本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# 使用更新组织政策 AWS Organizations
当策略要求发生变化时,您可以更新现有策略。
本主题介绍如何使用更新策略 AWS Organizations。*策略*定义了您要应用于一组的控制措施 AWS 账户。
**Topics**
+ [更新服务控制策略(SCP)](#update_policy)
+ [更新资源控制策略(RCP)](#update_policy-rcp)
+ [更新声明性策略](#update-declarative-policy-procedure)
+ [更新备份策略](#update-backup-policy-procedure)
+ [更新标签策略](#update-tag-policy-procedure)
+ [更新聊天应用程序政策](#update-chatbot-policy-procedure)
+ [更新 AI 服务选择退出策略](#update-ai-opt-out-policy-procedure)
+ [更新 Security Hub 策略](#update-security-hub-policy-procedure)
## 更新服务控制策略(SCP)
当登录到您组织的管理账户后,您可以重命名或更改策略内容。更改 SCP 的内容会立即影响所有附加账户中的任何用户、组和角色。
**最小权限**
若要更新 SCP,您需要运行以下操作的权限:
`organizations:UpdatePolicy`,且同一条策略语句中有一个 `Resource` 元素包含所指定策略的 ARN(或“\$1”)。
`organizations:DescribePolicy`,且同一条策略语句中有一个 `Resource` 元素包含所指定策略的 ARN(或“\$1”)。
------
#### [ AWS 管理控制台 ]
**更新策略**
1. 登录 [AWS Organizations 控制台](https://console.aws.amazon.com/organizations/v2)。您必须以 IAM 用户的身份登录,担任 IAM 角色;或在组织的管理账户中以根用户的身份登录([不推荐](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials))。
1. 在**[服务控制策略](https://console.aws.amazon.com/organizations/v2/home/policies/service-control-policy)**页面上,选择要更新的策略的名称。
1. 在策略的详细信息页面上,选择 **Edit policy (编辑策略)**。
1. 进行以下任何或全部更改:
+ 您可以通过在 **Policy name (策略名称)** 中输入新名称来重命名策略。
+ 您可以通过在 **Policy description (策略说明)** 中输入新文本来更改策略说明。
+ 您可以通过在左窗格中以 JSON 格式编辑策略来编辑策略文本。或者,您可以在右侧的编辑器中选择一个语句,然后使用控件更改其元素。有关每个控件的详细信息,请参阅本主题前面的[创建 SCP 过程](orgs_policies_create.md#create-an-scp)。
1. 完成后,选择**保存更改**。
------
#### [ AWS CLI & AWS SDKs ]
**更新策略**
可以使用以下命令之一来更新策略:
+ AWS CLI:[update-policy](https://docs.aws.amazon.com/cli/latest/reference/organizations/update-policy.html)
以下示例重命名策略。
```
$ aws organizations update-policy \
--policy-id p-i9j8k7l6m5 \
--name "MyRenamedPolicy"
{
"Policy": {
"PolicySummary": {
"Id": "p-i9j8k7l6m5",
"Arn": "arn:aws:organizations::123456789012:policy/o-aa111bb222/service_control_policy/p-i9j8k7l6m5",
"Name": "MyRenamedPolicy",
"Description": "Blocks all IAM actions",
"Type": "SERVICE_CONTROL_POLICY",
"AwsManaged": false
},
"Content": "{\"Version\":\"2012-10-17\", \"Statement\":[{\"Sid\":\"Statement1\",\"Effect\":\"Deny\",\"Action\":[\"iam:*\"],\"Resource\":[\"*\"]}]}"
}
}
```
以下示例添加或更改服务控制策略的说明。
```
$ aws organizations update-policy \
--policy-id p-i9j8k7l6m5 \
--description "My new policy description"
{
"Policy": {
"PolicySummary": {
"Id": "p-i9j8k7l6m5",
"Arn": "arn:aws:organizations::123456789012:policy/o-aa111bb222/service_control_policy/p-i9j8k7l6m5",
"Name": "MyRenamedPolicy",
"Description": "My new policy description",
"Type": "SERVICE_CONTROL_POLICY",
"AwsManaged": false
},
"Content": "{\"Version\":\"2012-10-17\", \"Statement\":[{\"Sid\":\"Statement1\",\"Effect\":\"Deny\",\"Action\":[\"iam:*\"],\"Resource\":[\"*\"]}]}"
}
}
```
以下示例通过指定包含新 JSON 策略文本的文件来更改 SCP 的策略文档。
```
$ aws organizations update-policy \
--policy-id p-zlfw1r64
--content file://MyNewPolicyText.json
{
"Policy": {
"PolicySummary": {
"Id": "p-i9j8k7l6m5",
"Arn": "arn:aws:organizations::123456789012:policy/o-aa111bb222/service_control_policy/p-i9j8k7l6m5",
"Name": "MyRenamedPolicy",
"Description": "My new policy description",
"Type": "SERVICE_CONTROL_POLICY",
"AwsManaged": false
},
"Content": "{\"Version\":\"2012-10-17\", \"Statement\":[{\"Sid\":\"AModifiedPolicy\",\"Effect\":\"Deny\",\"Action\":[\"iam:*\"],\"Resource\":[\"*\"]}]}"
}
}
```
+ AWS SDKs: [UpdatePolicy](https://docs.aws.amazon.com/organizations/latest/APIReference/API_UpdatePolicy.html)
------
## 更新资源控制策略(RCP)
当登录到您组织的管理账户后,您可以重命名或更改策略内容。更改 RCP 的内容会立即影响所有附加账户中的所有资源。
**最小权限**
要更新 RCP,您需要具有运行以下操作的权限:
`organizations:UpdatePolicy`,且同一条策略语句中有一个 `Resource` 元素包含所指定策略的 ARN(或“\$1”)。
`organizations:DescribePolicy`,且同一条策略语句中有一个 `Resource` 元素包含所指定策略的 ARN(或“\$1”)。
------
#### [ AWS 管理控制台 ]
**更新策略**
1. 登录 [AWS Organizations 控制台](https://console.aws.amazon.com/organizations/v2)。您必须以 IAM 用户的身份登录,担任 IAM 角色;或在组织的管理账户中以根用户的身份登录([不推荐](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials))。
1. 在**资源控制策略**页面上,选择要更新的策略的名称。
1. 在策略的详细信息页面上,选择 **Edit policy (编辑策略)**。
1. 进行以下任何或全部更改:
+ 您可以通过在 **Policy name (策略名称)** 中输入新名称来重命名策略。
+ 您可以通过在 **Policy description (策略说明)** 中输入新文本来更改策略说明。
+ 您可以通过在左窗格中以 JSON 格式编辑策略来编辑策略文本。或者,您可以在右侧的编辑器中选择一个语句,然后使用控件更改其元素。有关每个控件的详细信息,请参阅本主题前面的[创建 RCP 过程](orgs_policies_create.md#create-an-rcp)。
1. 完成后,选择**保存更改**。
------
#### [ AWS CLI & AWS SDKs ]
**更新策略**
可以使用以下命令之一来更新策略:
+ AWS CLI:[update-policy](https://docs.aws.amazon.com/cli/latest/reference/organizations/update-policy.html)
以下示例重命名策略。
```
$ aws organizations update-policy \
--policy-id p-i9j8k7l6m5 \
--name "MyRenamedPolicy"
{
"Policy": {
"PolicySummary": {
"Id": "p-i9j8k7l6m5",
"Arn": "arn:aws:organizations::123456789012:policy/o-aa111bb222/service_control_policy/p-i9j8k7l6m5",
"Name": "MyRenamedPolicy",
"Description": "Blocks all IAM actions",
"Type": "SERVICE_CONTROL_POLICY",
"AwsManaged": false
},
"Content": "{\"Version\":\"2012-10-17\", \"Statement\":[{\"Sid\":\"Statement1\",\"Effect\":\"Deny\",\"Action\":[\"iam:*\"],\"Resource\":[\"*\"]}]}"
}
}
```
以下示例添加或更改了资源控制策略的描述。
```
$ aws organizations update-policy \
--policy-id p-i9j8k7l6m5 \
--description "My new policy description"
{
"Policy": {
"PolicySummary": {
"Id": "p-i9j8k7l6m5",
"Arn": "arn:aws:organizations::123456789012:policy/o-aa111bb222/service_control_policy/p-i9j8k7l6m5",
"Name": "MyRenamedPolicy",
"Description": "My new policy description",
"Type": "SERVICE_CONTROL_POLICY",
"AwsManaged": false
},
"Content": "{\"Version\":\"2012-10-17\", \"Statement\":[{\"Sid\":\"Statement1\",\"Effect\":\"Deny\",\"Action\":[\"iam:*\"],\"Resource\":[\"*\"]}]}"
}
}
```
以下示例通过指定包含新 JSON 策略文本的文件来更改 RCP 的策略文档。
```
$ aws organizations update-policy \
--policy-id p-zlfw1r64
--content file://MyNewPolicyText.json
{
"Policy": {
"PolicySummary": {
"Id": "p-i9j8k7l6m5",
"Arn": "arn:aws:organizations::123456789012:policy/o-aa111bb222/service_control_policy/p-i9j8k7l6m5",
"Name": "MyRenamedPolicy",
"Description": "My new policy description",
"Type": "SERVICE_CONTROL_POLICY",
"AwsManaged": false
},
"Content": "{\"Version\":\"2012-10-17\", \"Statement\":[{\"Sid\":\"AModifiedPolicy\",\"Effect\":\"Deny\",\"Action\":[\"iam:*\"],\"Resource\":[\"*\"]}]}"
}
}
```
+ AWS SDKs: [UpdatePolicy](https://docs.aws.amazon.com/organizations/latest/APIReference/API_UpdatePolicy.html)
------
## 更新声明性策略
**最小权限**
要更新声明性策略,您必须具有运行以下操作的权限:
`organizations:UpdatePolicy`,且同一条策略语句中有一个 `Resource` 元素包含所指定策略的 ARN(或“\$1”)。
`organizations:DescribePolicy`,且同一条策略语句中有一个 `Resource` 元素包含所指定策略的 Amazon Resource Name(ARN)(或“\$1”)。
------
#### [ AWS 管理控制台 ]
**更新声明性策略**
1. 登录 [AWS Organizations 控制台](https://console.aws.amazon.com/organizations/v2)。您必须以 IAM 用户的身份登录,担任 IAM 角色;或在组织的管理账户中以根用户的身份登录([不推荐](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials))。
1. 在**[声明性策略](https://console.aws.amazon.com/organizations/v2/home/policies/declarative-policy-ec2)**页面上,选择要更新的策略的名称。
1. 在策略的详细信息页面上,选择 **Edit policy (编辑策略)**。
1. 您可以输入一个新的 **Policy name (策略名称)**、**Policy description (策略说明)**,或编辑 **JSON** 策略文本。有关声明性策略语法的信息,请参阅[声明性策略语法和示例](orgs_manage_policies_declarative_syntax.md)。
1. 完成更新策略后,选择**保存更改**。
------
#### [ AWS CLI & AWS SDKs ]
**更新策略**
您可以使用以下命令之一来更新策略:
+ AWS CLI:[update-policy](https://docs.aws.amazon.com/cli/latest/reference/organizations/update-policy.html)
以下示例对声明性策略进行了重命名。
```
$ aws organizations update-policy \
--policy-id p-i9j8k7l6m5 \
--name "Renamed policy"
{
"Policy": {
"PolicySummary": {
"Id": "p-i9j8k7l6m5",
"Arn": "arn:aws:organizations::123456789012:policy/o-aa111bb222/declarative_policy_ec2/p-i9j8k7l6m5",
"Name": "Renamed policy",
"Type": "DECLARATIVE_POLICY_EC2",
"AwsManaged": false
},
"Content": "{"ec2-configuration":{"ec2_attributes":{"image_block_public_access":{"state":{"@@assign":"block_new_sharing"}}}}".
}
}
```
以下示例添加或更改了声明性策略的描述。
```
$ aws organizations update-policy \
--policy-id p-i9j8k7l6m5 \
--description "My new description"
{
"Policy": {
"PolicySummary": {
"Id": "p-i9j8k7l6m5",
"Arn": "arn:aws:organizations::123456789012:policy/o-aa111bb222/declarative_policy_ec2/p-i9j8k7l6m5",
"Name": "Renamed policy",
"Description": "My new description",
"Type": "DECLARATIVE_POLICY_EC2",
"AwsManaged": false
},
"Content": "{"ec2_attributes":{"image_block_public_access":{"state":{"@@assign":"block_new_sharing"}}}}".
}
}
```
+ AWS SDKs: [UpdatePolicy](https://docs.aws.amazon.com/organizations/latest/APIReference/API_UpdatePolicy.html)
------
## 更新备份策略
登录到组织的管理账户后,您可以编辑需要在组织中进行更改的策略。
**最小权限**
要更新备份策略,您必须具有运行以下操作的权限:
`organizations:UpdatePolicy`,且同一条策略语句中有一个 `Resource` 元素包含要更新的策略的 ARN(或“\$1”)
`organizations:DescribePolicy`,且同一条策略语句中有一个 `Resource` 元素包含要更新的策略的 ARN(或“\$1”)
------
#### [ AWS 管理控制台 ]
**更新备份策略**
1. 登录 [AWS Organizations 控制台](https://console.aws.amazon.com/organizations/v2)。您必须以 IAM 用户的身份登录,担任 IAM 角色;或在组织的管理账户中以根用户的身份登录([不推荐](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials))。
1. 在 **[Backup policies (备份策略)](https://console.aws.amazon.com/organizations/v2/home/policies/backup-policy)** 页面上,选择要更新的策略的名称。
1. 选择**编辑策略**。
1. 您可以输入一个新的 **Policy name (策略名称)**、**Policy description (策略说明)**。您可以通过使用**可视化编辑器**或通过直接编辑 **JSON** 来更改策略内容。
1. 完成更新策略后,选择**保存更改**。
------
#### [ AWS CLI & AWS SDKs ]
**更新备份策略**
您可以使用以下命令之一来更新备份策略:
+ AWS CLI:[update-policy](https://docs.aws.amazon.com/cli/latest/reference/organizations/update-policy.html)
以下示例重命名备份策略。
```
$ aws organizations update-policy \
--policy-id p-i9j8k7l6m5 \
--name "Renamed policy"
{
"Policy": {
"PolicySummary": {
"Id": "p-i9j8k7l6m5",
"Arn": "arn:aws:organizations::123456789012:policy/o-aa111bb222/backup_policy/p-i9j8k7l6m5",
"Name": "Renamed policy",
"Type": "BACKUP_POLICY",
"AwsManaged": false
},
"Content": "{\"plans\":{\"TestBackupPlan\":{\"regions\":{\"@@assign\": ....TRUNCATED FOR BREVITY.... "@@assign\":[\"Yes\"]}}}}}}}"
}
}
```
以下示例添加或更改备份策略的说明。
```
$ aws organizations update-policy \
--policy-id p-i9j8k7l6m5 \
--description "My new description"
{
"Policy": {
"PolicySummary": {
"Id": "p-i9j8k7l6m5",
"Arn": "arn:aws:organizations::123456789012:policy/o-aa111bb222/backup_policy/p-i9j8k7l6m5",
"Name": "Renamed policy",
"Description": "My new description",
"Type": "BACKUP_POLICY",
"AwsManaged": false
},
"Content": "{\"plans\":{\"TestBackupPlan\":{\"regions\":{\"@@assign\": ....TRUNCATED FOR BREVITY.... "@@assign\":[\"Yes\"]}}}}}}}"
}
}
```
以下示例更改附加到备份策略的 JSON 策略文档。在此示例中,内容取自一个名为 `policy.json` 的文件,使用以下文本:
```
{
"plans": {
"PII_Backup_Plan": {
"regions": { "@@assign": [ "ap-northeast-2", "us-east-1", "eu-north-1" ] },
"rules": {
"Hourly": {
"schedule_expression": { "@@assign": "cron(0 5/1 ? * * *)" },
"start_backup_window_minutes": { "@@assign": "480" },
"complete_backup_window_minutes": { "@@assign": "10080" },
"lifecycle": {
"move_to_cold_storage_after_days": { "@@assign": "180" },
"delete_after_days": { "@@assign": "270" },
"opt_in_to_archive_for_supported_resources": {"@@assign": false}
},
"target_backup_vault_name": { "@@assign": "FortKnox" },
"copy_actions": {
"arn:aws:backup:us-east-1:$account:backup-vault:secondary-vault": {
"lifecycle": {
"move_to_cold_storage_after_days": { "@@assign": "10" },
"delete_after_days": { "@@assign": "100" },
"opt_in_to_archive_for_supported_resources": {"@@assign": false}
}
}
}
}
},
"selections": {
"tags": {
"datatype": {
"iam_role_arn": { "@@assign": "arn:aws:iam::$account:role/MyIamRole" },
"tag_key": { "@@assign": "dataType" },
"tag_value": { "@@assign": [ "PII" ] }
}
}
}
}
}
}
```
```
$ aws organizations update-policy \
--policy-id p-i9j8k7l6m5 \
--content file://policy.json
{
"Policy": {
"PolicySummary": {
"Id": "p-i9j8k7l6m5",
"Arn": "arn:aws:organizations::123456789012:policy/o-aa111bb222/backup_policy/p-i9j8k7l6m5",
"Name": "Renamed policy",
"Description": "My new description",
"Type": "BACKUP_POLICY",
"AwsManaged": false
},
"Content": "{\"plans\":{\"TestBackupPlan\":{\"regions\":{\"@@assign\": ....TRUNCATED FOR BREVITY.... "@@assign\":[\"Yes\"]}}}}}}}"
}
```
+ AWS SDKs: [UpdatePolicy](https://docs.aws.amazon.com/organizations/latest/APIReference/API_UpdatePolicy.html)
------
## 更新标签策略
**最小权限**
要更新标签策略,您必须具有运行以下操作的权限:
`organizations:UpdatePolicy`,且同一条策略语句中有一个 `Resource` 元素包含所指定策略的 ARN(或“\$1”)。
`organizations:DescribePolicy`,且同一条策略语句中有一个 `Resource` 元素包含所指定策略的 ARN(或“\$1”)。
------
#### [ AWS 管理控制台 ]
**更新标签策略**
1. 登录 [AWS Organizations 控制台](https://console.aws.amazon.com/organizations/v2)。您必须以 IAM 用户的身份登录,担任 IAM 角色;或在组织的管理账户中以根用户的身份登录([不推荐](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials))。
1. 在 ****[Tag policies (标签策略)](https://console.aws.amazon.com/organizations/v2/home/policies/tag-policy)**** 页面上,选择要更新的标签策略。
1. 选择**编辑策略**。
1. 您可以输入一个新的 **Policy name (策略名称)**、**Policy description (策略说明)**。您可以通过使用**可视化编辑器**或通过编辑 **JSON** 来更改策略内容。
1. 完成更新标签策略后,选择 **Save changes (保存更改)**。
------
#### [ AWS CLI & AWS SDKs ]
**更新策略**
您可以使用以下命令之一来更新策略:
+ AWS CLI:[update-policy](https://docs.aws.amazon.com/cli/latest/reference/organizations/update-policy.html)
以下示例重命名标签策略。
```
$ aws organizations update-policy \
--policy-id p-i9j8k7l6m5 \
--name "Renamed tag policy"
{
"Policy": {
"PolicySummary": {
"Id": "p-i9j8k7l6m5",
"Arn": "arn:aws:organizations::123456789012:policy/o-aa111bb222/tag_policy/p-i9j8k7l6m5",
"Name": "Renamed tag policy",
"Type": "TAG_POLICY",
"AwsManaged": false
},
"Content": "{\n\"tags\":{\n\"CostCenter\":{\n\"tag_key\":{\n\"@@assign\":\"CostCenter\"\n}\n}\n}\n}\n\n"
}
}
```
以下示例添加或更改标签策略的说明。
```
$ aws organizations update-policy \
--policy-id p-i9j8k7l6m5 \
--description "My new tag policy description"
{
"Policy": {
"PolicySummary": {
"Id": "p-i9j8k7l6m5",
"Arn": "arn:aws:organizations::123456789012:policy/o-aa111bb222/tag_policy/p-i9j8k7l6m5",
"Name": "Renamed tag policy",
"Description": "My new tag policy description",
"Type": "TAG_POLICY",
"AwsManaged": false
},
"Content": "{\n\"tags\":{\n\"CostCenter\":{\n\"tag_key\":{\n\"@@assign\":\"CostCenter\"\n}\n}\n}\n}\n\n"
}
}
```
以下示例更改附加到 AI 服务选择退出策略的 JSON 策略文档。在此示例中,内容取自一个名为 `policy.json` 的文件,使用以下文本:
```
{
"tags": {
"Stage": {
"tag_key": {
"@@assign": "Stage"
},
"tag_value": {
"@@assign": [
"Production",
"Test"
]
}
}
}
}
```
```
$ aws organizations update-policy \
--policy-id p-i9j8k7l6m5 \
--content file://policy.json
{
"Policy": {
"PolicySummary": {
"Id": "p-i9j8k7l6m5",
"Arn": "arn:aws:organizations::123456789012:policy/o-aa111bb222/tag_policy/p-i9j8k7l6m5",
"Name": "Renamed tag policy",
"Description": "My new tag policy description",
"Type": "TAG_POLICY",
"AwsManaged": false
},
"Content": "{\"tags\":{\"Stage\":{\"tag_key\":{\"@@assign\":\"Stage\"},\"tag_value\":{\"@@assign\":[\"Production\",\"Test\"]},\"enforced_for\":{\"@@assign\":[\"ec2:instance\"]}}}}"
}
```
+ AWS SDKs: [UpdatePolicy](https://docs.aws.amazon.com/organizations/latest/APIReference/API_UpdatePolicy.html)
------
## 更新聊天应用程序政策
**最小权限**
要更新聊天应用程序政策,您必须具有运行以下操作的权限:
`organizations:UpdatePolicy`,且同一条策略语句中有一个 `Resource` 元素包含所指定策略的 ARN(或“\$1”)。
`organizations:DescribePolicy`,且同一条策略语句中有一个 `Resource` 元素包含所指定策略的 ARN(或“\$1”)。
------
#### [ AWS 管理控制台 ]
**更新聊天应用程序政策**
1. 登录 [AWS Organizations 控制台](https://console.aws.amazon.com/organizations/v2)。您必须以 IAM 用户的身份登录,担任 IAM 角色;或在组织的管理账户中以根用户的身份登录([不推荐](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials))。
1. 在****[聊天机器人策略](https://console.aws.amazon.com/organizations/v2/home/policies/chatbot-policy)****页面上,选择要更新的聊天应用程序政策。
1. 选择**编辑策略**。
1. 您可以输入一个新的 **Policy name (策略名称)**、**Policy description (策略说明)**。您可以通过使用**可视化编辑器**或通过编辑 **JSON** 来更改策略内容。
1. 完成更新标签策略后,选择 **Save changes (保存更改)**。
------
#### [ AWS CLI & AWS SDKs ]
**更新策略**
您可以使用以下命令之一来更新策略:
+ AWS CLI:[update-policy](https://docs.aws.amazon.com/cli/latest/reference/organizations/update-policy.html)
以下示例对聊天应用程序政策进行了重命名。
```
$ aws organizations update-policy \
--policy-id p-i9j8k7l6m5 \
--name "Renamed chat applications policy"
{
"Policy": {
"PolicySummary": {
"Id": "p-i9j8k7l6m5",
"Arn": "arn:aws:organizations::123456789012:policy/o-aa111bb222/chatbot_policy/p-i9j8k7l6m5",
"Name": "Renamed chat applications policy",
"Type": "CHATBOT_POLICY",
"AwsManaged": false
},
"Content": "{"chatbot":{"platforms":{"slack":{"client":{"@@assign":"enabled"},"workspaces":{"@@assign":["Slack-Workspace-Id"]},"default":{"supported_channel_types":{"@@assign":["private"]}}},"microsoft_teams":{"client":{"@@assign":"disabled"}}}}}"
}
}
```
+ AWS SDKs: [UpdatePolicy](https://docs.aws.amazon.com/organizations/latest/APIReference/API_UpdatePolicy.html)
------
## 更新 AI 服务选择退出策略
**最小权限**
要更新 AI 服务选择退出策略,您必须具有运行以下操作的权限:
`organizations:UpdatePolicy`,且同一条策略语句中有一个 `Resource` 元素包含所指定策略的 ARN(或“\$1”)。
`organizations:DescribePolicy`,且同一条策略语句中有一个 `Resource` 元素包含所指定策略的 Amazon Resource Name(ARN)(或“\$1”)。
------
#### [ AWS 管理控制台 ]
**更新 AI 服务选择退出策略**
1. 登录 [AWS Organizations 控制台](https://console.aws.amazon.com/organizations/v2)。您必须以 IAM 用户的身份登录,担任 IAM 角色;或在组织的管理账户中以根用户的身份登录([不推荐](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials))。
1. 在 **[AI services opt-out policies (AI 服务选择退出策略)](https://console.aws.amazon.com/organizations/v2/home/policies/aiservices-opt-out-policy)** 页面上,选择要更新的策略的名称。
1. 在策略的详细信息页面上,选择 **Edit policy (编辑策略)**。
1. 您可以输入一个新的 **Policy name (策略名称)**、**Policy description (策略说明)**,或编辑 **JSON** 策略文本。有关 AI 服务选择退出策略语法的信息,请参阅[AI 服务选择退出策略语法和示例](orgs_manage_policies_ai-opt-out_syntax.md)。有关可用作起始点的策略的示例,请参阅[AI 服务选择退出策略示例](orgs_manage_policies_ai-opt-out_syntax.md#ai-opt-out-policy-examples)。
1. 完成更新策略后,选择**保存更改**。
------
#### [ AWS CLI & AWS SDKs ]
**更新策略**
您可以使用以下命令之一来更新策略:
+ AWS CLI:[update-policy](https://docs.aws.amazon.com/cli/latest/reference/organizations/update-policy.html)
以下示例重命名 AI 服务选择退出策略。
```
$ aws organizations update-policy \
--policy-id p-i9j8k7l6m5 \
--name "Renamed policy"
{
"Policy": {
"PolicySummary": {
"Id": "p-i9j8k7l6m5",
"Arn": "arn:aws:organizations::123456789012:policy/o-aa111bb222/aiservices_opt_out_policy/p-i9j8k7l6m5",
"Name": "Renamed policy",
"Type": "AISERVICES_OPT_OUT_POLICY",
"AwsManaged": false
},
"Content": "{\"services\":{\"default\":{\"opt_out_policy\": ....TRUNCATED FOR BREVITY... :{\"@@assign\":\"optIn\"}}}}"
}
}
```
以下示例添加或更改 AI 服务选择退出策略的说明。
```
$ aws organizations update-policy \
--policy-id p-i9j8k7l6m5 \
--description "My new description"
{
"Policy": {
"PolicySummary": {
"Id": "p-i9j8k7l6m5",
"Arn": "arn:aws:organizations::123456789012:policy/o-aa111bb222/aiservices_opt_out_policy/p-i9j8k7l6m5",
"Name": "Renamed policy",
"Description": "My new description",
"Type": "AISERVICES_OPT_OUT_POLICY",
"AwsManaged": false
},
"Content": "{\"services\":{\"default\":{\"opt_out_policy\": ....TRUNCATED FOR BREVITY... :{\"@@assign\":\"optIn\"}}}}"
}
}
```
以下示例更改附加到 AI 服务选择退出策略的 JSON 策略文档。在此示例中,内容取自一个名为 `policy.json` 的文件,使用以下文本:
```
{
"services": {
"default": {
"opt_out_policy": {
"@@assign": "optOut"
}
},
"comprehend": {
"opt_out_policy": {
"@@operators_allowed_for_child_policies": ["@@none"],
"@@assign": "optOut"
}
},
"rekognition": {
"opt_out_policy": {
"@@assign": "optIn"
}
}
}
}
```
```
$ aws organizations update-policy \
--policy-id p-i9j8k7l6m5 \
--content file://policy.json
{
"Policy": {
"PolicySummary": {
"Id": "p-i9j8k7l6m5",
"Arn": "arn:aws:organizations::123456789012:policy/o-aa111bb222/aiservices_opt_out_policy/p-i9j8k7l6m5",
"Name": "Renamed policy",
"Description": "My new description",
"Type": "AISERVICES_OPT_OUT_POLICY",
"AwsManaged": false
},
"Content": "{\n\"services\": {\n\"default\": {\n\" ....TRUNCATED FOR BREVITY.... ": \"optIn\"\n}\n}\n}\n}\n"}
}
```
+ AWS SDKs: [UpdatePolicy](https://docs.aws.amazon.com/organizations/latest/APIReference/API_UpdatePolicy.html)
------
## 更新 Security Hub 策略
**最小权限**
要更新 Security Hub 策略,您必须具有运行以下操作的权限:
`organizations:UpdatePolicy`,且同一条策略语句中有一个 `Resource` 元素包含所指定策略的 ARN(或“\$1”)。
`organizations:DescribePolicy`,且同一条策略语句中有一个 `Resource` 元素包含所指定策略的 Amazon Resource Name(ARN)(或“\$1”)。
------
#### [ AWS 管理控制台 ]
**更新 Security Hub 策略**
1. 登录 [AWS Organizations 控制台](https://console.aws.amazon.com/organizations/v2)。您必须以 IAM 用户的身份登录,担任 IAM 角色;或在组织的管理账户中以根用户的身份登录([不推荐](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials))。
1. 在 **[Security Hub 策略](https://console.aws.amazon.com/organizations/v2/home/policies/securityhub-policy)**页面上,选择要更新的策略的名称。
1. 在策略的详细信息页面上,选择 **Edit policy (编辑策略)**。
1. 您可以输入一个新的 **Policy name (策略名称)**、**Policy description (策略说明)**,或编辑 **JSON** 策略文本。有关 Security Hub 策略语法的信息,请参阅 [Security Hub 策略语法和示例](orgs_manage_policies_security_hub_syntax.md)。有关可用作起始点的策略的示例,请参阅[Security Hub 策略示例](orgs_manage_policies_security_hub_syntax.md#security-hub-policy-examples)。
1. 完成更新策略后,选择**保存更改**。
------
#### [ AWS CLI & AWS SDKs ]
**更新策略**
您可以使用以下命令之一来更新策略:
+ AWS CLI:[update-policy](https://docs.aws.amazon.com/cli/latest/reference/organizations/update-policy.html)
以下示例对 Security Hub 策略进行了重命名。
```
$ aws organizations update-policy \
--policy-id p-66ev7hgcvj \
--name "Renamed policy"
{
"Policy": {
"PolicySummary": {
"Id": "p-66ev7hgcvj",
"Arn": "arn:aws:organizations::123456789012:policy/o-aa111bb222/securityhub_policy/p-66ev7hgcvj",
"Name": "Renamed policy",
"Type": "SECURITYHUB_POLICY",
"AwsManaged": false
},
"Content": "{\n \"securityhub\": {\n \"enable_in_regions\": {\n \"@@assign\":[\n \"ALL_SUPPORTED\"\n ]\n },\n \"disable_in_regions\": {\n \"@@assign\":[]\n }\n }\n}\n"
}
}
```
以下示例添加或更改了 Security Hub 策略的描述。
```
$ aws organizations update-policy \
--policy-id p-66ev7hgcvj \
--name "My new description"
{
"Policy": {
"PolicySummary": {
"Id": "p-66ev7hgcvj",
"Arn": "arn:aws:organizations::123456789012:policy/o-aa111bb222/securityhub_policy/p-66ev7hgcvj",
"Name": "My new description",
"Type": "SECURITYHUB_POLICY",
"AwsManaged": false
},
"Content": "{\n \"securityhub\": {\n \"enable_in_regions\": {\n \"@@assign\":[\n \"ALL_SUPPORTED\"\n ]\n },\n \"disable_in_regions\": {\n \"@@assign\":[]\n }\n }\n}\n"
}
}
```
+ AWS SDKs: [UpdatePolicy](https://docs.aws.amazon.com/organizations/latest/APIReference/API_UpdatePolicy.html)
------