan cocok dengan salah satu nilai kebijakan.
+ **Untuk setiap nilai dalam permintaan** — Ketika permintaan dapat memiliki beberapa nilai, opsi ini menguji apakah *paling tidak satu* nilai permintaan sesuai dengan setidaknya satu nilai kunci syarat dalam kebijakan. Syarat memberikan hasil BETUL jika salah satu nilai kunci dalam permintaan sesuai dengan salah satu nilai syarat dalam kebijakan. Jika tidak ada kunci yang cocok atau kumpulan data nol, kondisi akan memberikan hasil salah.
+ **Untuk setiap nilai dalam permintaan** — Ketika permintaan dapat memiliki beberapa nilai, opsi ini menguji apakah *setiap* nilai permintaan sesuai dengan setidaknya satu nilai kunci syarat dalam kebijakan. Syarat tersebut akan memberikan hasil benar jika setiap nilai kunci dalam permintaan tersebut sesuai dengan setidaknya satu nilai dalam kebijakan. Syarat ini juga akan memberikan hasil benar jika tidak ada kunci dalam permintaan, atau jika nilai kunci menghasilkan kumpulan data nol, seperti string kosong.
+ **Operator** — [Operator](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html) menentukan jenis perbandingan yang akan dibuat. Pilihan yang disajikan tergantung pada jenis data kunci syarat. Misalnya, kunci syarat global `aws:CurrentTime` memungkinkan Anda memilih dari salah satu operator perbandingan tanggal, atau `Null`, yang dapat Anda gunakan untuk menguji apakah nilai hadir dalam permintaan.
Untuk operator kondisi apa pun kecuali `Null` tes, Anda dapat memilih [IfExists](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html#Conditions_IfExists)opsi.
+ **Nilai** — (Opsional) Tentukan satu atau beberapa nilai yang ingin Anda uji permintaannya.
Pilih **Tambahkan syarat**.
Untuk informasi selengkapnya tentang kunci syarat, lihat [Elemen Kebijakan IAM JSON: Syarat](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) di *Panduan Pengguna IAM*.
1. Untuk menambahkan pernyataan yang *mengizinkan* akses:
1. Dalam editor JSON di sebelah kiri, ubah baris `"Effect": "Deny"` ke `"Effect": "Allow"`.
Ketika Anda memilih opsi yang ada di sebelah kanan, editor JSON diperbarui untuk menampilkan kebijakan JSON yang sesuai di sebelah kiri.
1. Setelah Anda memilih layanan, daftar yang berisi tindakan yang tersedia untuk layanan tersebut akan terbuka. Anda dapat memilih **Semua tindakan**, atau pilih satu atau beberapa tindakan individual yang ingin Anda izinkan.
JSON di sebelah kiri memperbarui untuk menyertakan tindakan yang Anda pilih.
**catatan**
Jika Anda memilih tindakan individu dan kemudian juga kembali dan juga memilih **Semua tindakan**, maka entri yang diharapkan untuk `servicename:*` ditambahkan ke JSON, tetapi tindakan individu yang sebelumnya Anda pilih dibiarkan di JSON dan tidak dihapus.
1. Jika ingin menambahkan tindakan dari layanan tambahan, Anda dapat memilih **Semua layanan** di bagian atas kotak **Pernyataan**, dan kemudian ulangi dua langkah sebelumnya sesuai kebutuhan.
1. (Opsional) Untuk menambahkan pernyataan lain pada kebijakan, pilih **Menambahkan pernyataan** dan gunakan editor visual untuk membuat pernyataan berikutnya.
1. Setelah selesai menambahkan pernyataan, pilih **Buat kebijakan** untuk menyimpan SCP yang telah selesai.
SCP baru Anda muncul dalam daftar kebijakan organisasi. Anda sekarang dapat [melampirkan SCP Anda ke root, OUs, atau akun](orgs_policies_attach.md).
------
#### [ AWS CLI & AWS SDKs ]
**Untuk membuat kebijakan kontrol layanan**
Anda dapat menggunakan salah satu perintah berikut untuk membuat SCP:
+ AWS CLI: [create-policy](https://docs.aws.amazon.com/cli/latest/reference/organizations/create-policy.html)
Contoh berikut mengasumsikan bahwa Anda memiliki sebuah file bernama `Deny-IAM.json` dengan teks kebijakan JSON di dalamnya. Ia menggunakan file tersebut untuk membuat kebijakan kontrol layanan baru.
```
$ aws organizations create-policy \
--content file://Deny-IAM.json \
--description "Deny all IAM actions" \
--name DenyIAMSCP \
--type SERVICE_CONTROL_POLICY
{
"Policy": {
"PolicySummary": {
"Id": "p-i9j8k7l6m5",
"Arn": "arn:aws:organizations::123456789012:policy/o-aa111bb222/service_control_policy/p-i9j8k7l6m5",
"Name": "DenyIAMSCP",
"Description": "Deny all IAM actions",
"Type": "SERVICE_CONTROL_POLICY",
"AwsManaged": false
},
"Content": "{\"Version\":\"2012-10-17\", \"Statement\":[{\"Sid\":\"Statement1\",\"Effect\":\"Deny\",\"Action\":[\"iam:*\"],\"Resource\":[\"*\"]}]}"
}
}
```
+ AWS SDKs: [CreatePolicy](https://docs.aws.amazon.com/organizations/latest/APIReference/API_CreatePolicy.html)
------
**catatan**
SCPs jangan berpengaruh pada akun manajemen dan dalam beberapa situasi lain. Untuk informasi selengkapnya, lihat [Tugas dan entitas yang tidak dibatasi oleh SCPs](orgs_manage_policies_scps.md#not-restricted-by-scp).
## Membuat kebijakan kontrol sumber daya (RCP)
**Izin minimum**
Untuk membuat RCPs, Anda memerlukan izin untuk menjalankan tindakan berikut:
`organizations:CreatePolicy`
------
#### [ Konsol Manajemen AWS ]
**Untuk membuat kebijakan kontrol sumber daya**
1. Masuk ke [konsol AWS Organizations](https://console.aws.amazon.com/organizations/v2). Anda harus masuk sebagai pengguna IAM, mengambil IAM role, atau masuk sebagai pengguna root ([tidak direkomendasikan](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials)) di akun pengelolaan organisasi.
1. Pada halaman **Kebijakan kontrol sumber daya**, pilih **Buat kebijakan**.
1. Pada [halaman **Buat kebijakan kontrol sumber daya baru**](https://console.aws.amazon.com/organizations/home/policies/service-control/create), masukkan **nama Kebijakan** dan **deskripsi Kebijakan** opsional.
1. (Opsional) Tambahkan satu tag atau lebih dengan memilih **Tambahkan tag** dan kemudian masukkan kunci dan nilai opsional. Membiarkan nilai kosong akan mengaturnya menjadi string kosong; itu bukan `null`. Anda dapat melampirkan hingga 50 tag ke kebijakan. Untuk informasi lebih lanjut, lihat [Sumber daya penandaan AWS OrganizationsPertimbangan-pertimbangan](orgs_tagging.md).
**catatan**
Dalam sebagian besar langkah-langkah yang mengikuti, kita membahas penggunaan kontrol di sisi kanan editor JSON untuk membangun kebijakan, elemen demi elemen. Atau, Anda dapat, kapan saja, cukup memasukkan teks di editor JSON yang ada di sisi kiri jendela. Anda dapat langsung mengetik, atau menggunakan salin dan tempel.
1. Untuk menambahkan pernyataan:
1. Di sebelah kanan **Edit panel pernyataan** editor, di bawah **Tambahkan tindakan**, pilih AWS layanan.
Ketika Anda memilih opsi yang ada di sebelah kanan, editor JSON diperbarui untuk menampilkan kebijakan JSON yang sesuai di sebelah kiri.
1. Setelah Anda memilih layanan, daftar yang berisi tindakan yang tersedia untuk layanan tersebut akan terbuka. Anda dapat memilih **Semua tindakan**, atau pilih satu atau beberapa tindakan individual yang ingin Anda tolak.
JSON di sebelah kiri memperbarui untuk menyertakan tindakan yang Anda pilih.
**catatan**
Jika Anda memilih tindakan individu dan kemudian juga kembali dan juga memilih **Semua tindakan**, maka entri yang diharapkan untuk `servicename:*` ditambahkan ke JSON, tetapi tindakan individu yang sebelumnya Anda pilih dibiarkan di JSON dan tidak dihapus.
1. Jika ingin menambahkan tindakan dari layanan tambahan, Anda dapat memilih **Semua layanan** di bagian atas kotak **Pernyataan**, dan kemudian ulangi dua langkah sebelumnya sesuai kebutuhan.
1. Tentukan sumber daya untuk menyertakan dalam pernyataan.
+ Di samping **Tambahkan sumber daya**, pilih **Tambah**.
+ Di **Menambahkan sumber daya**, pilih layanan yang sumber daya-nya ingin Anda kontrol dari daftar. Anda dapat memilih hanya dari antara layanan-layanan yang Anda pilih pada langkah sebelumnya.
+ Di bawah **Jenis sumber daya**, pilih jenis sumber daya yang ingin Anda kontrol.
+ Lengkapi Nama Sumber Daya Amazon (ARN) di **ARN** Sumber Daya untuk mengidentifikasi sumber daya tertentu yang ingin Anda kendalikan aksesnya. Anda harus mengganti semua placeholder yang dikelilingi oleh kurung kurawal `{}`. Anda dapat menentukan kartu liar (`*`) di mana sintaksis ARN jenis sumber daya tersebut diizinkan. Lihat [dokumentasi](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_resource.html#reference_policies_elements_resource_wildcards) untuk jenis sumber daya tertentu untuk informasi tentang di mana Anda dapat menggunakan kartu liar.
+ Simpan penambahan Anda ke kebijakan dengan memilih **Menambahkan sumber daya**. Elemen `Resource` dalam JSON mencerminkan penambahan atau perubahan. Elemen **Sumber Daya** wajib diisi.
**Tip**
Jika Anda ingin menentukan semua sumber daya untuk layanan yang dipilih, pilih opsi **Semua sumber daya** dalam daftar, atau edit pernyataan `Resource` secara langsung di JSON untuk membaca `"Resource":"*"`.
1. (Opsional) Untuk menentukan kondisi yang membatasi saat pernyataan kebijakan berlaku, di samping **Tambahkan kondisi**, pilih **Tambah**.
+ **Kunci kondisi** — Dari daftar Anda dapat memilih kunci kondisi apa pun yang tersedia untuk semua AWS layanan (misalnya,`aws:SourceIp`) atau kunci khusus layanan hanya untuk salah satu layanan yang Anda pilih untuk pernyataan ini.
+ **Kualifikasi** — (Opsional) Jika permintaan memiliki lebih dari satu nilai untuk kunci konteks multivaluasi, Anda dapat menentukan [kualifikasi](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_multi-value-conditions.html) untuk permintaan pengujian terhadap nilai. *Untuk informasi selengkapnya lihat, [Kunci konteks bernilai tunggal vs. multivaluasi](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-single-vs-multi-valued-context-keys.html) di Panduan Pengguna IAM.* Untuk memeriksa apakah permintaan dapat memiliki beberapa nilai, lihat [kunci Tindakan, sumber daya, dan kondisi Layanan AWS](https://docs.aws.amazon.com/service-authorization/latest/reference/reference_policies_actions-resources-contextkeys.html) di *Referensi Otorisasi Layanan*.
+ **Default** — Menguji nilai tunggal dalam permintaan terhadap nilai kunci syarat dalam kebijakan. Syarat tersebut akan memberikan hasil BETUL jika setiap nilai kunci dalam permintaan tersebut sesuai dengan setidaknya satu nilai dalam kebijakan. Jika kebijakan menentukan lebih dari satu nilai maka mereka diperlakukan sebagai uji "atau", dan syarat akan memberikan hasil BETUL jika nilai permintaan cocok dengan salah satu nilai kebijakan.
+ **Untuk setiap nilai dalam permintaan** — Ketika permintaan dapat memiliki beberapa nilai, opsi ini menguji apakah *paling tidak satu* nilai permintaan sesuai dengan setidaknya satu nilai kunci syarat dalam kebijakan. Syarat memberikan hasil BETUL jika salah satu nilai kunci dalam permintaan sesuai dengan salah satu nilai syarat dalam kebijakan. Jika tidak ada kunci yang cocok atau kumpulan data nol, kondisi akan memberikan hasil salah.
+ **Untuk setiap nilai dalam permintaan** — Ketika permintaan dapat memiliki beberapa nilai, opsi ini menguji apakah *setiap* nilai permintaan sesuai dengan setidaknya satu nilai kunci syarat dalam kebijakan. Syarat tersebut akan memberikan hasil benar jika setiap nilai kunci dalam permintaan tersebut sesuai dengan setidaknya satu nilai dalam kebijakan. Syarat ini juga akan memberikan hasil benar jika tidak ada kunci dalam permintaan, atau jika nilai kunci menghasilkan kumpulan data nol, seperti string kosong.
+ **Operator** — [Operator](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html) menentukan jenis perbandingan yang akan dibuat. Pilihan yang disajikan tergantung pada jenis data kunci syarat. Misalnya, kunci syarat global `aws:CurrentTime` memungkinkan Anda memilih dari salah satu operator perbandingan tanggal, atau `Null`, yang dapat Anda gunakan untuk menguji apakah nilai hadir dalam permintaan.
Untuk operator kondisi apa pun kecuali `Null` tes, Anda dapat memilih [IfExists](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html#Conditions_IfExists)opsi.
+ **Nilai** — (Opsional) Tentukan satu atau beberapa nilai yang ingin Anda uji permintaannya.
Pilih **Tambahkan syarat**.
Untuk informasi selengkapnya tentang kunci syarat, lihat [Elemen Kebijakan IAM JSON: Syarat](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) di *Panduan Pengguna IAM*.
1. (Opsional) Untuk menggunakan elemen `NotAction` untuk menolak akses ke semua tindakan ***kecuali*** yang ditentukan, ganti `Action` di panel kiri dengan `NotAction`, hanya setelah elemen `"Effect": "Deny",`. Untuk informasi selengkapnya, lihat [Elemen Kebijakan IAM JSON: NotAction](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_notaction.html) di Panduan Pengguna *IAM*.
1. (Opsional) Untuk menambahkan pernyataan lain pada kebijakan, pilih **Menambahkan pernyataan** dan gunakan editor visual untuk membuat pernyataan berikutnya.
1. Setelah selesai menambahkan pernyataan, pilih **Buat kebijakan** untuk menyimpan RCP yang sudah selesai.
RCP baru Anda muncul dalam daftar kebijakan organisasi. Anda sekarang dapat [melampirkan RCP Anda ke root, OUs, atau akun](orgs_policies_attach.md).
------
#### [ AWS CLI & AWS SDKs ]
**Untuk membuat kebijakan kontrol sumber daya**
Anda dapat menggunakan salah satu perintah berikut untuk membuat RCP:
+ AWS CLI: [create-policy](https://docs.aws.amazon.com/cli/latest/reference/organizations/create-policy.html)
Contoh berikut mengasumsikan bahwa Anda memiliki sebuah file bernama `Deny-IAM.json` dengan teks kebijakan JSON di dalamnya. Ini menggunakan file itu untuk membuat kebijakan kontrol sumber daya baru.
```
$ aws organizations create-policy \
--content file://Deny-IAM.json \
--description "Deny all IAM actions" \
--name DenyIAMRCP \
--type RESOURCE_CONTROL_POLICY
{
"Policy": {
"PolicySummary": {
"Id": "p-i9j8k7l6m5",
"Arn": "arn:aws:organizations::123456789012:policy/o-aa111bb222/resource_control_policy/p-i9j8k7l6m5",
"Name": "DenyIAMRCP",
"Description": "Deny all IAM actions",
"Type": "RESOURCE_CONTROL_POLICY",
"AwsManaged": false
},
"Content": "{\"Version\":\"2012-10-17\", \"Statement\":[{\"Sid\":\"Statement1\",\"Effect\":\"Deny\",\"Action\":[\"iam:*\"],\"Resource\":[\"*\"]}]}"
}
}
```
+ AWS SDKs: [CreatePolicy](https://docs.aws.amazon.com/organizations/latest/APIReference/API_CreatePolicy.html)
------
**catatan**
RCPs jangan berpengaruh pada akun manajemen dan dalam beberapa situasi lain. Untuk informasi selengkapnya, lihat [Sumber daya dan entitas yang tidak dibatasi oleh RCPs](orgs_manage_policies_rcps.md#actions-not-restricted-by-rcps).
## Buat kebijakan deklaratif
**Izin minimum**
Untuk membuat kebijakan deklaratif, Anda memerlukan izin untuk menjalankan tindakan berikut:
`organizations:CreatePolicy`
------
#### [ Konsol Manajemen AWS ]
**Untuk membuat kebijakan deklaratif**
1. Masuk ke [konsol AWS Organizations](https://console.aws.amazon.com/organizations/v2). Anda harus masuk sebagai pengguna IAM, mengambil IAM role, atau masuk sebagai pengguna root ([tidak direkomendasikan](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials)) di akun pengelolaan organisasi.
1. Pada halaman **[Kebijakan deklaratif](https://console.aws.amazon.com/organizations/v2/home/policies/declarative-policy-ec2)**, pilih **Buat kebijakan**.
1. **Pada [halaman **Buat kebijakan deklaratif baru untuk EC2**](https://console.aws.amazon.com/organizations/v2/home/policies/declarative-policy-ec2/create), masukkan **nama Kebijakan dan deskripsi Kebijakan** opsional.**
1. (Opsional) Anda dapat menambahkan satu tag atau lebih ke kebijakan tersebut dengan memilih **Tambahkan tag** dan kemudian masukkan kunci dan nilai opsional. Membiarkan nilai kosong akan mengaturnya menjadi string kosong; itu bukan `null`. Anda dapat melampirkan hingga 50 tag ke kebijakan. Untuk informasi selengkapnya, lihat [Sumber daya penandaan AWS OrganizationsPertimbangan-pertimbangan](orgs_tagging.md).
1. Anda dapat membangun kebijakan dengan menggunakan **Editor visual** seperti yang diterangkan dalam prosedur ini. Anda juga dapat memasukkan atau menempelkan teks kebijakan di tab **JSON**. Untuk informasi tentang sintaks kebijakan deklaratif, lihat. [Sintaks kebijakan deklaratif dan contoh](orgs_manage_policies_declarative_syntax.md)
Jika Anda memilih untuk menggunakan **editor Visual**, pilih atribut layanan yang ingin Anda sertakan dalam kebijakan deklaratif Anda. Untuk informasi selengkapnya, lihat [Didukung Layanan AWS dan atribut](orgs_manage_policies_declarative.md#orgs_manage_policies_declarative-supported-controls).
1. Pilih **Tambahkan atribut layanan**, dan konfigurasikan atribut ke spesifikasi Anda. Untuk informasi lebih rinci tentang setiap efek, lihat[Sintaks kebijakan deklaratif dan contoh](orgs_manage_policies_declarative_syntax.md).
1. Setelah selesai mengedit kebijakan, pilih **Buat kebijakan** di sudut kanan bawah laman.
------
#### [ AWS CLI & AWS SDKs ]
**Untuk membuat kebijakan deklaratif**
Anda dapat menggunakan salah satu dari berikut ini untuk membuat kebijakan deklaratif:
+ AWS CLI: [create-policy](https://docs.aws.amazon.com/cli/latest/reference/organizations/create-policy.html)
1. Buat kebijakan deklaratif seperti berikut ini, dan simpan dalam file teks.
```
{
"ec2_attributes": {
"image_block_public_access": {
"state": {
"@@assign": "block_new_sharing"
}
}
}
}
```
Kebijakan deklaratif ini menetapkan bahwa semua akun yang terpengaruh oleh kebijakan harus dikonfigurasi sehingga Amazon Machine Images (AMIs) baru tidak dapat dibagikan secara publik. Untuk informasi tentang sintaks kebijakan deklaratif, lihat. [Sintaks kebijakan deklaratif dan contoh](orgs_manage_policies_declarative_syntax.md)
1. Impor file kebijakan JSON untuk membuat kebijakan baru di organisasi. Dalam contoh ini, file JSON sebelumnya dinamai `policy.json`.
```
$ aws organizations create-policy \
--type DECLARATIVE_POLICY_EC2 \
--name "MyTestPolicy" \
--description "My test policy" \
--content file://policy.json
{
"Policy": {
"Content": "{"ec2_attributes":{"image_block_public_access":{"state":{"@@assign":"block_new_sharing"}}}}".
"PolicySummary": {
"Id": "p-i9j8k7l6m5"
"Arn": "arn:aws:organizations::o-aa111bb222:policy/declarative_policy_ec2/p-i9j8k7l6m5",
"Description": "My test policy",
"Name": "MyTestPolicy",
"Type": "DECLARATIVE_POLICY_EC2"
}
}
}
```
+ AWS SDKs: [CreatePolicy](https://docs.aws.amazon.com/organizations/latest/APIReference/API_CreatePolicy.html)
------
**Apa yang harus dilakukan selanjutnya**
Setelah Anda membuat kebijakan deklaratif, menilai kesiapan menggunakan [laporan status akun](orgs_manage_policies_declarative.md#orgs_manage_policies_declarative-account-status-report). Anda kemudian dapat menerapkan konfigurasi dasar Anda. Untuk melakukan itu, Anda dapat [melampirkan kebijakan](orgs_policies_attach.md) ke akar organisasi, unit organisasi (OUs), Akun AWS di dalam organisasi Anda, atau kombinasi dari semua itu.
## Buat kebijakan cadangan
**Izin minimum**
Untuk membuat kebijakan backup, Anda perlu izin untuk menjalankan tindakan-tindakan berikut:
`organizations:CreatePolicy`
------
#### [ Konsol Manajemen AWS ]
Anda dapat membuat kebijakan cadangan dengan Konsol Manajemen AWS salah satu dari dua cara:
+ Editor visual yang memungkinkan Anda memilih opsi dan menghasilkan teks kebijakan JSON untuk Anda.
+ Editor teks yang memungkinkan Anda langsung membuat teks kebijakan JSON sendiri.
Editor visual membuat prosesnya mudah, namun membatasi fleksibilitas Anda. Ini adalah cara yang bagus untuk membuat kebijakan pertama Anda dan merasa nyaman menggunakannya. Setelah Anda memahami cara kerjanya dan mulai dibatasi oleh apa yang disediakan editor visual, Anda dapat menambahkan fitur lanjutan ke kebijakan Anda dengan mengedit teks kebijakan JSON sendiri. Editor visual hanya menggunakan [operator pengaturan-nilai @@assign](policy-operators.md#value-setting-operators), dan tidak menyediakan akses apa pun ke [operator kontrol anak](policy-operators.md#child-control-operators). Anda dapat menambahkan operator kontrol anak hanya jika Anda mengedit teks kebijakan JSON secara manual.
**Untuk membuat kebijakan backup**
1. Masuk ke [konsol AWS Organizations](https://console.aws.amazon.com/organizations/v2). Anda harus masuk sebagai pengguna IAM, mengambil IAM role, atau masuk sebagai pengguna root ([tidak direkomendasikan](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials)) di akun pengelolaan organisasi.
1. Pada halaman **[Kebijakan Backup](https://console.aws.amazon.com/organizations/v2/home/policies/backup-policy)**, pilih **Buat Kebijakan**.
1. Pada halaman **Bua kebijakan**, masukkan ****Nama kebijakan**** dan **Deskripsi kebijakan** opsional.
1. (Opsional) Anda dapat menambahkan satu tag atau lebih ke kebijakan tersebut dengan memilih **Tambahkan tag** dan kemudian masukkan kunci dan nilai opsional. Membiarkan nilai kosong akan mengaturnya menjadi string kosong; itu bukan `null`. Anda dapat melampirkan hingga 50 tag ke kebijakan. Untuk informasi lebih lanjut tentang penandaan, lihat [Sumber daya penandaan AWS OrganizationsPertimbangan-pertimbangan](orgs_tagging.md).
1. Anda dapat membangun kebijakan dengan menggunakan **Editor visual** seperti yang diterangkan dalam prosedur ini. Anda juga dapat memasukkan atau menempelkan teks kebijakan di tab **JSON**. Untuk informasi tentang sintaksis kebijakan backup, lihat [Sintaksis kebijakan Backup dan contoh](orgs_manage_policies_backup_syntax.md).
Jika Anda memilih untuk menggunakan **Editor visual**, pilih opsi backup yang sesuai untuk skenario Anda. Sebuah paket backup terdiri dari tiga bagian. Untuk informasi selengkapnya tentang elemen-elemen paket backup ini, lihat [Membuat paket backup](https://docs.aws.amazon.com/aws-backup/latest/devguide/creating-a-backup-plan.html) dan [Menetapkan sumber daya](https://docs.aws.amazon.com/aws-backup/latest/devguide/assigning-resources.html) di *Panduan Developer AWS Backup *.
1. Detail umum paket Backup
+ **Nama paket Backup** dapat terdiri dari alfanumerik, tanda hubung, dan karakter garis bawah saja.
+ Anda harus memilih setidaknya satu **Wilayah paket Backup** dari daftar. Paket ini dapat mencadangkan sumber daya hanya dalam Wilayah AWS pilihan.
1. Satu atau lebih aturan backup yang menentukan bagaimana dan kapan AWS Backup beroperasi. Setiap aturan backup mendefinisikan item berikut:
+ Jadwal yang mencakup frekuensi backup dan jendela waktu di mana backup dapat terjadi.
+ Nama ruang penyimpanan backup yang akan digunakan. **Nama ruang penyimpanan Backup** dapat terdiri dari alfanumerik, tanda hubung, dan karakter garis bawah saja. Ruang penyimpanan backup harus ada sebelum paket dapat berhasil dijalankan. Buat lemari besi menggunakan AWS Backup konsol atau AWS CLI perintah.
+ (Opsional) Satu atau lebih **Salin ke wilayah** berlaku untuk juga menyalin backup ke ruang penyimpanan di Wilayah AWS lainnya.
+ Satu pasangan kunci dan nilai tag atau lebih yang akan dilampirkan ke titik pemulihan backup dibuat setiap kali paket backup ini berjalan.
+ Opsi siklus hidup yang menentukan kapan backup beralih ke penyimpanan dingin, dan saat backup habis masa berlakunya.
Pilih **Tambahkan aturan** untuk menambahkan setiap aturan yang Anda butuhkan pada paket.
Untuk informasi lebih lanjut tentang aturan backup, lihat [Aturan Backup](https://docs.aws.amazon.com/aws-backup/latest/devguide/creating-a-backup-plan.html#backup-rules) di *Panduan Developer AWS Backup *.
1. Sebuah tugas sumber daya yang menentukan sumber daya mana yang harus di-backup oleh AWS Backup dengan paket ini. Penugasan dibuat dengan menentukan pasangan tag yang AWS Backup digunakan untuk menemukan dan mencocokkan sumber daya
+ **Nama tugas sumber daya** dapat terdiri dari alfanumerik, tanda hubung, dan karakter garis bawah saja.
+ Tentukan **IAM role** untuk AWS Backup yang akan digunakan untuk melakukan backup dengan namanya.
Dalam konsol tersebut, Anda tidak menentukan seluruh Amazon Resource Name (ARN). Anda harus menyertakan nama peran dan prefiks-nya yang menentukan jenis peran. Prefiks biasanya `role` atau `service-role`, dan mereka terpisah dari nama peran dengan garis miring ('/'). Misalnya, Anda dapat memasukkan `role/MyRoleName` atau `service-role/MyManagedRoleName`. Ini kemudian dikonversi ke ARN penuh untuk Anda ketika disimpan dalam JSON mendasari.
**penting**
IAM role yang ditentukan harus sudah ada di akun yang padanya kebijakan diterapkan. Jika tidak, paket backup mungkin berhasil memulai tugas backup, tetapi tugas backup tersebut akan gagal.
+ Tentukan satu atau lebih pasangan **Kunci tag sumber daya** dan **Nilai tag** untuk mengidentifikasi sumber daya yang ingin Anda backup. Jika ada lebih dari satu nilai tag, pisahkan nilai-nilai tersebut dengan koma.
Pilih **Tambahkan tugas** untuk menambahkan setiap tugas sumber daya dikonfigurasi ke paket backup.
Untuk informasi lebih lanjut, lihat [Menetapkan Sumber Daya untuk Paket Backup](https://docs.aws.amazon.com/aws-backup/latest/devguide/create-a-scheduled-backup.html#assign-resources-to-plan) di *Panduan Developer AWS Backup *.
1. Setelah selesai membuat kebijakan, pilih **Buat kebijakan**. Kebijakan tersebut muncul di daftar kebijakan backup yang tersedia.
------
#### [ AWS CLI & AWS SDKs ]
**Untuk membuat kebijakan backup**
Anda menggunakan salah satu hal berikut untuk membuat kebijakan backup:
+ AWS CLI: [buat-kebijakan](https://docs.aws.amazon.com/cli/latest/reference/organizations/create-policy.html)
Buat paket backup sebagai teks JSON yang mirip dengan berikut ini, dan simpan dalam file teks. Untuk aturan lengkap untuk sintaksis, lihat [Sintaksis kebijakan Backup dan contoh](orgs_manage_policies_backup_syntax.md).
```
{
"plans": {
"PII_Backup_Plan": {
"regions": { "@@assign": [ "ap-northeast-2", "us-east-1", "eu-north-1" ] },
"rules": {
"Hourly": {
"schedule_expression": { "@@assign": "cron(0 5/1 ? * * *)" },
"start_backup_window_minutes": { "@@assign": "480" },
"complete_backup_window_minutes": { "@@assign": "10080" },
"lifecycle": {
"move_to_cold_storage_after_days": { "@@assign": "180" },
"delete_after_days": { "@@assign": "270" }
},
"target_backup_vault_name": { "@@assign": "FortKnox" },
"copy_actions": {
"arn:aws:backup:us-east-1:$account:backup-vault:secondary-vault": {
"lifecycle": {
"move_to_cold_storage_after_days": { "@@assign": "10" },
"delete_after_days": { "@@assign": "100" }
}
}
}
}
},
"selections": {
"tags": {
"datatype": {
"iam_role_arn": { "@@assign": "arn:aws:iam::$account:role/MyIamRole" },
"tag_key": { "@@assign": "dataType" },
"tag_value": { "@@assign": [ "PII" ] }
}
}
}
}
}
}
```
Rencana cadangan ini menetapkan bahwa AWS Backup harus mencadangkan semua sumber daya yang terpengaruh Akun AWS yang ada di yang ditentukan Wilayah AWS dan yang memiliki tag `dataType` dengan nilai`PII`.
Selanjutnya, impor paket backup file kebijakan JSON untuk membuat kebijakan backup baru dalam organisasi. Perhatikan ID kebijakan pada akhir ARN kebijakan dalam keluaran.
```
$ aws organizations create-policy \
--name "MyBackupPolicy" \
--type BACKUP_POLICY \
--description "My backup policy" \
--content file://policy.json{
"Policy": {
"PolicySummary": {
"Arn": "arn:aws:organizations::o-aa111bb222:policy/backup_policy/p-i9j8k7l6m5",
"Description": "My backup policy",
"Name": "MyBackupPolicy",
"Type": "BACKUP_POLICY"
}
"Content": "...a condensed version of the JSON policy document you provided in the file...",
}
}
```
+ AWS SDKs: [CreatePolicy](https://docs.aws.amazon.com/organizations/latest/APIReference/API_CreatePolicy.html)
------
## Buat kebijakan tag
**Izin minimum**
Untuk membuat kebijakan tag, Anda memerlukan izin untuk menjalankan tindakan-tindakan berikut:
`organizations:CreatePolicy`
Anda dapat membuat kebijakan tag Konsol Manajemen AWS dalam salah satu dari dua cara:
+ Editor visual yang memungkinkan Anda memilih opsi dan menghasilkan teks kebijakan JSON untuk Anda.
+ Editor teks yang memungkinkan Anda langsung membuat teks kebijakan JSON sendiri.
Editor visual membuat prosesnya mudah, namun membatasi fleksibilitas Anda. Ini adalah cara yang bagus untuk membuat kebijakan pertama Anda dan merasa nyaman menggunakannya. Setelah Anda memahami cara kerjanya dan mulai dibatasi oleh apa yang disediakan editor visual, Anda dapat menambahkan fitur lanjutan ke kebijakan Anda dengan mengedit teks kebijakan JSON sendiri. Editor visual hanya menggunakan [operator pengaturan-nilai @@assign](policy-operators.md#value-setting-operators), dan tidak menyediakan akses apa pun ke [operator kontrol anak](policy-operators.md#child-control-operators). Anda dapat menambahkan operator kontrol anak hanya jika Anda mengedit teks kebijakan JSON secara manual.
------
#### [ Konsol Manajemen AWS ]
Anda dapat membuat kebijakan tag Konsol Manajemen AWS dalam salah satu dari dua cara:
+ Editor visual yang memungkinkan Anda memilih opsi dan menghasilkan teks kebijakan JSON untuk Anda.
+ Editor teks yang memungkinkan Anda langsung membuat teks kebijakan JSON sendiri.
Editor visual membuat prosesnya mudah, namun membatasi fleksibilitas Anda. Ini adalah cara yang bagus untuk membuat kebijakan pertama Anda dan merasa nyaman menggunakannya. Setelah Anda memahami cara kerjanya dan mulai dibatasi oleh apa yang disediakan editor visual, Anda dapat menambahkan fitur lanjutan ke kebijakan Anda dengan mengedit teks kebijakan JSON sendiri. Editor visual hanya menggunakan [operator pengaturan-nilai @@assign](policy-operators.md#value-setting-operators), dan tidak menyediakan akses apa pun ke [operator kontrol anak](policy-operators.md#child-control-operators). Anda dapat menambahkan operator kontrol anak hanya jika Anda mengedit teks kebijakan JSON secara manual.
**Untuk membuat kebijakan tag**
1. Masuk ke [konsol AWS Organizations](https://console.aws.amazon.com/organizations/v2). Anda harus masuk sebagai pengguna IAM, mengambil IAM role, atau masuk sebagai pengguna root ([tidak direkomendasikan](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials)) di akun pengelolaan organisasi.
1. Pada halaman **[Kebijakan tag](https://console.aws.amazon.com/organizations/v2/home/policies/tag-policy)**, pilih **Buat Kebijakan**.
1. Pada halaman **Bua kebijakan**, masukkan ****Nama kebijakan**** dan **Deskripsi kebijakan** opsional.
1. (Opsional) Anda dapat menambahkan satu tag atau lebih ke objek kebijakan itu sendiri. Tag tersebut bukan bagian dari kebijakan. Untuk melakukan ini, pilih **Tambahkan tag** dan kemudian masukkan nilai kunci dan nilai opsional. Membiarkan nilai kosong akan mengaturnya menjadi string kosong; itu bukan `null`. Anda dapat melampirkan hingga 50 tag ke kebijakan. Untuk informasi lebih lanjut, lihat [Sumber daya penandaan AWS OrganizationsPertimbangan-pertimbangan](orgs_tagging.md).
1. Anda dapat membangun kebijakan tag dengan menggunakan **Editor visual** seperti yang diterangkan dalam prosedur ini. Anda juga dapat mengetik atau menempelkan kebijakan tag di tab **JSON**. Untuk informasi selengkapnya tentang sintaks kebijakan tag, lihat [Sintaks kebijakan tag](orgs_manage_policies_example-tag-policies.md#tag-policy-syntax-reference).
Jika Anda memilih untuk menggunakan **editor Visual**, tentukan yang berikut ini:
1. Untuk **Kunci tag baru 1**, tentukan nama kunci tag yang akan ditambahkan.
1. Untuk **Opsi Kepatuhan** Anda dapat memilih opsi berikut:
1. **Gunakan kapitalisasi yang telah Anda tentukan di atas untuk kunci tag** — biarkan opsi ini dihapus (default) untuk menentukan bahwa kebijakan tag induk yang diwariskan, jika ada, harus menentukan perlakuan kasus untuk kunci tag.
Aktifkan opsi ini jika Anda ingin mengamanatkan kapitalisasi khusus untuk kunci tag dengan menggunakan kebijakan ini. Jika Anda memilih pilihan ini, kapitalisasi yang Anda tentukan untuk **Kunci Tag** akan mengganti perlakuan kasus yang ditentukan dalam kebijakan induk yang diwariskan.
Jika kebijakan induk tidak ada dan Anda tidak mengaktifkan opsi ini, hanya kunci tag di semua karakter huruf kecil yang dianggap sesuai. Untuk informasi selengkapnya tentang warisan dari kebijakan induk, lihat [Memahami warisan kebijakan manajemen](orgs_manage_policies_inheritance_mgmt.md).
**Tip**
Pertimbangkan untuk menggunakan kebijakan tag contoh yang ditampilkan di [Contoh 1: Tentukan kasus kunci tag di seluruh organisasi](orgs_manage_policies_example-tag-policies.md#tag-policy-example-key-case) sebagai panduan dalam membuat kebijakan tag yang menentukan kunci tag dan perlakuan kasusnya. Lampirkan kebijakan tag ke organisasi root. Kemudian, Anda dapat membuat dan melampirkan kebijakan tag tambahan ke OUs atau akun untuk membuat aturan penandaan tambahan.
1. **Tentukan nilai yang diizinkan untuk kunci tag ini** — aktifkan opsi ini jika Anda ingin menambahkan nilai yang diizinkan untuk kunci tag ini ke nilai apa pun yang diwarisi dari kebijakan induk.
Secara default, opsi ini dihapus, yang berarti bahwa hanya nilai-nilai yang didefinisikan dalam dan diwarisi dari kebijakan induk yang dianggap patuh. Jika kebijakan induk tidak ada dan Anda tidak menentukan nilai tag maka nilai apapun (termasuk tidak ada nilai sama sekali) akan dianggap patuh.
Untuk memperbarui daftar nilai tag yang dapat diterima, pilih **Tentukan nilai yang diizinkan untuk kunci tag ini** lalu pilih **Tentukan nilai**. Saat diminta, masukkan nilai baru (satu nilai per kotak), dan kemudian pilih **Simpan perubahan**.
1. **Untuk jenis Sumber Daya yang akan diterapkan**, Anda dapat memilih **Mencegah operasi yang tidak sesuai untuk** tag ini.
Kami menyarankan agar Anda membiarkan opsi ini dihapus (default) kecuali Anda berpengalaman menggunakan kebijakan tag. Pastikan Anda telah meninjau rekomendasi di [Menegakkan konsistensi penandaan](orgs_manage_policies_tag-policies-enforcement.md), dan uji secara menyeluruh. Jika tidak, Anda dapat mencegah pengguna di akun organisasi Anda dari menandai sumber daya yang mereka butuhkan.
Jika Anda ingin menerapkan kepatuhan dengan kunci tag ini, pilih kotak centang dan kemudian **Tentukan jenis sumber daya**. Saat diminta, pilih jenis sumber daya untuk disertakan dalam kebijakan. Lalu pilih **Simpan perubahan**.
**penting**
Ketika Anda memilih opsi ini, setiap operasi yang memanipulasi tag untuk sumber daya dari jenis tertentu hanya akan berhasil jika hasil operasi dalam tag patuh dengan kebijakan.
1. (Opsional) Untuk menambahkan kunci tag lain ke kebijakan tag ini, pilih **Tambahkan kunci tag**. Kemudian lakukan langkah 6–9 untuk menentukan kunci tag.
1. Setelah selesai membuat kebijakan tag, pilih **Simpan perubahan**.
------
#### [ AWS CLI & AWS SDKs ]
**Untuk membuat kebijakan tag**
Anda dapat menggunakan salah satu hal berikut untuk membuat kebijakan tag:
+ AWS CLI: [buat-kebijakan](https://docs.aws.amazon.com/cli/latest/reference/organizations/create-policy.html)
Anda dapat menggunakan editor teks apa pun untuk membuat sebuah kebijakan tag. Gunakan sintaks JSON dan simpan kebijakan tag sebagai file dengan nama dan ekstensi di lokasi yang Anda pilih. Kebijakan tag dapat terdiri dari maksimum 2.500 karakter, termasuk spasi. Untuk informasi selengkapnya tentang sintaks kebijakan tag, lihat [Sintaks kebijakan tag](orgs_manage_policies_example-tag-policies.md#tag-policy-syntax-reference).
**Untuk membuat kebijakan tag**
1. Membuat kebijakan tag dalam file teks yang terlihat serupa dengan berikut ini:
Isi dari `testpolicy.json`:
```
{
"tags": {
"CostCenter": {
"tag_key": {
"@@assign": "CostCenter"
}
}
}
}
```
Kebijakan tag ini menentukan kunci tag `CostCenter`. Tag dapat menerima nilai apapun atau bahkan tanpa nilai. Kebijakan seperti ini berarti bahwa sumber daya yang memiliki CostCenter tag yang dilampirkan dengan atau tanpa nilai sesuai.
1. Membuat kebijakan yang berisi konten kebijakan dari file. Spasi kosong ekstra dalam keluaran telah dipotong agar lebih mudah dibaca.
```
$ aws organizations create-policy \
--name "MyTestTagPolicy" \
--description "My Test policy" \
--content file://testpolicy.json \
--type TAG_POLICY
{
"Policy": {
"PolicySummary": {
"Id": "p-a1b2c3d4e5",
"Arn": "arn:aws:organizations::123456789012:policy/o-aa111bb222/tag_policy/p-a1b2c3d4e5",
"Name": "MyTestTagPolicy",
"Description": "My Test policy",
"Type": "TAG_POLICY",
"AwsManaged": false
},
"Content": "{\n\"tags\":{\n\"CostCenter\":{\n\"tag_key\":{\n\"@@assign\":\"CostCenter\"\n}\n}\n}\n}\n\n"
}
}
```
+ AWS SDKs: [CreatePolicy](https://docs.aws.amazon.com/organizations/latest/APIReference/API_CreatePolicy.html)
------
## Buat kebijakan aplikasi obrolan
**Izin minimum**
Untuk membuat kebijakan aplikasi obrolan, Anda memerlukan izin untuk menjalankan tindakan berikut:
`organizations:CreatePolicy`
------
#### [ Konsol Manajemen AWS ]
Anda dapat membuat kebijakan aplikasi obrolan Konsol Manajemen AWS di salah satu dari dua cara:
+ Editor visual yang memungkinkan Anda memilih opsi dan menghasilkan teks kebijakan JSON untuk Anda.
+ Editor teks yang memungkinkan Anda langsung membuat teks kebijakan JSON sendiri.
Editor visual membuat prosesnya mudah, namun membatasi fleksibilitas Anda. Ini adalah cara yang bagus untuk membuat kebijakan pertama Anda dan merasa nyaman menggunakannya. Setelah Anda memahami cara kerjanya dan mulai dibatasi oleh apa yang disediakan editor visual, Anda dapat menambahkan fitur lanjutan ke kebijakan Anda dengan mengedit teks kebijakan JSON sendiri. Editor visual hanya menggunakan [operator pengaturan-nilai @@assign](policy-operators.md#value-setting-operators), dan tidak menyediakan akses apa pun ke [operator kontrol anak](policy-operators.md#child-control-operators). Anda dapat menambahkan operator kontrol anak hanya jika Anda mengedit teks kebijakan JSON secara manual.
**Untuk membuat kebijakan aplikasi obrolan**
1. Masuk ke [konsol AWS Organizations](https://console.aws.amazon.com/organizations/v2). Anda harus masuk sebagai pengguna IAM, mengambil IAM role, atau masuk sebagai pengguna root ([tidak direkomendasikan](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials)) di akun pengelolaan organisasi.
1. Pada halaman **[Kebijakan Chatbot, pilih **Buat** kebijakan](https://console.aws.amazon.com/organizations/v2/home/policies/chatbot-policy)**.
1. Pada [halaman **kebijakan Buat aplikasi obrolan baru**](https://console.aws.amazon.com/organizations/v2/home/policies/chatbot-policy/create), masukkan **nama Kebijakan** dan **deskripsi Kebijakan** opsional.
1. (Opsional) Anda dapat menambahkan satu tag atau lebih ke kebijakan tersebut dengan memilih **Tambahkan tag** dan kemudian masukkan kunci dan nilai opsional. Membiarkan nilai kosong akan mengaturnya menjadi string kosong; itu bukan `null`. Anda dapat melampirkan hingga 50 tag ke kebijakan. Untuk informasi selengkapnya, lihat [Sumber daya penandaan AWS OrganizationsPertimbangan-pertimbangan](orgs_tagging.md).
1. Anda dapat membangun kebijakan dengan menggunakan **Editor visual** seperti yang diterangkan dalam prosedur ini. Anda juga dapat memasukkan atau menempelkan teks kebijakan di tab **JSON**. Untuk informasi tentang sintaks kebijakan aplikasi obrolan, lihat[Sintaks kebijakan aplikasi obrolan dan contoh](orgs_manage_policies_chatbot_syntax.md).
Jika Anda memilih untuk menggunakan **editor Visual**, konfigurasikan kebijakan aplikasi obrolan Anda dengan menentukan kontrol akses untuk klien obrolan.
1. Pilih salah satu yang berikut untuk **Atur akses klien obrolan Amazon Chime**
+ Tolak akses lonceng.
+ Izinkan akses Chime.
1. Pilih yang berikut ini untuk **Mengatur akses klien obrolan Microsoft Teams**
+ Tolak akses ke semua Tim
+ Izinkan akses ke semua Tim
+ Membatasi akses ke Tim bernama
1. Pilih salah satu dari berikut untuk **Set Slack chat client access**
+ Tolak akses ke semua ruang kerja Slack
+ Izinkan akses ke semua ruang kerja Slack
+ Batasi akses ke worksapces Slack bernama
**catatan**
Selain itu, Anda dapat memilih **Batasi Amazon Q Developer dalam penggunaan aplikasi obrolan hanya untuk saluran Slack pribadi**.
1. Pilih opsi berikut untuk **Mengatur jenis izin IAM**
+ **Aktifkan peran IAM tingkat Saluran** — Semua anggota saluran membagikan izin peran IAM untuk menjalankan tugas di saluran. Peran saluran sesuai jika anggota saluran memerlukan izin yang sama.
+ **Aktifkan peran IAM tingkat Pengguna** — Anggota saluran harus memilih peran pengguna IAM untuk melakukan tindakan (Memerlukan akses Konsol untuk memilih peran). Peran pengguna dapat diterapkan jika anggota saluran memerlukan izin yang berbeda dan dapat memilih peran pengguna mereka.
1. Setelah selesai membuat kebijakan, pilih **Buat kebijakan**. Kebijakan tersebut muncul di daftar kebijakan pencadangan chatbot Anda.
------
#### [ AWS CLI & AWS SDKs ]
**Untuk membuat kebijakan aplikasi obrolan**
Anda dapat menggunakan salah satu dari berikut ini untuk membuat kebijakan aplikasi obrolan:
+ AWS CLI: [create-policy](https://docs.aws.amazon.com/cli/latest/reference/organizations/create-policy.html)
Anda dapat menggunakan editor teks apa pun untuk membuat kebijakan aplikasi obrolan. Gunakan sintaks JSON dan simpan kebijakan aplikasi obrolan sebagai file dengan nama dan ekstensi apa pun di lokasi yang Anda pilih. Kebijakan aplikasi obrolan dapat memiliki maksimum? karakter, termasuk spasi. Untuk informasi selengkapnya tentang sintaks kebijakan tag, lihat [Sintaks kebijakan aplikasi obrolan dan contoh](orgs_manage_policies_chatbot_syntax.md).
**Untuk membuat kebijakan aplikasi obrolan**
1. Buat kebijakan aplikasi obrolan dalam file teks yang terlihat mirip dengan berikut ini:
Isi dari `testpolicy.json`:
```
{
"chatbot": {
"platforms": {
"slack": {
"client": {
"@@assign": "enabled"
},
"workspaces": {
"@@assign": [
"Slack-Workspace-Id"
]
},
"default": {
"supported_channel_types": {
"@@assign": [
"private"
]
}
}
},
"microsoft_teams": {
"client": {
"@@assign": "disabled"
}
}
}
}
}
```
Kebijakan aplikasi obrolan ini hanya mengizinkan saluran Slack pribadi di ruang kerja tertentu, menonaktifkan Microsoft Teams, dan mendukung [semua](https://docs.aws.amazon.com/chatbot/latest/adminguide/understanding-permissions.html#role-settings) pengaturan peran.
1. Membuat kebijakan yang berisi konten kebijakan dari file. Spasi kosong ekstra dalam keluaran telah dipotong agar lebih mudah dibaca.
```
$ aws organizations create-policy \
--name "MyTestChatbotPolicy" \
--description "My Test policy" \
--content file://testpolicy.json \
--type CHATBOT_POLICY
{
"Policy": {
"PolicySummary": {
"Id": "p-a1b2c3d4e5",
"Arn": "arn:aws:organizations::123456789012:policy/o-aa111bb222/chatbot_policy/p-a1b2c3d4e5",
"Name": "MyTestChatApplicationsPolicy",
"Description": "My Test policy",
"Type": "CHATBOT_POLICY",
"AwsManaged": false
},
"Content": "{"chatbot":{"platforms":{"slack":{"client":{"@@assign":"enabled"},"workspaces":{"@@assign":["Slack-Workspace-Id"]},"supported_channel_types":{"@@assign":["private"]}},"microsoft_teams":{"client":{"@@assign":"disabled"}}}}}"
}
}
```
+ AWS SDKs: [CreatePolicy](https://docs.aws.amazon.com/organizations/latest/APIReference/API_CreatePolicy.html)
------
## Buat kebijakan opt-out layanan AI
**Izin minimum**
Untuk membuat kebijakan berhenti berlangganan layanan AI, Anda perlu izin untuk melakukan tindakan-tindakan berikut:
`organizations:CreatePolicy`
------
#### [ Konsol Manajemen AWS ]
**Untuk membuat kebijakan berhenti berlangganan layanan AI**
1. Masuk ke [konsol AWS Organizations](https://console.aws.amazon.com/organizations/v2). Anda harus masuk sebagai pengguna IAM, mengambil IAM role, atau masuk sebagai pengguna root ([tidak direkomendasikan](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials)) di akun pengelolaan organisasi.
1. Pada laman **[Kebijakan berhenti berlangganan layanan AI](https://console.aws.amazon.com/organizations/v2/home/policies/aiservices-opt-out-policy)**, pilih **Buat kebijakan**.
1. Pada laman [https://console.aws.amazon.com/organizations/v2/home/policies/aiservices-opt-out-policy/create](https://console.aws.amazon.com/organizations/v2/home/policies/aiservices-opt-out-policy/create), masukkan **Nama kebijakan** dan **Deskripsi kebijakan** opsional.
1. (Opsional) Anda dapat menambahkan satu tag atau lebih ke kebijakan tersebut dengan memilih **Tambahkan tag** dan kemudian masukkan kunci dan nilai opsional. Membiarkan nilai kosong akan mengaturnya menjadi string kosong; itu bukan `null`. Anda dapat melampirkan hingga 50 tag ke kebijakan. Untuk informasi lebih lanjut, lihat [Sumber daya penandaan AWS OrganizationsPertimbangan-pertimbangan](orgs_tagging.md).
1. Masukkan atau tempel teks kebijakan di tab **JSON**. Untuk informasi tentang sintaks kebijakan berhenti berlangganan layanan AI, lihat [Sintaks dan contoh kebijakan berhenti berlangganan layanan AI](orgs_manage_policies_ai-opt-out_syntax.md). Untuk contoh kebijakan yang dapat Anda gunakan sebagai titik awal, lihat [Sintaks dan contoh kebijakan berhenti berlangganan layanan AI](orgs_manage_policies_ai-opt-out_syntax.md#ai-opt-out-policy-examples).
1. Setelah selesai mengedit kebijakan, pilih **Buat kebijakan** di sudut kanan bawah laman.
------
#### [ AWS CLI & AWS SDKs ]
**Untuk membuat kebijakan berhenti berlangganan layanan AI**
Anda dapat menggunakan salah satu hal berikut untuk membuat kebijakan tag:
+ AWS CLI: [create-policy](https://docs.aws.amazon.com/cli/latest/reference/organizations/create-policy.html)
1. Buat kebijakan berhenti berlangganan layanan AI seperti berikut, dan simpan dalam file teks. Perhatikan bahwa "`optOut`" dan "`optIn`" peka huruf besar dan kecil.
```
{
"services": {
"default": {
"opt_out_policy": {
"@@assign": "optOut"
}
},
"rekognition": {
"opt_out_policy": {
"@@assign": "optIn"
}
}
}
}
```
Kebijakan berhenti berlangganan layanan AI ini menetapkan bahwa semua akun yang terpengaruh oleh kebijakan dapat berhenti berlangganan semua layanan AI kecuali untuk Amazon Rekognition.
1. Impor file kebijakan JSON untuk membuat kebijakan baru di organisasi. Dalam contoh ini, file JSON sebelumnya dinamai `policy.json`.
```
$ aws organizations create-policy \
--type AISERVICES_OPT_OUT_POLICY \
--name "MyTestPolicy" \
--description "My test policy" \
--content file://policy.json
{
"Policy": {
"Content": "{\"services\":{\"default\":{\"opt_out_policy\":{\"@@assign\":\"optOut\"}},\"rekognition\":{\"opt_out_policy\":{\"@@assign\":\"optIn\"}}}}",
"PolicySummary": {
"Id": "p-i9j8k7l6m5"
"Arn": "arn:aws:organizations::o-aa111bb222:policy/aiservices_opt_out_policy/p-i9j8k7l6m5",
"Description": "My test policy",
"Name": "MyTestPolicy",
"Type": "AISERVICES_OPT_OUT_POLICY"
}
}
}
```
+ AWS SDKs: [CreatePolicy](https://docs.aws.amazon.com/organizations/latest/APIReference/API_CreatePolicy.html)
------
## Membuat kebijakan peluncuran pemutakhiran
**Izin minimum**
Untuk membuat kebijakan peluncuran upgrade, Anda memerlukan izin untuk menjalankan tindakan berikut:
`organizations:CreatePolicy`
------
#### [ Konsol Manajemen AWS ]
**Untuk membuat kebijakan peluncuran upgrade**
1. Masuk ke [konsol AWS Organizations](https://console.aws.amazon.com/organizations/v2). Anda harus masuk sebagai pengguna IAM, mengambil IAM role, atau masuk sebagai pengguna root ([tidak direkomendasikan](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials)) di akun pengelolaan organisasi.
1. Pada halaman **[Kebijakan peluncuran upgrade, pilih **Buat** kebijakan](https://console.aws.amazon.com/organizations/v2/home/policies/upgrade-rollout-policy)**.
1. **Pada [halaman **Membuat kebijakan peluncuran upgrade baru**](https://console.aws.amazon.com/organizations/v2/home/policies/declarative-policy-ec2/create), masukkan **nama Kebijakan dan deskripsi Kebijakan** opsional.**
1. (Opsional) Anda dapat menambahkan satu tag atau lebih ke kebijakan tersebut dengan memilih **Tambahkan tag** dan kemudian masukkan kunci dan nilai opsional. Membiarkan nilai kosong akan mengaturnya menjadi string kosong; itu bukan `null`. Anda dapat melampirkan hingga 50 tag ke kebijakan. Untuk informasi selengkapnya, lihat [Sumber daya penandaan AWS OrganizationsPertimbangan-pertimbangan](orgs_tagging.md).
1. Anda dapat membangun kebijakan dengan menggunakan **Editor visual** seperti yang diterangkan dalam prosedur ini. Anda juga dapat memasukkan atau menempelkan teks kebijakan di tab **JSON**. Untuk informasi selengkapnya, lihat [Tingkatkan sintaks kebijakan peluncuran dan contoh](orgs_manage_policies_upgrade_syntax.md).
Jika Anda memilih untuk menggunakan **editor Visual**, pilih urutan pemutakhiran yang ingin Anda gunakan untuk kebijakan peluncuran pemutakhiran Anda. Untuk informasi selengkapnya tentang upgrade order, lihat[Apa itu kebijakan peluncuran upgrade?](orgs_manage_policies_upgrade_rollout.md#orgs_manage_policies_upgrade_rollout_what_are).
1. Di bawah **Urutan kebijakan dan sumber daya**, pilih **Pertama**, **Kedua**, atau **Terakhir** dari menu.
1. (Opsional) Untuk menargetkan sumber daya individu dengan kebijakan ini, **pilih Ganti sumber daya tertentu**, lalu lakukan hal berikut:
1. Di **Kunci**, masukkan nama sumber daya yang ingin Anda timpa.
1. Di **Value**, masukkan ARN untuk sumber daya.
1. Dalam **urutan Upgrade**, pilih urutan pilihan yang harus diterapkan ke sumber daya ini.
1. Jika sumber daya tambahan perlu ditentukan, pilih **Tambahkan tag**, lalu ulangi langkah sebelumnya untuk menentukan kunci tag.
1. Setelah selesai mengedit kebijakan, pilih **Buat kebijakan** di sudut kanan bawah laman.
Kebijakan baru Anda muncul dalam daftar kebijakan peluncuran pemutakhiran. Anda sekarang dapat [melampirkan kebijakan Anda ke root, OUs, atau akun](orgs_policies_attach.md).
------
#### [ AWS CLI & AWS SDKs ]
**Untuk membuat kebijakan peluncuran upgrade**
Anda dapat menggunakan salah satu dari berikut ini untuk membuat kebijakan peluncuran upgrade:
+ AWS CLI: [create-policy](https://docs.aws.amazon.com/cli/latest/reference/organizations/create-policy.html)
1. Buat kebijakan peluncuran upgrade seperti berikut ini, dan simpan dalam file teks.
```
{
"upgrade_rollout": {
"default": {
"patch_order": {
"@@assign": "last"
}
},
"tags": {
"my_patch_order_tag": {
"tag_values": {
"tag1": {
"patch_order": {
"@@assign": "first"
}
},
"tag2": {
"patch_order": {
"@@assign": "second"
}
},
"tag3": {
"patch_order": {
"@@assign": "last"
}
}
}
}
}
}
}
```
Kebijakan peluncuran pemutakhiran ini menentukan urutan bagaimana AWS layanan menerapkan peningkatan otomatis di seluruh sumber daya Anda. Untuk informasi tentang sintaks kebijakan peluncuran upgrade, lihat. [Tingkatkan sintaks kebijakan peluncuran dan contoh](orgs_manage_policies_upgrade_syntax.md)
1. Impor file kebijakan JSON untuk membuat kebijakan baru di organisasi. Dalam contoh ini, file JSON sebelumnya dinamai `policy.json`.
```
$ aws organizations create-policy \
--type UPGRADE_ROLLOUT_POLICY \
--name "MyTestPolicy" \
--description "My test policy" \
--content file://policy.json
{
"Policy": {
"PolicySummary": {
"Id": "p-i9j8k7l6m5",
"Arn": "arn:aws:organizations::123456789012:policy/o-aa111bb222/upgrade_rollout_policy/p-i9j8k7l6m5",
"Name": "MyTestPolicy",
"Description": "My test policy",
"Type": "UPGRADE_ROLLOUT_POLICY",
"AwsManaged": false
},
"Content": "{\n \"upgrade_rollout\": {\n \"default\": {\n \"patch_order\": {\n \"@@assign\": \"last\"\n }\n },\n \"tags\": {\n \"my_patch_order_tag\": {\n \"tag_values\": {\n \"tag1\": {\n \"patch_order\": {\n \"@@assign\": \"first\"\n }\n },\n \"tag2\": {\n \"patch_order\": {\n \"@@assign\": \"second\"\n }\n },\n \"tag3\": {\n \"patch_order\": {\n \"@@assign\": \"last\"\n }\n }\n }\n }\n }\n }\n}\n"
}
}
```
+ AWS SDKs: [CreatePolicy](https://docs.aws.amazon.com/organizations/latest/APIReference/API_CreatePolicy.html)
------
## Membuat kebijakan Security Hub
**Izin minimum**
Untuk membuat kebijakan Security Hub, Anda memerlukan izin untuk menjalankan tindakan berikut:
`organizations:CreatePolicy`
------
#### [ Konsol Manajemen AWS ]
**Untuk membuat kebijakan Security Hub**
1. Masuk ke [konsol AWS Organizations](https://console.aws.amazon.com/organizations/v2). Anda harus masuk sebagai pengguna IAM, mengambil IAM role, atau masuk sebagai pengguna root ([tidak direkomendasikan](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials)) di akun pengelolaan organisasi.
1. Pada halaman **[kebijakan Security Hub](https://console.aws.amazon.com/organizations/v2/home/policies/securityhub-policy)**, pilih **Buat kebijakan**.
1. Pada [halaman **kebijakan Buat Security Hub baru**](https://console.aws.amazon.com/organizations/v2/home/policies/securityhub-policy/create), masukkan **nama Kebijakan** dan **deskripsi Kebijakan** opsional.
1. (Opsional) Anda dapat menambahkan satu tag atau lebih ke kebijakan tersebut dengan memilih **Tambahkan tag** dan kemudian masukkan kunci dan nilai opsional. Membiarkan nilai kosong akan mengaturnya menjadi string kosong; itu bukan `null`. Anda dapat melampirkan hingga 50 tag ke kebijakan. Untuk informasi selengkapnya, lihat [Sumber daya penandaan AWS OrganizationsPertimbangan-pertimbangan](orgs_tagging.md).
1. Masukkan atau tempel teks kebijakan di kotak kode JSON. Untuk informasi tentang sintaks kebijakan Security Hub, lihat[Sintaks kebijakan Security Hub dan contoh](orgs_manage_policies_security_hub_syntax.md). Untuk contoh kebijakan yang dapat Anda gunakan sebagai titik awal, lihat [Contoh kebijakan Security Hub](orgs_manage_policies_security_hub_syntax.md#security-hub-policy-examples).
1. Setelah selesai mengedit kebijakan, pilih **Buat kebijakan** di sudut kanan bawah laman.
------
#### [ AWS CLI & AWS SDKs ]
**Untuk membuat kebijakan Security Hub**
Anda dapat menggunakan salah satu dari berikut ini untuk membuat kebijakan Security Hub:
+ AWS CLI: [create-policy](https://docs.aws.amazon.com/cli/latest/reference/organizations/create-policy.html)
**Contoh: Membuat kebijakan yang mengaktifkan Security Hub di semua Wilayah yang didukung**
Contoh berikut mengasumsikan bahwa Anda memiliki sebuah file bernama `testPolicy_enableAllSupportedRegions.json` dengan teks kebijakan JSON di dalamnya. Ini menggunakan file itu untuk membuat kebijakan Security Hub baru.
```
$ aws organizations create-policy \
--content file://./testPolicy_enableAllSupportedRegions.json \
--name "testPolicy_enableAllSupportedRegions" \
--description "Test policy to enable securityhub in ALL_SUPPORTED Regions" \
--type SECURITYHUB_POLICY
{
"Policy": {
"PolicySummary": {
"Id": "p-66ev7hgcvj",
"Arn": "arn:aws:organizations::123456789012:policy/o-aa111bb222/securityhub_policy/p-66ev7hgcvj",
"Name": "testPolicy_enableAllSupportedRegions",
"Description": "Test policy to enable securityhub in ALL_SUPPORTED Regions",
"Type": "SECURITYHUB_POLICY",
"AwsManaged": false
},
"Content": "{\n \"securityhub\": {\n \"enable_in_regions\": {\n \"@@assign\":[\n \"ALL_SUPPORTED\"\n ]\n },\n \"disable_in_regions\": {\n \"@@assign\":[]\n }\n }\n}\n"
}
}
```
**Contoh: Membuat kebijakan yang mengaktifkan Security Hub di semua Wilayah yang didukung tetapi nonaktifkan di Wilayah us-east-1**
Contoh berikut mengasumsikan bahwa Anda memiliki sebuah file bernama `testPolicy_enableAllSupportedRegions_Disable_us-east-1.json` dengan teks kebijakan JSON di dalamnya. Ini menggunakan file itu untuk membuat kebijakan Security Hub baru.
```
$ aws organizations create-policy \
--content file://./testPolicy_enableAllSupportedRegions_Disable_us-east-1.json \
--name "testPolicy_enableAllSupportedRegions_Disable_us-east-1" \
--description "Test policy to enable securityhub in ALL_SUPPORTED Regions but disable in us-east-1 Region" \
--type SECURITYHUB_POLICY
{
"Policy": {
"PolicySummary": {
"Id": "p-66217dwpos",
"Arn": "arn:aws:organizations::123456789012:policy/o-aa111bb222/securityhub_policy/p-66217dwpos",
"Name": "testPolicy_enableAllSupportedRegions_Disable_us-east-1",
"Description": "Test policy to enable securityhub in ALL_SUPPORTED Regions but disable in us-east-1 Region",
"Type": "SECURITYHUB_POLICY",
"AwsManaged": false
},
"Content": "{\n \"securityhub\": {\n \"enable_in_regions\": {\n \"@@assign\":[\n \"ALL_SUPPORTED\"\n ]\n },\n \"disable_in_regions\": {\n \"@@assign\":[\n \"us-east-1\"\n ]\n }\n }\n}\n"
}
}
```
+ AWS SDKs: [CreatePolicy](https://docs.aws.amazon.com/organizations/latest/APIReference/API_CreatePolicy.html)
------