本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 使用 分離組織政策 AWS Organizations
本主題說明如何使用 分離政策 AWS Organizations。*政策*會定義您要套用至 群組的控制項 AWS 帳戶。
**Topics**
+ [分離政策](#detach_policy)
## 使用 分離政策 AWS Organizations
**最低許可**
若要從組織根目錄、OU 或帳戶分離政策,您必須具有執行下列動作的許可:
`organizations:DetachPolicy`
**注意**
您無法從根、OU 或 帳戶分離最後一個授權政策 (SCP 或 RCP)。至少必須隨時有一個 SCP 和 RCP 連接到每個根帳戶、OU 和帳戶。
### AWS 管理主控台
------
#### [ Service control policies (SCPs) ]
您可以導覽至政策或您要分離政策的根、OU 或帳戶,以分離 SCP 政策。
**導覽至連接的目標根、OU 或帳戶以分離 SCP**
1. 登入 [AWS Organizations 主控台](https://console.aws.amazon.com/organizations/v2)。您必須以 IAM 使用者登入、擔任 IAM 角色,或是以組織管理帳戶中的根使用者 ([不建議](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials)) 身分登入。
1. 在 **[AWS 帳戶](https://console.aws.amazon.com/organizations/v2/home/accounts)** 頁面導覽至您要從中分離政策的根、OU 或帳戶。您可能需要展開 OU (選擇 ),以尋找您所需的 OU 和帳戶。選擇根、OU 或帳戶的名稱。
1. 在 **Policies** (政策) 索引標籤上,選擇您要分離的 SCP 旁邊的選項按鈕,然後選擇 **Detach** (分離)。
1. 在確認對話方塊中,選擇 **Detach policy** (分離政策)。
連接的 SCP 清單隨即更新。分離 SCP 導致的 SCP 變更會立即生效。例如,對於先前連接的帳戶,或先前連接的根或 OU 下的帳戶,分離 SCP 會立即影響其中 IAM 使用者和角色的許可。
**導覽至政策以分離 SCP**
1. 登入 [AWS Organizations 主控台](https://console.aws.amazon.com/organizations/v2)。您必須以 IAM 使用者登入、擔任 IAM 角色,或是以組織管理帳戶中的根使用者 ([不建議](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials)) 身分登入。
1. 在 **[Service control policies](https://console.aws.amazon.com/organizations/v2/home/policies/service-control-policy)** (服務控制政策) 頁面上,選擇您要從根、OU 或帳戶分離的政策名稱。
1. 在 **Targets** (目標) 索引標籤上,選擇您要分離政策的根、OU 或帳戶旁的選項按鈕。您可能需要展開 OU (選擇 ),以尋找您所需的 OU 和帳戶。
1. 請選擇**分離**。
1. 在確認對話方塊中,選擇 **Detach** (分離)。
連接的 SCP 清單隨即更新。分離 SCP 導致的 SCP 變更會立即生效。例如,對於先前連接的帳戶,或先前連接的根或 OU 下的帳戶,分離 SCP 會立即影響其中 IAM 使用者和角色的許可。
------
#### [ Resource control policies (RCPs) ]
您可以透過導覽至政策或要從中分離政策的根帳戶、OU 或帳戶來分離 RCP。從實體分離 RCP 之後,該 RCP 不再適用於受現在分離的實體影響的任何資源。
**注意**
**您無法分離`RCPFullAWSAccess`政策**
`RCPFullAWSAccess` 政策會自動連接到根帳戶、每個 OU,以及您組織中的每個帳戶。您無法分離此政策。
**導覽至其連接的根帳戶、OU 或帳戶,以分離 RCP**
1. 登入 [AWS Organizations 主控台](https://console.aws.amazon.com/organizations/v2)。您必須以 IAM 使用者登入、擔任 IAM 角色,或是以組織管理帳戶中的根使用者 ([不建議](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials)) 身分登入。
1. 在 **[AWS 帳戶](https://console.aws.amazon.com/organizations/v2/home/accounts)** 頁面導覽至您要從中分離政策的根、OU 或帳戶。您可能需要展開 OU (選擇 ),以尋找您所需的 OU 和帳戶。選擇根、OU 或帳戶的名稱。
1. 在**政策**索引標籤上,選擇您要分離的 RCP 旁的選項按鈕,然後選擇**分離**。
1. 在確認對話方塊中,選擇 **Detach policy** (分離政策)。
連接的 RCPs 清單已更新。分離 RCP 所造成的政策變更會立即生效。例如,分離 RCP 會立即影響先前連接之帳戶或先前連接之組織根帳戶或 OU 下的 IAM 使用者和角色的許可。
**導覽至政策以分離 RCP**
1. 登入 [AWS Organizations 主控台](https://console.aws.amazon.com/organizations/v2)。您必須以 IAM 使用者登入、擔任 IAM 角色,或是以組織管理帳戶中的根使用者 ([不建議](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials)) 身分登入。
1. 在**資源控制政策**頁面上,選擇要從根、OU 或帳戶分離的政策名稱。
1. 在 **Targets** (目標) 索引標籤上,選擇您要分離政策的根、OU 或帳戶旁的選項按鈕。您可能需要展開 OU (選擇 ),以尋找您所需的 OU 和帳戶。
1. 請選擇**分離**。
1. 在確認對話方塊中,選擇 **Detach** (分離)。
連接的 RCPs 清單已更新。分離 RCP 所造成的政策變更會立即生效。例如,分離 RCP 會立即影響先前連接之帳戶或先前連接之組織根帳戶或 OU 下的 IAM 使用者和角色的許可。
------
#### [ Declarative policies ]
您可以透過導覽至政策或要從中分離政策的根帳戶、OU 或帳戶,來分離宣告性政策。
**導覽至所連接的根帳戶、OU 或帳戶,以分離宣告政策**
1. 登入 [AWS Organizations 主控台](https://console.aws.amazon.com/organizations/v2)。您必須以 IAM 使用者登入、擔任 IAM 角色,或是以組織管理帳戶中的根使用者 ([不建議](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials)) 身分登入。
1. 在 **[AWS 帳戶](https://console.aws.amazon.com/organizations/v2/home/accounts)** 頁面導覽至您要從中分離政策的根、OU 或帳戶。您可能需要展開 OU (選擇 ),以尋找您所需的 OU 和帳戶。選擇根、OU 或帳戶的名稱。
1. 在**政策**索引標籤上,選擇您要分離的宣告政策旁的選項按鈕,然後選擇**分離**。
1. 在確認對話方塊中,選擇 **Detach policy** (分離政策)。
連接的宣告政策清單已更新。政策變更會立即生效。
**導覽至政策以分離宣告政策**
1. 登入 [AWS Organizations 主控台](https://console.aws.amazon.com/organizations/v2)。您必須以 IAM 使用者登入、擔任 IAM 角色,或是以組織管理帳戶中的根使用者 ([不建議](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials)) 身分登入。
1. 在**[宣告政策](https://console.aws.amazon.com/organizations/v2/home/policies/declarative-policy-ec2)**頁面上,選擇要從根、OU 或帳戶分離的政策名稱。
1. 在 **Targets** (目標) 索引標籤上,選擇您要分離政策的根、OU 或帳戶旁的選項按鈕。您可能需要展開 OU (選擇 ),以尋找您所需的 OU 和帳戶。
1. 請選擇**分離**。
1. 在確認對話方塊中,選擇 **Detach** (分離)。
連接的宣告政策清單已更新。政策變更會立即生效。
------
#### [ Backup policies ]
您可以導覽至政策或分離接政策的根、OU 或帳戶,以分離備份政策。
**導覽至連接的根、OU 或帳戶以分離備份政策**
1. 登入 [AWS Organizations 主控台](https://console.aws.amazon.com/organizations/v2)。您必須以 IAM 使用者登入、擔任 IAM 角色,或是以組織管理帳戶中的根使用者 ([不建議](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials)) 身分登入。
1. 在 **[AWS 帳戶](https://console.aws.amazon.com/organizations/v2/home/accounts)** 頁面導覽至您要從中分離政策的根、OU 或帳戶。您可能需要展開 OU (選擇 ),以尋找您所需的 OU 和帳戶。選擇根、OU 或帳戶的名稱。
1. 在 **Policies** (政策) 索引標籤上,選擇您要分離的備份政策旁邊的選項按鈕,然後選擇 **Detach** (分離)。
1. 在確認對話方塊中,選擇 **Detach policy** (分離政策)。
連接的備份政策清單會隨即更新。政策變更會立即生效。
**導覽至政策以分離備份政策**
1. 登入 [AWS Organizations 主控台](https://console.aws.amazon.com/organizations/v2)。您必須以 IAM 使用者登入、擔任 IAM 角色,或是以組織管理帳戶中的根使用者 ([不建議](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials)) 身分登入。
1. 在 **[Backup policies](https://console.aws.amazon.com/organizations/v2/home/policies/backup-policy)** (備份政策) 頁面上,選擇您要從根、OU 或帳戶分離的政策名稱。
1. 在 **Targets** (目標) 索引標籤上,選擇您要分離政策的根、OU 或帳戶旁的選項按鈕。您可能需要展開 OU (選擇 ),以尋找您所需的 OU 和帳戶。
1. 請選擇**分離**。
1. 在確認對話方塊中,選擇 **Detach** (分離)。
連接的備份政策清單會隨即更新。政策變更會立即生效。
------
#### [ Tag policies ]
您可以導覽至政策或分離接政策的根、OU 或帳戶,以分離標籤政策。
**導覽至連接的根、OU 或帳戶以分離標籤政策**
1. 登入 [AWS Organizations 主控台](https://console.aws.amazon.com/organizations/v2)。您必須以 IAM 使用者登入、擔任 IAM 角色,或是以組織管理帳戶中的根使用者 ([不建議](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials)) 身分登入。
1. 在 **[AWS 帳戶](https://console.aws.amazon.com/organizations/v2/home/accounts)** 頁面導覽至您要從中分離政策的根、OU 或帳戶。您可能需要展開 OU (選擇 ),以尋找您所需的 OU 和帳戶。選擇根、OU 或帳戶的名稱。
1. 在 **Policies** (政策) 索引標籤上,選擇您要分離的標籤政策旁邊的選項按鈕,然後選擇 **Detach** (分離)。
1. 在確認對話方塊中,選擇 **Detach policy** (分離政策)。
連接的標籤政策清單會隨即更新。政策變更會立即生效。
**導覽至標籤政策以分離備份政策**
1. 登入 [AWS Organizations 主控台](https://console.aws.amazon.com/organizations/v2)。您必須以 IAM 使用者登入、擔任 IAM 角色,或是以組織管理帳戶中的根使用者 ([不建議](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials)) 身分登入。
1. 在 **[Tag policies](https://console.aws.amazon.com/organizations/v2/home/policies/tag-policy)** (標籤政策) 頁面上,選擇您要從根、OU 或帳戶分離的政策名稱。
1. 在 **Targets** (目標) 索引標籤上,選擇您要分離政策的根、OU 或帳戶旁的選項按鈕。您可能需要展開 OU (選擇 ),以尋找您所需的 OU 和帳戶。
1. 請選擇**分離**。
1. 在確認對話方塊中,選擇 **Detach** (分離)。
連接的標籤政策清單會隨即更新。政策變更會立即生效。
------
#### [ Chat applications policies ]
您可以透過導覽至政策或要從中分離政策的根帳戶、OU 或帳戶,來分離聊天應用程式政策。
**導覽至其連接的根、OU 或帳戶,以分離聊天應用程式政策**
1. 登入 [AWS Organizations 主控台](https://console.aws.amazon.com/organizations/v2)。您必須以 IAM 使用者登入、擔任 IAM 角色,或是以組織管理帳戶中的根使用者 ([不建議](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials)) 身分登入。
1. 在 **[AWS 帳戶](https://console.aws.amazon.com/organizations/v2/home/accounts)** 頁面導覽至您要從中分離政策的根、OU 或帳戶。您可能需要展開 OU (選擇 ),以尋找您所需的 OU 和帳戶。選擇根、OU 或帳戶的名稱。
1. 在**政策**索引標籤上,選擇您要分離的聊天應用程式政策旁的選項按鈕,然後選擇**分離**。
1. 在確認對話方塊中,選擇 **Detach policy** (分離政策)。
已更新連接的聊天應用程式政策清單。政策變更會立即生效。
**導覽至政策以分離聊天應用程式政策**
1. 登入 [AWS Organizations 主控台](https://console.aws.amazon.com/organizations/v2)。您必須以 IAM 使用者登入、擔任 IAM 角色,或是以組織管理帳戶中的根使用者 ([不建議](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials)) 身分登入。
1. 在 **[Chatbot 政策](https://console.aws.amazon.com/organizations/v2/home/policies/chatbot-policy)**頁面上,選擇要從根帳戶、OU 或帳戶分離的政策名稱。
1. 在 **Targets** (目標) 索引標籤上,選擇您要分離政策的根、OU 或帳戶旁的選項按鈕。您可能需要展開 OU (選擇 ),以尋找您所需的 OU 和帳戶。
1. 請選擇**分離**。
1. 在確認對話方塊中,選擇 **Detach** (分離)。
已更新連接的聊天應用程式政策清單。政策變更會立即生效。
------
#### [ AI services opt-out policies ]
您可以導覽至政策或分離接政策的根、OU 或帳戶,以分離 AI 服務選擇退出政策。
**導覽至連接的根、OU 或帳戶以分離 AI 服務選擇退出政策**
1. 登入 [AWS Organizations 主控台](https://console.aws.amazon.com/organizations/v2)。您必須以 IAM 使用者登入、擔任 IAM 角色,或是以組織管理帳戶中的根使用者 ([不建議](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials)) 身分登入。
1. 在 **[AWS 帳戶](https://console.aws.amazon.com/organizations/v2/home/accounts)** 頁面導覽至您要從中分離政策的根、OU 或帳戶。您可能需要展開 OU (選擇 ),以尋找您所需的 OU 和帳戶。選擇根、OU 或帳戶的名稱。
1. 在 **Policies** (政策) 索引標籤上,選擇您要分離的 AI 服務選擇退出政策旁邊的選項按鈕,然後選擇 **Detach** (分離)。
1. 在確認對話方塊中,選擇 **Detach policy** (分離政策)。
已更新連接 AI 服務選擇退出政策的清單。政策變更會立即生效。
**導覽至政策以分離 AI 服務選擇退出政策**
1. 登入 [AWS Organizations 主控台](https://console.aws.amazon.com/organizations/v2)。您必須以 IAM 使用者登入、擔任 IAM 角色,或是以組織管理帳戶中的根使用者 ([不建議](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials)) 身分登入。
1. 在 **[AI services opt-out policies](https://console.aws.amazon.com/organizations/v2/home/policies/aiservices-opt-out-policy)** (AI 服務選擇退出政策) 頁面上,選擇您要從根、OU 或帳戶分離的政策名稱。
1. 在 **Targets** (目標) 索引標籤上,選擇您要分離政策的根、OU 或帳戶旁的選項按鈕。您可能需要展開 OU (選擇 ),以尋找您所需的 OU 和帳戶。
1. 請選擇**分離**。
1. 在確認對話方塊中,選擇 **Detach** (分離)。
已更新連接 AI 服務選擇退出政策的清單。政策變更會立即生效。
------
#### [ Security Hub policies ]
您可以透過導覽至政策或要從中分離政策的根帳戶、OU 或帳戶,來分離 Security Hub 政策。
**導覽至其連接的根帳戶、OU 或帳戶,以分離 Security Hub 政策**
1. 登入 [AWS Organizations 主控台](https://console.aws.amazon.com/organizations/v2)。您必須以 IAM 使用者登入、擔任 IAM 角色,或是以組織管理帳戶中的根使用者 ([不建議](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials)) 身分登入。
1. 在 **[AWS 帳戶](https://console.aws.amazon.com/organizations/v2/home/accounts)** 頁面導覽至您要從中分離政策的根、OU 或帳戶。您可能需要展開 OU (選擇 ),以尋找您所需的 OU 和帳戶。選擇根、OU 或帳戶的名稱。
1. 在**政策**索引標籤上,選擇您要分離的 Security Hub 政策旁的選項按鈕,然後選擇**分離**。
1. 在確認對話方塊中,選擇 **Detach policy** (分離政策)。
連接的 Security Hub 政策清單已更新。政策變更會立即生效。
**導覽至政策以分離 Security Hub 政策**
1. 登入 [AWS Organizations 主控台](https://console.aws.amazon.com/organizations/v2)。您必須以 IAM 使用者登入、擔任 IAM 角色,或是以組織管理帳戶中的根使用者 ([不建議](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials)) 身分登入。
1. 在 **[Security Hub 政策](https://console.aws.amazon.com/organizations/v2/home/policies/securityhub-policy)**頁面上,選擇要從根帳戶、OU 或帳戶分離的政策名稱。
1. 在 **Targets** (目標) 索引標籤上,選擇您要分離政策的根、OU 或帳戶旁的選項按鈕。您可能需要展開 OU (選擇 ),以尋找您所需的 OU 和帳戶。
1. 請選擇**分離**。
1. 在確認對話方塊中,選擇 **Detach** (分離)。
連接的 Security Hub 政策清單已更新。政策變更會立即生效。
------
### AWS CLI & AWS SDKs
**連接政策**
下列程式碼範例示範如何使用 `DetachPolicy`。
------
#### [ .NET ]
**適用於 .NET 的 SDK**
GitHub 上提供更多範例。尋找完整範例,並了解如何在 [AWS 程式碼範例儲存庫](https://github.com/awsdocs/aws-doc-sdk-examples/tree/main/dotnetv3/Organizations#code-examples)中設定和執行。
```
using System;
using System.Threading.Tasks;
using Amazon.Organizations;
using Amazon.Organizations.Model;
///
/// Shows how to detach a policy from an AWS Organizations organization,
/// organizational unit, or account.
///
public class DetachPolicy
{
///
/// Initializes the Organizations client object and uses it to call
/// DetachPolicyAsync to detach the policy.
///
public static async Task Main()
{
// Create the client object using the default account.
IAmazonOrganizations client = new AmazonOrganizationsClient();
var policyId = "p-00000000";
var targetId = "r-0000";
var request = new DetachPolicyRequest
{
PolicyId = policyId,
TargetId = targetId,
};
var response = await client.DetachPolicyAsync(request);
if (response.HttpStatusCode == System.Net.HttpStatusCode.OK)
{
Console.WriteLine($"Successfully detached policy with Policy Id: {policyId}.");
}
else
{
Console.WriteLine("Could not detach the policy.");
}
}
}
```
+ 如需 API 詳細資訊,請參閱《*適用於 .NET 的 AWS SDK API 參考*》中的 [DetachPolicy](https://docs.aws.amazon.com/goto/DotNetSDKV3/organizations-2016-11-28/DetachPolicy)。
------
#### [ CLI ]
**AWS CLI**
**將政策從根帳戶、OU 或帳戶分開**
下列範例示範如何從 OU 分開政策。
```
aws organizations detach-policy --target-id {{ou-examplerootid111-exampleouid111}} --policy-id {{p-examplepolicyid111}}
```
+ 如需 API 詳細資訊,請參閱《AWS CLI 命令參考》**中的 [DetachPolicy](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/organizations/detach-policy.html)。
------
#### [ Python ]
**適用於 Python 的 SDK (Boto3)**
GitHub 上提供更多範例。尋找完整範例,並了解如何在 [AWS 程式碼範例儲存庫](https://github.com/awsdocs/aws-doc-sdk-examples/tree/main/python/example_code/organizations#code-examples)中設定和執行。
```
def detach_policy(policy_id, target_id, orgs_client):
"""
Detaches a policy from a target.
:param policy_id: The ID of the policy to detach.
:param target_id: The ID of the resource where the policy is currently attached.
:param orgs_client: The Boto3 Organizations client.
"""
try:
orgs_client.detach_policy(PolicyId=policy_id, TargetId=target_id)
logger.info("Detached policy %s from target %s.", policy_id, target_id)
except ClientError:
logger.exception(
"Couldn't detach policy %s from target %s.", policy_id, target_id
)
raise
```
+ 如需 API 詳細資訊,請參閱《AWS SDK for Python (Boto3) API 參考》**中的 [DetachPolicy](https://docs.aws.amazon.com/goto/boto3/organizations-2016-11-28/DetachPolicy)。
------
#### [ SAP ABAP ]
**適用於 SAP ABAP 的開發套件**
GitHub 上提供更多範例。尋找完整範例,並了解如何在 [AWS 程式碼範例儲存庫](https://github.com/awsdocs/aws-doc-sdk-examples/tree/main/sap-abap/services/org#code-examples)中設定和執行。
```
TRY.
lo_org->detachpolicy(
iv_policyid = iv_policy_id
iv_targetid = iv_target_id ).
MESSAGE 'Policy detached from target.' TYPE 'I'.
CATCH /aws1/cx_orgaccessdeniedex.
MESSAGE 'You do not have permission to detach the policy.' TYPE 'E'.
CATCH /aws1/cx_orgpolicynotfoundex.
MESSAGE 'The specified policy does not exist.' TYPE 'E'.
CATCH /aws1/cx_orgtargetnotfoundex.
MESSAGE 'The specified target does not exist.' TYPE 'E'.
CATCH /aws1/cx_orgpolicynotattex.
MESSAGE 'The policy is not attached to the target.' TYPE 'E'.
ENDTRY.
```
+ 如需 API 詳細資訊,請參閱《適用於 *AWS SAP ABAP 的 SDK API 參考*》中的 [DetachPolicy](https://docs.aws.amazon.com/sdk-for-sap-abap/v1/api/latest/index.html)。
------
政策變更會立即生效,如果適用,會影響連接帳戶或連接根帳戶或 OU 下所有帳戶的 IAM 使用者、角色和資源的許可。