本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 使用 建立組織政策 AWS Organizations
為您的組織[啟用政策](enable-policy-type.md)後,您可以建立政策。
本主題說明如何使用 建立政策 AWS Organizations。*政策*會定義您要套用至 群組的控制項 AWS 帳戶。
**Topics**
+ [建立服務控制政策 (SCP)](#create-an-scp)
+ [建立資源控制政策 (RCP)](#create-an-rcp)
+ [建立宣告政策](#create-declarative-policy-procedure)
+ [建立備份政策](#create-backup-policy-procedure)
+ [建立標籤政策](#create-tag-policy-procedure)
+ [建立聊天應用程式政策](#create-chatbot-policy-procedure)
+ [建立 AI 服務選擇退出政策](#create-ai-opt-out-policy-procedure)
+ [建立升級推展政策](#create-upgrade-rollout-policy-procedure)
+ [建立 Security Hub 政策](#create-security-hub-policy-procedure)
## 建立服務控制政策 (SCP)
**最低許可**
若要建立 SCP,您需要具有執行下列動作的許可:
`organizations:CreatePolicy`
------
#### [ AWS 管理主控台 ]
**建立服務控制政策**
1. 登入 [AWS Organizations 主控台](https://console.aws.amazon.com/organizations/v2)。您必須以 IAM 使用者登入、擔任 IAM 角色,或是以組織管理帳戶中的根使用者 ([不建議](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials)) 身分登入。
1. 在 **[Service control policies](https://console.aws.amazon.com/organizations/v2/home/policies/service-control-policy)** (服務控制政策) 頁面上,選擇 **Create policy** (建立政策)。
1. 在 [**Create policy** (建立政策) 頁面上](https://console.aws.amazon.com/organizations/home/policies/service-control/create),輸入政策的 **Policy name** (政策名稱) 與選用的 **Policy description** (政策描述)。
1. (選用) 選擇 **Add tag** (新增標籤),然後輸入一個鍵和一個選用值,來新增一個或多個標籤。將值留空會將其設定為空白字串;而不是 `null`。您可以在政策中連接最多 50 個標籤。如需詳細資訊,請參閱[標記 AWS Organizations 資源考量事項](orgs_tagging.md)。
**注意**
在接下來的大部分步驟中,我們會討論使用 JSON 編輯器右側的控制項,逐元素建構政策。或者,您可以隨時在視窗左側的 JSON 編輯器中輸入文字。您可以直接輸入,或者可以使用複製和貼上。
1. 若要建置政策,您的下一個步驟會因您是否希望新增陳述式,[拒絕](orgs_manage_policies_scps_evaluation.md#how_scps_deny)或[允許](orgs_manage_policies_scps_evaluation.md#how_scps_allow)存取而有所不同。如需詳細資訊,請參閱[SCP 評估](orgs_manage_policies_scps_evaluation.md)。您可以使用 `Deny` 陳述式,您可以擁有額外的控制,因為您可以限制存取特定資源、定義 SCP 生效的條件,以及使用 [NotAction](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_notaction.html) 元素。如需語法的詳細資訊,請參閱[SCP 語法](orgs_manage_policies_scps_syntax.md)。
新增「拒絕」**存取的陳述式:
1. 在編輯器的右側**編輯陳述**式窗格中,在**新增動作**下,選擇 AWS 服務。
在您選擇右側的選項時,JSON 編輯器會隨即更新,在左側顯示相應的 JSON 政策。
1. 選取服務之後,包含該服務可用動作的清單即會開啟。您可以選擇 **All actions** (所有動作),或選擇您要拒絕的一個或多個個別動作。
左側的 JSON 會隨即更新,以包含您選取的動作。
**注意**
如果您選取個別動作,然後返回上一步並選取 **All actions** (所有動作),`servicename:*` 的預期項目會新增至 JSON,但您之前選取的個別動作會留在 JSON 中,而不會移除。
1. 如果您想要從其他服務新增動作,可以選擇 **Statement** (陳述式) 方塊頂部的 **All Services** (所有服務),然後視需要重複之前的兩個步驟。
1. 指定要包含在陳述式中的資源。
+ 在 **Add a resource** (新增資源) 旁邊,選擇 **Add** (新增)。
+ 在 **Add resource** (新增資源) 對話方塊,從清單中選擇您要控制其資源的服務。您只能從在上一步選擇的服務中進行選擇。
+ 在 **Resource Type** (資源類型)下,選擇您要控制的資源類型。
+ 最後,完成 **Resource ARN** (資源 ARN) 中的 Amazon 資源名稱 (ARN),以識別您要控制存取的特定資源。您必須取代由大括號 `{}` 包圍的所有預留位置。您可以指定資源類型的 ARN 語法允許的萬用字元 (`*`)。如需有關可以在何處使用萬用字元的資訊,請參閱文件以取得特定資源類型。
+ 選擇 **Add resource** (新增資源),以儲存您對政策的新增。JSON 中的 `Resource` 元素會反映您的新增或變更。**資源**元素為必要項目。
**提示**
如果您想要為所選取的服務指定所有資源,請選擇 **All resources** (所有資源) 選項,或 JSON 中直接編輯 `Resource` 語句來讀取 `"Resource":"*"`。
1. (選用) 若要指定在政策陳述式生效時限制的條件,請在 **Add a resource** (新增資源) 旁邊,選擇 **Add** (新增)。
+ **條件索引鍵** – 您可以從清單中選擇所有 AWS 服務可用的任何條件索引鍵 (例如 `aws:SourceIp`),或僅針對您為此陳述式選取的其中一個服務選擇服務特定的索引鍵。
+ **限定詞** – (選用) 當請求具有多值內容索引鍵的多個值時,您可以指定[限定詞](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_multi-value-conditions.html)來根據值測試請求。如需詳細資訊,請參閱《*IAM 使用者指南*》中的[單一值與多值內容索引鍵](reference_policies_condition-single-vs-multi-valued-context-keys.html)。若要檢查請求是否可以有多個值,請參閱*服務授權參考*中的 [的動作、資源和條件索引鍵 AWS 服務](https://docs.aws.amazon.com/service-authorization/latest/reference/reference_policies_actions-resources-contextkeys.html)。
+ **預設值** – 針對政策中的條件索引鍵值,測試請求中的單一值。如果請求中的值符合政策中的值,則條件會傳回 true。如果政策指定多個值,則會將其視為「或」測試,如果請求值符合任何政策值,則條件會傳回 true。
+ **對於請求中的任意值** – 當請求可以有多個值時,此選項會測試是否*至少一個*請求值符合政策中至少其中一個條件索引鍵值。如果請求中任一鍵值符合政策中的任一條件值,則條件會傳回 true。如果沒有相符金鑰或為 null 資料集,則條件會傳回 false。
+ **對於請求中的所有值** – 當請求可以有多個值時,此選項會測試是否*每一個*請求值均符合政策中的條件索引鍵值。如果請求中每個鍵值至少符合政策中的一個值,則條件會傳回 true。如果請求中沒有鍵,或鍵值解析為 null 資料集 (例如空白字串),則也會傳回 true。
+ **運算子** – [運算子](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html)指定要進行的比較類型。顯示的選項取決於條件索引鍵的資料類型。例如,`aws:CurrentTime` 全域條件索引鍵可讓您從任何日期比較運算子中選擇,或 `Null`,您可以用於測試該值是否存在於請求中。
針對除 `Null` 測試之外的任何條件運算子,您可以選擇 [IfExists](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html#Conditions_IfExists) 選項。
+ **數值** – (選用) 指定您要測試請求的一個或多個值。
選擇**新增條件**。
如需有關條件索引鍵的詳細資訊,請參閱 *IAM 使用者指南*中的 [IAM JSON 政策元素:條件](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html)。
1. 新增「允許」**存取的陳述式:
1. 在左側的 JSON 編輯器中,將行 `"Effect": "Deny"` 變更為 `"Effect": "Allow"`。
在您選擇右側的選項時,JSON 編輯器會隨即更新,在左側顯示相應的 JSON 政策。
1. 選取服務之後,包含該服務可用動作的清單即會開啟。您可以選擇 **All actions** (所有動作),或選擇您要允許的一個或多個個別動作。
左側的 JSON 會隨即更新,以包含您選取的動作。
**注意**
如果您選取個別動作,然後返回上一步並選取 **All actions** (所有動作),`servicename:*` 的預期項目會新增至 JSON,但您之前選取的個別動作會留在 JSON 中,而不會移除。
1. 如果您想要從其他服務新增動作,可以選擇 **Statement** (陳述式) 方塊頂部的 **All Services** (所有服務),然後視需要重複之前的兩個步驟。
1. (選用) 若要將另一個陳述式新增到政策,請選擇 **Add statement** (新增陳述式) 並使用視覺編輯器來建置下一個陳述式。
1. 當您完成新增陳述式後,請選擇 **Create policy (建立政策)** 來儲存完成的 SCP。
您的新 SCP 會出現在組織的政策清單中。您現在可以[將 SCP 連接至根、OU 或帳戶](orgs_policies_attach.md)。
------
#### [ AWS CLI & AWS SDKs ]
**建立服務控制政策**
您可以使用下列其中一項命令來建立 SCP:
+ AWS CLI: [create-policy](https://docs.aws.amazon.com/cli/latest/reference/organizations/create-policy.html)
以下範例假設您已有名稱為 `Deny-IAM.json` 的檔案,且包含 JSON 政策文字。它會使用該檔案來建立新的服務控制政策。
```
$ aws organizations create-policy \
--content file://Deny-IAM.json \
--description "Deny all IAM actions" \
--name DenyIAMSCP \
--type SERVICE_CONTROL_POLICY
{
"Policy": {
"PolicySummary": {
"Id": "p-i9j8k7l6m5",
"Arn": "arn:aws:organizations::123456789012:policy/o-aa111bb222/service_control_policy/p-i9j8k7l6m5",
"Name": "DenyIAMSCP",
"Description": "Deny all IAM actions",
"Type": "SERVICE_CONTROL_POLICY",
"AwsManaged": false
},
"Content": "{\"Version\":\"2012-10-17\", \"Statement\":[{\"Sid\":\"Statement1\",\"Effect\":\"Deny\",\"Action\":[\"iam:*\"],\"Resource\":[\"*\"]}]}"
}
}
```
+ AWS SDKs:[CreatePolicy](https://docs.aws.amazon.com/organizations/latest/APIReference/API_CreatePolicy.html)
------
**注意**
遇到管理帳戶與少數其他幾種情況時,SCP 沒有任何作用。如需詳細資訊,請參閱[任務和實體不受 SCP 的限制](orgs_manage_policies_scps.md#not-restricted-by-scp)。
## 建立資源控制政策 (RCP)
**最低許可**
若要建立 RCPs,您需要執行下列動作的許可:
`organizations:CreatePolicy`
------
#### [ AWS 管理主控台 ]
**建立資源控制政策**
1. 登入 [AWS Organizations 主控台](https://console.aws.amazon.com/organizations/v2)。您必須以 IAM 使用者登入、擔任 IAM 角色,或是以組織管理帳戶中的根使用者 ([不建議](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials)) 身分登入。
1. 在**資源控制政策**頁面上,選擇**建立政策**。
1. 在[**建立新的資源控制政策**頁面上](https://console.aws.amazon.com/organizations/home/policies/service-control/create),輸入**政策名稱**和選用**的政策描述**。
1. (選用) 選擇 **Add tag** (新增標籤),然後輸入一個鍵和一個選用值,來新增一個或多個標籤。將值留空會將其設定為空白字串;而不是 `null`。您可以在政策中連接最多 50 個標籤。如需詳細資訊,請參閱[標記 AWS Organizations 資源考量事項](orgs_tagging.md)。
**注意**
在接下來的大部分步驟中,我們會討論使用 JSON 編輯器右側的控制項,逐元素建構政策。或者,您可以隨時在視窗左側的 JSON 編輯器中輸入文字。您可以直接輸入,或者可以使用複製和貼上。
1. 若要新增陳述式:
1. 在編輯器的右側**編輯陳述**式窗格中,在**新增動作**下,選擇 AWS 服務。
在您選擇右側的選項時,JSON 編輯器會隨即更新,在左側顯示相應的 JSON 政策。
1. 選取服務之後,包含該服務可用動作的清單即會開啟。您可以選擇 **All actions** (所有動作),或選擇您要拒絕的一個或多個個別動作。
左側的 JSON 會隨即更新,以包含您選取的動作。
**注意**
如果您選取個別動作,然後返回上一步並選取 **All actions** (所有動作),`servicename:*` 的預期項目會新增至 JSON,但您之前選取的個別動作會留在 JSON 中,而不會移除。
1. 如果您想要從其他服務新增動作,可以選擇 **Statement** (陳述式) 方塊頂部的 **All Services** (所有服務),然後視需要重複之前的兩個步驟。
1. 指定要包含在陳述式中的資源。
+ 在 **Add a resource** (新增資源) 旁邊,選擇 **Add** (新增)。
+ 在 **Add resource** (新增資源) 對話方塊,從清單中選擇您要控制其資源的服務。您只能從在上一步選擇的服務中進行選擇。
+ 在 **Resource Type** (資源類型)下,選擇您要控制的資源類型。
+ 完成**資源 ARN** 中的 Amazon Resource Name (ARN),以識別您要控制存取的特定資源。您必須取代由大括號 `{}` 包圍的所有預留位置。您可以指定資源類型的 ARN 語法允許的萬用字元 (`*`)。如需您可在何處使用萬用字元的相關資訊,請參閱特定資源類型的[文件](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_resource.html#reference_policies_elements_resource_wildcards)。
+ 選擇 **Add resource** (新增資源),以儲存您對政策的新增。JSON 中的 `Resource` 元素會反映您的新增或變更。**資源**元素為必要項目。
**提示**
如果您想要為所選取的服務指定所有資源,請選擇 **All resources** (所有資源) 選項,或 JSON 中直接編輯 `Resource` 語句來讀取 `"Resource":"*"`。
1. (選用) 若要指定在政策陳述式生效時限制的條件,請在 **Add a resource** (新增資源) 旁邊,選擇 **Add** (新增)。
+ **條件索引鍵** – 您可以從清單中選擇所有 AWS 服務可用的任何條件索引鍵 (例如 `aws:SourceIp`),或只針對您為此陳述式選取的其中一個服務選擇服務特定的索引鍵。
+ **限定詞** – (選用) 當請求具有多值內容索引鍵的多個值時,您可以指定[限定詞](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_multi-value-conditions.html)來根據值測試請求。如需詳細資訊,請參閱《*IAM 使用者指南*》中的[單一值與多值內容索引鍵](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-single-vs-multi-valued-context-keys.html)。若要檢查請求是否可以有多個值,請參閱*服務授權參考*中的 [的動作、資源和條件索引鍵 AWS 服務](https://docs.aws.amazon.com/service-authorization/latest/reference/reference_policies_actions-resources-contextkeys.html)。
+ **預設值** – 針對政策中的條件索引鍵值,測試請求中的單一值。如果請求中的值符合政策中的值,則條件會傳回 true。如果政策指定多個值,則會將其視為「或」測試,如果請求值符合任何政策值,則條件會傳回 true。
+ **對於請求中的任意值** – 當請求可以有多個值時,此選項會測試是否*至少一個*請求值符合政策中至少其中一個條件索引鍵值。如果請求中任一鍵值符合政策中的任一條件值,則條件會傳回 true。如果沒有相符金鑰或為 null 資料集,則條件會傳回 false。
+ **對於請求中的所有值** – 當請求可以有多個值時,此選項會測試是否*每一個*請求值均符合政策中的條件索引鍵值。如果請求中每個鍵值至少符合政策中的一個值,則條件會傳回 true。如果請求中沒有鍵,或鍵值解析為 null 資料集 (例如空白字串),則也會傳回 true。
+ **運算子** – [運算子](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html)指定要進行的比較類型。顯示的選項取決於條件索引鍵的資料類型。例如,`aws:CurrentTime` 全域條件索引鍵可讓您從任何日期比較運算子中選擇,或 `Null`,您可以用於測試該值是否存在於請求中。
針對除 `Null` 測試之外的任何條件運算子,您可以選擇 [IfExists](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html#Conditions_IfExists) 選項。
+ **數值** – (選用) 指定您要測試請求的一個或多個值。
選擇**新增條件**。
如需有關條件索引鍵的詳細資訊,請參閱 *IAM 使用者指南*中的 [IAM JSON 政策元素:條件](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html)。
1. (選用) 若要使用 `NotAction` 元素拒絕存取***除***指定動作之外的所有動作,請在左側窗格中,將 `"Effect": "Deny",` 元素之後的 `Action` 替換為 `NotAction`。如需詳細資訊,請參閱 *IAM 使用者指南*中的 [IAM JSON 政策元素:NotAction](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_notaction.html)。
1. (選用) 若要將另一個陳述式新增到政策,請選擇 **Add statement** (新增陳述式) 並使用視覺編輯器來建置下一個陳述式。
1. 新增陳述式完成後,請選擇**建立政策**以儲存完成的 RCP。
您的新 RCP 會出現在組織的政策清單中。您現在可以[將 RCP 連接到根帳戶、OUs 帳戶或帳戶](orgs_policies_attach.md)。
------
#### [ AWS CLI & AWS SDKs ]
**建立資源控制政策**
您可以使用下列其中一個命令來建立 RCP:
+ AWS CLI: [create-policy](https://docs.aws.amazon.com/cli/latest/reference/organizations/create-policy.html)
以下範例假設您已有名稱為 `Deny-IAM.json` 的檔案,且包含 JSON 政策文字。它使用該檔案來建立新的資源控制政策。
```
$ aws organizations create-policy \
--content file://Deny-IAM.json \
--description "Deny all IAM actions" \
--name DenyIAMRCP \
--type RESOURCE_CONTROL_POLICY
{
"Policy": {
"PolicySummary": {
"Id": "p-i9j8k7l6m5",
"Arn": "arn:aws:organizations::123456789012:policy/o-aa111bb222/resource_control_policy/p-i9j8k7l6m5",
"Name": "DenyIAMRCP",
"Description": "Deny all IAM actions",
"Type": "RESOURCE_CONTROL_POLICY",
"AwsManaged": false
},
"Content": "{\"Version\":\"2012-10-17\", \"Statement\":[{\"Sid\":\"Statement1\",\"Effect\":\"Deny\",\"Action\":[\"iam:*\"],\"Resource\":[\"*\"]}]}"
}
}
```
+ AWS SDKs:[CreatePolicy](https://docs.aws.amazon.com/organizations/latest/APIReference/API_CreatePolicy.html)
------
**注意**
RCPs 不會對管理帳戶和少數其他情況生效。如需詳細資訊,請參閱[不受 RCPs 限制的資源和實體](orgs_manage_policies_rcps.md#actions-not-restricted-by-rcps)。
## 建立宣告政策
**最低許可**
若要建立宣告式政策,您需要執行下列動作的許可:
`organizations:CreatePolicy`
------
#### [ AWS 管理主控台 ]
**建立宣告政策**
1. 登入 [AWS Organizations 主控台](https://console.aws.amazon.com/organizations/v2)。您必須以 IAM 使用者登入、擔任 IAM 角色,或是以組織管理帳戶中的根使用者 ([不建議](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials)) 身分登入。
1. 在**[宣告政策](https://console.aws.amazon.com/organizations/v2/home/policies/declarative-policy-ec2)**頁面上,選擇**建立政策**。
1. 在[**為 EC2 建立新的宣告政策**頁面上](https://console.aws.amazon.com/organizations/v2/home/policies/declarative-policy-ec2/create),輸入**政策名稱**和選用**的政策描述**。
1. (選用) 您可以透過選擇 **Add tag** (新增標籤),然後輸入一個鍵和一個選用值,來將一個或多個標籤新增至政策。將值留空會將其設定為空白字串;而不是 `null`。您可以在政策中連接最多 50 個標籤。如需詳細資訊,請參閱[標記 AWS Organizations 資源考量事項](orgs_tagging.md)。
1. 您可以使用 **Visual editor (視覺化編輯器)** 建置政策,如本程序所述。您也可以在 **JSON** 索引標籤中輸入或貼上政策文字。如需宣告政策語法的詳細資訊,請參閱 [宣告政策語法和範例](orgs_manage_policies_declarative_syntax.md)。
如果您選擇使用**視覺化編輯器**,請選取您要包含在宣告政策中的服務屬性。如需詳細資訊,請參閱[支援的 AWS 服務 和 屬性](orgs_manage_policies_declarative.md#orgs_manage_policies_declarative-supported-controls)。
1. 選擇**新增服務屬性**,然後根據您的規格設定 屬性。如需每個效果的詳細資訊,請參閱 [宣告政策語法和範例](orgs_manage_policies_declarative_syntax.md)。
1. 當政策編輯完成時,請在頁面的右下角選擇 **Create policy** (建立政策)。
------
#### [ AWS CLI & AWS SDKs ]
**建立宣告政策**
您可以使用下列其中一項來建立宣告政策:
+ AWS CLI: [create-policy](https://docs.aws.amazon.com/cli/latest/reference/organizations/create-policy.html)
1. 建立如下所示的宣告式政策,並將其存放在文字檔案中。
```
{
"ec2_attributes": {
"image_block_public_access": {
"state": {
"@@assign": "block_new_sharing"
}
}
}
}
```
此宣告政策指定必須設定受政策影響的所有帳戶,以便新的 Amazon Machine Image (AMIs) 不可公開共享。如需宣告政策語法的詳細資訊,請參閱 [宣告政策語法和範例](orgs_manage_policies_declarative_syntax.md)。
1. 匯入 JSON 政策檔案,以在組織中建立新的政策。在此範例中,之前的 JSON 檔案名稱為 `policy.json`。
```
$ aws organizations create-policy \
--type DECLARATIVE_POLICY_EC2 \
--name "MyTestPolicy" \
--description "My test policy" \
--content file://policy.json
{
"Policy": {
"Content": "{"ec2_attributes":{"image_block_public_access":{"state":{"@@assign":"block_new_sharing"}}}}".
"PolicySummary": {
"Id": "p-i9j8k7l6m5"
"Arn": "arn:aws:organizations::o-aa111bb222:policy/declarative_policy_ec2/p-i9j8k7l6m5",
"Description": "My test policy",
"Name": "MyTestPolicy",
"Type": "DECLARATIVE_POLICY_EC2"
}
}
}
```
+ AWS SDKs:[CreatePolicy](https://docs.aws.amazon.com/organizations/latest/APIReference/API_CreatePolicy.html)
------
**後續作業**
建立宣告政策後,請使用[帳戶狀態報告](orgs_manage_policies_declarative.md#orgs_manage_policies_declarative-account-status-report)評估整備程度。然後,您可以強制執行基準組態。若要執行該操作,您可以[連接政策](orgs_policies_attach.md)至組織根、組織單位 (OU)、組織內的 AWS 帳戶 ,或這三者全部的組合。
## 建立備份政策
**最低許可**
若要建立備份政策,您需要具有執行下列動作的許可:
`organizations:CreatePolicy`
------
#### [ AWS 管理主控台 ]
您可以透過下列兩種方式 AWS 管理主控台 之一,在 中建立備份政策:
+ 視覺化編輯器,可讓您選擇選項,然後為您產生 JSON 政策文字。
+ 文字編輯器,可讓您直接建立 JSON 政策文字。
視覺化編輯器讓程序變簡單,但彈性受限。若要建立第一個政策並熟悉使用政策,這是好方法。在了解政策的運作方式,並開始覺得受限於視覺化編輯器後,您可以自行編輯 JSON 政策文字,將進階功能新增至政策。視覺化編輯器只使用 [@@assign 值設定運算子](policy-operators.md#value-setting-operators),完全不支援存取[子控制運算子](policy-operators.md#child-control-operators)。只有在手動編輯 JSON 政策文字時,才能新增子控制運算子。
**建立備份政策**
1. 登入 [AWS Organizations 主控台](https://console.aws.amazon.com/organizations/v2)。您必須以 IAM 使用者登入、擔任 IAM 角色,或是以組織管理帳戶中的根使用者 ([不建議](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials)) 身分登入。
1. 在 **[Backup policies](https://console.aws.amazon.com/organizations/v2/home/policies/backup-policy)** (備份政策) 頁面上,選擇 **Create policy** (建立政策)。
1. 在 **Create policy** (建立政策) 頁面上,輸入政策的 ****Policy name**** (政策名稱) 與選用的 **Policy description** (政策描述)。
1. (選用) 您可以透過選擇 **Add tag** (新增標籤),然後輸入一個鍵和一個選用值,來將一個或多個標籤新增至政策。將值留空會將其設定為空白字串;而不是 `null`。您可以在政策中連接最多 50 個標籤。如需標記的相關資訊,請參閱[標記 AWS Organizations 資源考量事項](orgs_tagging.md)。
1. 您可以使用 **Visual editor (視覺化編輯器)** 建置政策,如本程序所述。您也可以在 **JSON** 索引標籤中輸入或貼上政策文字。如需備份政策語法的相關資訊,請參閱[備份政策語法和範例](orgs_manage_policies_backup_syntax.md)。
如果您選擇使用 **Visual editor (視覺化編輯器)**,請選取適合您情境的備份選項。備份計劃由三個部分組成。如需這些備份計劃元素的詳細資訊,請參閱*AWS Backup 開發人員指南*中的[建立備份計劃](https://docs.aws.amazon.com/aws-backup/latest/devguide/creating-a-backup-plan.html)和[指派資源](https://docs.aws.amazon.com/aws-backup/latest/devguide/assigning-resources.html)。
1. 備份計劃一般詳細資訊
+ **Backup plan name (備份計劃名稱)**只能由英數字元、連字號和底線字元組成。
+ 您必須從清單中至少選取一個 **Backup plan region (備份計劃區域)**。計劃只能備份選取的 AWS 區域。
1. 一或多個備份規則,指定 AWS Backup 的運作方式和時機。每個備份規則定義下列項目:
+ 包含備份頻率以及進行備份的時段的排程。
+ 要使用的備份保存庫名稱。**Backup vault name (備份保存庫名稱)**只能由英數字元、連字號和底線字元組成。備份保存庫必須先存在,計劃才能順利執行。使用 AWS Backup 主控台或 AWS CLI 命令建立保存庫。
+ (選用) 一或多個 **Copy to region (複製到區域)**規則,也將備份複製到其他 AWS 區域中的保存庫。
+ 一或多個標籤鍵和值配對,連接至每次執行此備份計劃時建立的備份復原點。
+ 生命週期選項,指定備份何時轉移至不常用的儲存體及備份何時到期。
選擇 **Add rule** (新增規則),將您需要的每個規則新增至計劃。
如需關於備份規則的詳細資訊,請參閱 *AWS Backup 開發人員指南*中的[備份規則](https://docs.aws.amazon.com/aws-backup/latest/devguide/creating-a-backup-plan.html#backup-rules)。
1. 資源指派,指定 AWS Backup 應該按照此計劃而備份的資源。指派是透過指定 AWS Backup 用於尋找和比對資源的標籤對來進行
+ **Resource assignment name (資源指派名稱)**只能由英數字元、連字號和底線字元組成。
+ 指定 **IAM 角色**,以便 AWS Backup 用於依名稱執行備份。
在主控台,您不需要指定整個 Amazon 資源名稱 (ARN)。角色名稱及其前綴 (指定角色類型) 都必須包括在內。前綴通常是 `role` 或 `service-role`,並以正斜線 ('/') 與角色名稱分隔。例如,您可以輸入 `role/MyRoleName` 或 `service-role/MyManagedRoleName`。存放在基礎 JSON 中可轉換為完整 ARN。
**重要**
指定的 IAM 角色必須已存在於套用政策的帳戶中。否則,雖然備份計劃可能成功啟動備份任務,但這些備份任務會失敗。
+ 指定一個或多個**資源標籤標籤鍵**和**標籤值**組,以識別您想要備份的資源。如果有多個標籤值,請以逗號分隔值。
選擇 **Add assignment** (新增指派),將每個設定的資源指派新增至備份計劃。
如需詳細資訊,請參閱*AWS Backup 開發人員指南*中的[將資源指派至備份計劃](https://docs.aws.amazon.com/aws-backup/latest/devguide/create-a-scheduled-backup.html#assign-resources-to-plan)。
1. 政策建立完成時,請選擇 **Create policy (建立政策)**。政策會出現在可用的備份政策清單中。
------
#### [ AWS CLI & AWS SDKs ]
**建立備份政策**
您可以使用下列其中一項來建立備份政策:
+ AWS CLI: [create-policy](https://docs.aws.amazon.com/cli/latest/reference/organizations/create-policy.html)
將備份計劃建立為類似以下內容的 JSON 文字,並將其存放在文字檔案中。如需語法的完整規則,請參閱[備份政策語法和範例](orgs_manage_policies_backup_syntax.md)。
```
{
"plans": {
"PII_Backup_Plan": {
"regions": { "@@assign": [ "ap-northeast-2", "us-east-1", "eu-north-1" ] },
"rules": {
"Hourly": {
"schedule_expression": { "@@assign": "cron(0 5/1 ? * * *)" },
"start_backup_window_minutes": { "@@assign": "480" },
"complete_backup_window_minutes": { "@@assign": "10080" },
"lifecycle": {
"move_to_cold_storage_after_days": { "@@assign": "180" },
"delete_after_days": { "@@assign": "270" }
},
"target_backup_vault_name": { "@@assign": "FortKnox" },
"copy_actions": {
"arn:aws:backup:us-east-1:$account:backup-vault:secondary-vault": {
"lifecycle": {
"move_to_cold_storage_after_days": { "@@assign": "10" },
"delete_after_days": { "@@assign": "100" }
}
}
}
}
},
"selections": {
"tags": {
"datatype": {
"iam_role_arn": { "@@assign": "arn:aws:iam::$account:role/MyIamRole" },
"tag_key": { "@@assign": "dataType" },
"tag_value": { "@@assign": [ "PII" ] }
}
}
}
}
}
}
```
此備份計畫指定 AWS Backup 應備份受影響 中所有資源 AWS 帳戶 ,這些資源位於指定的 中, AWS 區域 且標籤的值`dataType`為 `PII`。
然後,匯入 JSON 政策檔案備份計劃,以在組織中建立新的政策備份計劃。請注意輸出中的政策 ARN 結尾的政策 ID。
```
$ aws organizations create-policy \
--name "MyBackupPolicy" \
--type BACKUP_POLICY \
--description "My backup policy" \
--content file://policy.json{
"Policy": {
"PolicySummary": {
"Arn": "arn:aws:organizations::o-aa111bb222:policy/backup_policy/p-i9j8k7l6m5",
"Description": "My backup policy",
"Name": "MyBackupPolicy",
"Type": "BACKUP_POLICY"
}
"Content": "...a condensed version of the JSON policy document you provided in the file...",
}
}
```
+ AWS SDKs:[CreatePolicy](https://docs.aws.amazon.com/organizations/latest/APIReference/API_CreatePolicy.html)
------
## 建立標籤政策
**最低許可**
若要建立標籤政策,您需要具有執行下列動作的許可:
`organizations:CreatePolicy`
您可以透過下列兩種方式 AWS 管理主控台 之一在 中建立標籤政策:
+ 視覺化編輯器,可讓您選擇選項,然後為您產生 JSON 政策文字。
+ 文字編輯器,可讓您直接建立 JSON 政策文字。
視覺化編輯器讓程序變簡單,但彈性受限。若要建立第一個政策並熟悉使用政策,這是好方法。在了解政策的運作方式,並開始覺得受限於視覺化編輯器後,您可以自行編輯 JSON 政策文字,將進階功能新增至政策。視覺化編輯器只使用 [@@assign 值設定運算子](policy-operators.md#value-setting-operators),完全不支援存取[子控制運算子](policy-operators.md#child-control-operators)。只有在手動編輯 JSON 政策文字時,才能新增子控制運算子。
------
#### [ AWS 管理主控台 ]
您可以透過下列兩種方式 AWS 管理主控台 之一在 中建立標籤政策:
+ 視覺化編輯器,可讓您選擇選項,然後為您產生 JSON 政策文字。
+ 文字編輯器,可讓您直接建立 JSON 政策文字。
視覺化編輯器讓程序變簡單,但彈性受限。若要建立第一個政策並熟悉使用政策,這是好方法。在了解政策的運作方式,並開始覺得受限於視覺化編輯器後,您可以自行編輯 JSON 政策文字,將進階功能新增至政策。視覺化編輯器只使用 [@@assign 值設定運算子](policy-operators.md#value-setting-operators),完全不支援存取[子控制運算子](policy-operators.md#child-control-operators)。只有在手動編輯 JSON 政策文字時,才能新增子控制運算子。
**建立標籤政策**
1. 登入 [AWS Organizations 主控台](https://console.aws.amazon.com/organizations/v2)。您必須以 IAM 使用者登入、擔任 IAM 角色,或是以組織管理帳戶中的根使用者 ([不建議](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials)) 身分登入。
1. 在 **[Tag policies](https://console.aws.amazon.com/organizations/v2/home/policies/tag-policy)** (標籤政策) 頁面上,選擇 **Create policy** (建立政策)。
1. 在 **Create policy** (建立政策) 頁面上,輸入政策的 ****Policy name**** (政策名稱) 與選用的 **Policy description** (政策描述)。
1. (選用) 您可以將一個或多個標籤新增至政策物件本身。這些標籤不是政策的一部分。若要執行此操作,請選擇 **Add tag** (新增標籤),然後輸入一個鍵和一個選用值。將值留空會將其設定為空白字串;而不是 `null`。您可以在政策中連接最多 50 個標籤。如需詳細資訊,請參閱[標記 AWS Organizations 資源考量事項](orgs_tagging.md)。
1. 您可以使用 **Visual editor (視覺化編輯器)** 建立標籤政策,如本程序所述。您也可以在 **JSON** 索引標籤中輸入或貼上標籤政策。如需標籤政策語法的相關資訊,請參閱[標籤政策語法](orgs_manage_policies_example-tag-policies.md#tag-policy-syntax-reference)。
如果您選擇使用**視覺化編輯器**,請指定下列項目:
1. 針對 **New Tag Key 1**(新標籤鍵 1),指定要新增的標籤鍵名稱。
1. 對於**合規選項**,您可以選取下列選項:
1. **使用您在上面為標籤索引鍵指定的大寫** — 將此選項保持清除狀態 (預設值),以指定如果有繼承的父標籤政策, 應該定義標籤索引鍵的案例處理方式。
如果您要使用此政策來強制標籤鍵的特定大寫,請啟用此選項。如果您選取此選項,您為 **Tag Key (標籤鍵)** 指定的大寫,將覆寫父政策中指定的大小寫處理。
如果父政策不存在且您未選取此選項,則只有完全小寫字元的標籤鍵才視為合規。如需父政策中有關繼承的詳細資訊,請參閱[理解管理政策繼承](orgs_manage_policies_inheritance_mgmt.md)。
**提示**
在建立標籤政策來定義標籤鍵及其大小寫處理時,請考慮使用[範例 1:定義整個組織的標籤鍵大小寫](orgs_manage_policies_example-tag-policies.md#tag-policy-example-key-case)中顯示的範例標籤政策作為指南。將此標籤政策連接至組織根目錄。稍後,您可以建立額外的標籤政策,並連接至 OU 或帳戶,以建立其他標記規則。
1. **指定此標籤索引鍵的允許值** — 如果您想要將此標籤索引鍵的允許值新增至從父政策繼承的任何值,請啟用此選項。
依預設會清除此選項,這表示只有從父政策定義和繼承的那些值才視為合規。如果父政策不存在或未指定標籤值,則任何值 (包括完全沒有值) 都視為合規。
若要更新可接受的標籤值清單,請選取 **Specify allowed values for this tag key** (指定此標籤鍵的允許值),然後選取 **Specify values** (指定值)。出現提示時,輸入新的值 (每個方塊一個值),然後選擇 **Save changes** (儲存變更)。
1. 對於**要強制執行的資源類型**,您可以**為此標籤選取防止不合規操作**。
我們建議您清除此選項 (預設值),除非您在使用標籤政策時有經驗。請確定您已檢閱[強制執行標記一致性](orgs_manage_policies_tag-policies-enforcement.md)中的建議,並全面測試。否則,可能會使組織帳戶中的使用者無法標記他們所需的資源。
如果您確實想要強制此標籤鍵合規,請選取此核取方塊,然後選取 **Specify resource types** (指定資源類型)。提示後,請選取要包含在政策中的資源類型。接著選擇 **Save changes (儲存變更)**。
**重要**
選取此選項後,任何操縱指定類型資源標籤的操作,僅在操作使標籤符合政策時才會成功。
1. (選用) 若要將另一個標籤鍵新增至此標籤政策,請選擇 **Add tag key (新增標籤鍵)**。然後執行步驟 6–9 來定義標籤鍵。
1. 標籤政策建置完成時,請選擇 **Save Changes (儲存變更)**。
------
#### [ AWS CLI & AWS SDKs ]
**建立標籤政策**
您可以使用下列其中一項來建立標籤政策:
+ AWS CLI: [create-policy](https://docs.aws.amazon.com/cli/latest/reference/organizations/create-policy.html)
您可以使用任何文字編輯器來建立標籤政策。使用 JSON 語法,並在您選擇的位置中,以任何名稱和副檔名將標籤政策儲存為檔案。標籤政策最多可包含 2,500 個字元,包括空格。如需標籤政策語法的相關資訊,請參閱[標籤政策語法](orgs_manage_policies_example-tag-policies.md#tag-policy-syntax-reference)。
**建立標籤政策**
1. 文字檔案中建立看起來類似下列內容的標籤政策︰
`testpolicy.json` 的內容:
```
{
"tags": {
"CostCenter": {
"tag_key": {
"@@assign": "CostCenter"
}
}
}
}
```
此標籤政策定義 `CostCenter` 標籤鍵。標籤可以接受或不接受任何值。這樣的政策表示,帶有CostCenter 標籤的資源 (無論是否連接任何值) 都符合規定。
1. 建立包含檔案中政策內容的政策。為了便於閱讀,輸出中的額外空白字元已被截斷。
```
$ aws organizations create-policy \
--name "MyTestTagPolicy" \
--description "My Test policy" \
--content file://testpolicy.json \
--type TAG_POLICY
{
"Policy": {
"PolicySummary": {
"Id": "p-a1b2c3d4e5",
"Arn": "arn:aws:organizations::123456789012:policy/o-aa111bb222/tag_policy/p-a1b2c3d4e5",
"Name": "MyTestTagPolicy",
"Description": "My Test policy",
"Type": "TAG_POLICY",
"AwsManaged": false
},
"Content": "{\n\"tags\":{\n\"CostCenter\":{\n\"tag_key\":{\n\"@@assign\":\"CostCenter\"\n}\n}\n}\n}\n\n"
}
}
```
+ AWS SDKs:[CreatePolicy](https://docs.aws.amazon.com/organizations/latest/APIReference/API_CreatePolicy.html)
------
## 建立聊天應用程式政策
**最低許可**
若要建立聊天應用程式政策,您需要執行下列動作的許可:
`organizations:CreatePolicy`
------
#### [ AWS 管理主控台 ]
您可以透過下列兩種方式 AWS 管理主控台 之一,在 中建立聊天應用程式政策:
+ 視覺化編輯器,可讓您選擇選項,然後為您產生 JSON 政策文字。
+ 文字編輯器,可讓您直接建立 JSON 政策文字。
視覺化編輯器讓程序變簡單,但彈性受限。若要建立第一個政策並熟悉使用政策,這是好方法。在了解政策的運作方式,並開始覺得受限於視覺化編輯器後,您可以自行編輯 JSON 政策文字,將進階功能新增至政策。視覺化編輯器只使用 [@@assign 值設定運算子](policy-operators.md#value-setting-operators),完全不支援存取[子控制運算子](policy-operators.md#child-control-operators)。只有在手動編輯 JSON 政策文字時,才能新增子控制運算子。
**建立聊天應用程式政策**
1. 登入 [AWS Organizations 主控台](https://console.aws.amazon.com/organizations/v2)。您必須以 IAM 使用者登入、擔任 IAM 角色,或是以組織管理帳戶中的根使用者 ([不建議](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials)) 身分登入。
1. 在 **[Chatbot 政策](https://console.aws.amazon.com/organizations/v2/home/policies/chatbot-policy)**頁面上,選擇**建立政策**。
1. 在[**建立新的聊天應用程式政策**頁面上](https://console.aws.amazon.com/organizations/v2/home/policies/chatbot-policy/create),輸入**政策名稱**和選用**的政策描述**。
1. (選用) 您可以透過選擇 **Add tag** (新增標籤),然後輸入一個鍵和一個選用值,來將一個或多個標籤新增至政策。將值留空會將其設定為空白字串;而不是 `null`。您可以在政策中連接最多 50 個標籤。如需詳細資訊,請參閱[標記 AWS Organizations 資源考量事項](orgs_tagging.md)。
1. 您可以使用 **Visual editor (視覺化編輯器)** 建置政策,如本程序所述。您也可以在 **JSON** 索引標籤中輸入或貼上政策文字。如需聊天應用程式政策語法的詳細資訊,請參閱 [聊天應用程式政策語法和範例](orgs_manage_policies_chatbot_syntax.md)。
如果您選擇使用**視覺化編輯器**,請透過指定聊天用戶端的存取控制來設定聊天應用程式政策。
1. 為**設定 Amazon Chime 聊天用戶端存取**選擇下列其中一項
+ 拒絕鈴聲存取。
+ 允許 Chime 存取。
1. 選擇下列**設定 Microsoft Teams 聊天用戶端存取權**的選項
+ 拒絕存取所有 Teams
+ 允許存取所有 Teams
+ 限制對具名 Teams 的存取
1. 為**設定 Slack 聊天用戶端存取**選擇下列其中一項
+ 拒絕存取所有 Slack 工作區
+ 允許存取所有 Slack 工作區
+ 限制對具名 Slack 函式的存取
**注意**
此外,您可以在**聊天應用程式中選取將 Amazon Q Developer 用量限制為僅限私有 Slack 頻道**。
1. 為**設定 IAM 許可類型**選取下列選項
+ **啟用頻道層級 IAM 角色** — 所有頻道成員共用在頻道中執行任務的 IAM 角色許可。如果頻道成員需要相同的許可,則頻道角色是適當的。
+ **啟用使用者層級 IAM 角色** — 頻道成員必須選擇 IAM 使用者角色才能執行動作 (需要主控台存取權才能選擇角色)。如果頻道成員需要不同的許可,並且可以選擇其使用者角色,則使用者角色是適當的。
1. 政策建立完成時,請選擇 **Create policy (建立政策)**。此政策會出現在您的聊天機器人備份政策清單中。
------
#### [ AWS CLI & AWS SDKs ]
**建立聊天應用程式政策**
您可以使用下列其中一項來建立聊天應用程式政策:
+ AWS CLI: [create-policy](https://docs.aws.amazon.com/cli/latest/reference/organizations/create-policy.html)
您可以使用任何文字編輯器來建立聊天應用程式政策。使用 JSON 語法,並將聊天應用程式政策儲存為檔案,並在您選擇的位置使用任何名稱和副檔名。聊天應用程式政策最多可有 ? 個字元,包括空格。如需標籤政策語法的相關資訊,請參閱[聊天應用程式政策語法和範例](orgs_manage_policies_chatbot_syntax.md)。
**建立聊天應用程式政策**
1. 在類似以下內容的文字檔案中建立聊天應用程式政策:
`testpolicy.json` 的內容:
```
{
"chatbot": {
"platforms": {
"slack": {
"client": {
"@@assign": "enabled"
},
"workspaces": {
"@@assign": [
"Slack-Workspace-Id"
]
},
"default": {
"supported_channel_types": {
"@@assign": [
"private"
]
}
}
},
"microsoft_teams": {
"client": {
"@@assign": "disabled"
}
}
}
}
}
```
此聊天應用程式政策僅允許特定工作區中的私有 Slack 頻道、停用 Microsoft Teams,並支援所有[角色設定](https://docs.aws.amazon.com/chatbot/latest/adminguide/understanding-permissions.html#role-settings)。
1. 建立包含檔案中政策內容的政策。為了便於閱讀,輸出中的額外空白字元已被截斷。
```
$ aws organizations create-policy \
--name "MyTestChatbotPolicy" \
--description "My Test policy" \
--content file://testpolicy.json \
--type CHATBOT_POLICY
{
"Policy": {
"PolicySummary": {
"Id": "p-a1b2c3d4e5",
"Arn": "arn:aws:organizations::123456789012:policy/o-aa111bb222/chatbot_policy/p-a1b2c3d4e5",
"Name": "MyTestChatApplicationsPolicy",
"Description": "My Test policy",
"Type": "CHATBOT_POLICY",
"AwsManaged": false
},
"Content": "{"chatbot":{"platforms":{"slack":{"client":{"@@assign":"enabled"},"workspaces":{"@@assign":["Slack-Workspace-Id"]},"supported_channel_types":{"@@assign":["private"]}},"microsoft_teams":{"client":{"@@assign":"disabled"}}}}}"
}
}
```
+ AWS SDKs:[CreatePolicy](https://docs.aws.amazon.com/organizations/latest/APIReference/API_CreatePolicy.html)
------
## 建立 AI 服務選擇退出政策
**最低許可**
若要建立 AI 服務選擇退出政策,您需要具有執行下列動作的許可︰
`organizations:CreatePolicy`
------
#### [ AWS 管理主控台 ]
**建立 AI 服務選擇退出政策**
1. 登入 [AWS Organizations 主控台](https://console.aws.amazon.com/organizations/v2)。您必須以 IAM 使用者登入、擔任 IAM 角色,或是以組織管理帳戶中的根使用者 ([不建議](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials)) 身分登入。
1. 在 **[AI services opt-out policies](https://console.aws.amazon.com/organizations/v2/home/policies/aiservices-opt-out-policy)** (AI 服務選擇退出政策) 頁面上,選擇 **Create policy** (建立政策)。
1. 在 [**Create new AI services opt-out policy** (建立新的 AI 服務選擇退出政策) 頁面](https://console.aws.amazon.com/organizations/v2/home/policies/aiservices-opt-out-policy/create)上,輸入 **Policy name** (政策名稱) 與選用的 **Policy description** (政策描述)。
1. (選用) 您可以透過選擇 **Add tag** (新增標籤),然後輸入一個鍵和一個選用值,來將一個或多個標籤新增至政策。將值留空會將其設定為空白字串;而不是 `null`。您可以在政策中連接最多 50 個標籤。如需詳細資訊,請參閱[標記 AWS Organizations 資源考量事項](orgs_tagging.md)。
1. 在 **JSON** 索引標籤中輸入或貼上政策文字。如需 AI 服務選擇退出政策語法的相關資訊,請參閱[AI 服務選擇退出政策語法和範例](orgs_manage_policies_ai-opt-out_syntax.md)。例如,您可以用作起點的政策,請參閱[AI 服務選擇退出政策範例](orgs_manage_policies_ai-opt-out_syntax.md#ai-opt-out-policy-examples)。
1. 當政策編輯完成時,請在頁面的右下角選擇 **Create policy** (建立政策)。
------
#### [ AWS CLI & AWS SDKs ]
**建立 AI 服務選擇退出政策**
您可以使用下列其中一項來建立標籤政策:
+ AWS CLI: [create-policy](https://docs.aws.amazon.com/cli/latest/reference/organizations/create-policy.html)
1. 建立如下所示的 AI 服務選擇退出政策,並將其存放在文字檔案中。請注意,"`optOut`" 和 "`optIn`" 區分大小寫。
```
{
"services": {
"default": {
"opt_out_policy": {
"@@assign": "optOut"
}
},
"rekognition": {
"opt_out_policy": {
"@@assign": "optIn"
}
}
}
}
```
此 AI 服務選擇退出政策規定,除了 Amazon Rekognition 以外,受政策影響的所有帳戶都選擇退出所有 AI 服務。
1. 匯入 JSON 政策檔案,以在組織中建立新的政策。在此範例中,之前的 JSON 檔案名稱為 `policy.json`。
```
$ aws organizations create-policy \
--type AISERVICES_OPT_OUT_POLICY \
--name "MyTestPolicy" \
--description "My test policy" \
--content file://policy.json
{
"Policy": {
"Content": "{\"services\":{\"default\":{\"opt_out_policy\":{\"@@assign\":\"optOut\"}},\"rekognition\":{\"opt_out_policy\":{\"@@assign\":\"optIn\"}}}}",
"PolicySummary": {
"Id": "p-i9j8k7l6m5"
"Arn": "arn:aws:organizations::o-aa111bb222:policy/aiservices_opt_out_policy/p-i9j8k7l6m5",
"Description": "My test policy",
"Name": "MyTestPolicy",
"Type": "AISERVICES_OPT_OUT_POLICY"
}
}
}
```
+ AWS SDKs:[CreatePolicy](https://docs.aws.amazon.com/organizations/latest/APIReference/API_CreatePolicy.html)
------
## 建立升級推展政策
**最低許可**
若要建立升級推展政策,您需要執行下列動作的許可:
`organizations:CreatePolicy`
------
#### [ AWS 管理主控台 ]
**建立升級推展政策**
1. 登入 [AWS Organizations 主控台](https://console.aws.amazon.com/organizations/v2)。您必須以 IAM 使用者登入、擔任 IAM 角色,或是以組織管理帳戶中的根使用者 ([不建議](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials)) 身分登入。
1. 在**[升級推展政策](https://console.aws.amazon.com/organizations/v2/home/policies/upgrade-rollout-policy)**頁面上,選擇**建立政策**。
1. 在[**建立新的升級推展政策**頁面上](https://console.aws.amazon.com/organizations/v2/home/policies/declarative-policy-ec2/create),輸入**政策名稱**和選用**的政策描述**。
1. (選用) 您可以透過選擇 **Add tag** (新增標籤),然後輸入一個鍵和一個選用值,來將一個或多個標籤新增至政策。將值留空會將其設定為空白字串;而不是 `null`。您可以在政策中連接最多 50 個標籤。如需詳細資訊,請參閱[標記 AWS Organizations 資源考量事項](orgs_tagging.md)。
1. 您可以使用 **Visual editor (視覺化編輯器)** 建置政策,如本程序所述。您也可以在 **JSON** 索引標籤中輸入或貼上政策文字。如需詳細資訊,請參閱[升級推展政策語法和範例](orgs_manage_policies_upgrade_syntax.md)。
如果您選擇使用**視覺化編輯器**,請選取您要用於升級推展政策的升級順序。如需升級訂單的詳細資訊,請參閱 [什麼是升級推展政策?](orgs_manage_policies_upgrade_rollout.md#orgs_manage_policies_upgrade_rollout_what_are)。
1. 在**政策順序和資源**下,從功能表中選取**第一個**、**第二個**或**最後一個**。
1. (選用) 若要使用此政策鎖定個別資源,請選取**覆寫特定資源**,然後執行下列動作:
1. 在**金鑰**中,輸入您要覆寫的資源名稱。
1. 在**值**中,輸入資源的 ARN。
1. 在**升級順序**中,選擇應套用至此資源的偏好順序。
1. 如果需要指定其他資源,請選擇**新增標籤**,然後重複上述步驟來定義標籤索引鍵。
1. 當政策編輯完成時,請在頁面的右下角選擇 **Create policy** (建立政策)。
您的新政策會出現在升級推展政策清單中。您現在可以[將政策連接至根帳戶、OUs 或帳戶](orgs_policies_attach.md)。
------
#### [ AWS CLI & AWS SDKs ]
**建立升級推展政策**
您可以使用下列其中一項來建立升級推展政策:
+ AWS CLI: [create-policy](https://docs.aws.amazon.com/cli/latest/reference/organizations/create-policy.html)
1. 建立如下所示的升級推展政策,並將其存放在文字檔案中。
```
{
"upgrade_rollout": {
"default": {
"patch_order": {
"@@assign": "last"
}
},
"tags": {
"my_patch_order_tag": {
"tag_values": {
"tag1": {
"patch_order": {
"@@assign": "first"
}
},
"tag2": {
"patch_order": {
"@@assign": "second"
}
},
"tag3": {
"patch_order": {
"@@assign": "last"
}
}
}
}
}
}
}
```
此升級推展政策會定義服務如何 AWS 將自動升級套用至資源的順序。如需有關升級推展政策語法的資訊,請參閱 [升級推展政策語法和範例](orgs_manage_policies_upgrade_syntax.md)。
1. 匯入 JSON 政策檔案,以在組織中建立新的政策。在此範例中,之前的 JSON 檔案名稱為 `policy.json`。
```
$ aws organizations create-policy \
--type UPGRADE_ROLLOUT_POLICY \
--name "MyTestPolicy" \
--description "My test policy" \
--content file://policy.json
{
"Policy": {
"PolicySummary": {
"Id": "p-i9j8k7l6m5",
"Arn": "arn:aws:organizations::123456789012:policy/o-aa111bb222/upgrade_rollout_policy/p-i9j8k7l6m5",
"Name": "MyTestPolicy",
"Description": "My test policy",
"Type": "UPGRADE_ROLLOUT_POLICY",
"AwsManaged": false
},
"Content": "{\n \"upgrade_rollout\": {\n \"default\": {\n \"patch_order\": {\n \"@@assign\": \"last\"\n }\n },\n \"tags\": {\n \"my_patch_order_tag\": {\n \"tag_values\": {\n \"tag1\": {\n \"patch_order\": {\n \"@@assign\": \"first\"\n }\n },\n \"tag2\": {\n \"patch_order\": {\n \"@@assign\": \"second\"\n }\n },\n \"tag3\": {\n \"patch_order\": {\n \"@@assign\": \"last\"\n }\n }\n }\n }\n }\n }\n}\n"
}
}
```
+ AWS SDKs:[CreatePolicy](https://docs.aws.amazon.com/organizations/latest/APIReference/API_CreatePolicy.html)
------
## 建立 Security Hub 政策
**最低許可**
若要建立 Security Hub 政策,您需要執行下列動作的許可:
`organizations:CreatePolicy`
------
#### [ AWS 管理主控台 ]
**建立 Security Hub 政策**
1. 登入 [AWS Organizations 主控台](https://console.aws.amazon.com/organizations/v2)。您必須以 IAM 使用者登入、擔任 IAM 角色,或是以組織管理帳戶中的根使用者 ([不建議](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials)) 身分登入。
1. 在 **[Security Hub 政策](https://console.aws.amazon.com/organizations/v2/home/policies/securityhub-policy)**頁面上,選擇**建立政策**。
1. 在[**建立新的 Security Hub 政策**頁面上](https://console.aws.amazon.com/organizations/v2/home/policies/securityhub-policy/create),輸入**政策名稱**和選用**的政策描述**。
1. (選用) 您可以透過選擇 **Add tag** (新增標籤),然後輸入一個鍵和一個選用值,來將一個或多個標籤新增至政策。將值留空會將其設定為空白字串;而不是 `null`。您可以在政策中連接最多 50 個標籤。如需詳細資訊,請參閱[標記 AWS Organizations 資源考量事項](orgs_tagging.md)。
1. 在 JSON 程式碼方塊中輸入或貼上政策文字。如需 Security Hub 政策語法的相關資訊,請參閱 [Security Hub 政策語法和範例](orgs_manage_policies_security_hub_syntax.md)。例如,您可以用作起點的政策,請參閱[Security Hub 政策範例](orgs_manage_policies_security_hub_syntax.md#security-hub-policy-examples)。
1. 當政策編輯完成時,請在頁面的右下角選擇 **Create policy** (建立政策)。
------
#### [ AWS CLI & AWS SDKs ]
**建立 Security Hub 政策**
您可以使用下列其中一項來建立 Security Hub 政策:
+ AWS CLI: [create-policy](https://docs.aws.amazon.com/cli/latest/reference/organizations/create-policy.html)
**範例:建立在所有支援區域中啟用 Security Hub 的政策**
以下範例假設您已有名稱為 `testPolicy_enableAllSupportedRegions.json` 的檔案,且包含 JSON 政策文字。它使用該檔案來建立新的 Security Hub 政策。
```
$ aws organizations create-policy \
--content file://./testPolicy_enableAllSupportedRegions.json \
--name "testPolicy_enableAllSupportedRegions" \
--description "Test policy to enable securityhub in ALL_SUPPORTED Regions" \
--type SECURITYHUB_POLICY
{
"Policy": {
"PolicySummary": {
"Id": "p-66ev7hgcvj",
"Arn": "arn:aws:organizations::123456789012:policy/o-aa111bb222/securityhub_policy/p-66ev7hgcvj",
"Name": "testPolicy_enableAllSupportedRegions",
"Description": "Test policy to enable securityhub in ALL_SUPPORTED Regions",
"Type": "SECURITYHUB_POLICY",
"AwsManaged": false
},
"Content": "{\n \"securityhub\": {\n \"enable_in_regions\": {\n \"@@assign\":[\n \"ALL_SUPPORTED\"\n ]\n },\n \"disable_in_regions\": {\n \"@@assign\":[]\n }\n }\n}\n"
}
}
```
**範例:建立政策,在所有支援的區域中啟用 Security Hub,但在 us-east-1 區域中停用**
以下範例假設您已有名稱為 `testPolicy_enableAllSupportedRegions_Disable_us-east-1.json` 的檔案,且包含 JSON 政策文字。它使用該檔案來建立新的 Security Hub 政策。
```
$ aws organizations create-policy \
--content file://./testPolicy_enableAllSupportedRegions_Disable_us-east-1.json \
--name "testPolicy_enableAllSupportedRegions_Disable_us-east-1" \
--description "Test policy to enable securityhub in ALL_SUPPORTED Regions but disable in us-east-1 Region" \
--type SECURITYHUB_POLICY
{
"Policy": {
"PolicySummary": {
"Id": "p-66217dwpos",
"Arn": "arn:aws:organizations::123456789012:policy/o-aa111bb222/securityhub_policy/p-66217dwpos",
"Name": "testPolicy_enableAllSupportedRegions_Disable_us-east-1",
"Description": "Test policy to enable securityhub in ALL_SUPPORTED Regions but disable in us-east-1 Region",
"Type": "SECURITYHUB_POLICY",
"AwsManaged": false
},
"Content": "{\n \"securityhub\": {\n \"enable_in_regions\": {\n \"@@assign\":[\n \"ALL_SUPPORTED\"\n ]\n },\n \"disable_in_regions\": {\n \"@@assign\":[\n \"us-east-1\"\n ]\n }\n }\n}\n"
}
}
```
+ AWS SDKs:[CreatePolicy](https://docs.aws.amazon.com/organizations/latest/APIReference/API_CreatePolicy.html)
------