Aktualisieren Sie eine ressourcenbasierte Delegierungsrichtlinie mit AWS Organizations

Aktualisieren Sie über das Verwaltungskonto eine ressourcenbasierte Delegierungsrichtlinie für Ihre Organisation und fügen Sie eine Erklärung hinzu, die angibt, welche Mitgliedskonten Aktionen für Richtlinien ausführen können. Sie können der Richtlinie mehrere Anweisungen hinzufügen, um unterschiedliche Berechtigungen für Mitgliedskonten anzugeben.

Mindestberechtigungen

Um die Richtlinie für die ressourcenbasierte Delegierung zu aktualisieren, benötigen Sie Berechtigungen zum Ausführen der folgenden Aktionen:

organizations:PutResourcePolicy
organizations:DescribeResourcePolicy

Darüber hinaus müssen Sie Rollen und Benutzern im delegierten Administratorkonto die entsprechenden IAM Berechtigungen für die erforderlichen Aktionen gewähren. Ohne IAM Berechtigungen wird davon ausgegangen, dass der aufrufende Prinzipal nicht über die erforderlichen Berechtigungen zum Verwalten von AWS Organizations Richtlinien verfügt.

AWS Management Console

Verwenden Sie eine der folgenden Methoden, um der ressourcenbasierten Delegierungsrichtlinie in der AWS Management Console Anweisungen hinzuzufügen:

JSONRichtlinie — Fügen Sie ein Beispiel für eine ressourcenbasierte Delegierungsrichtlinie ein und passen Sie es an, um es in Ihrem Konto zu verwenden, oder geben Sie Ihr eigenes JSON Richtliniendokument in den JSON Editor ein.
Visueller Editor — Erstellen Sie im visuellen Editor eine neue Delegierungsrichtlinie, die Sie bei der Erstellung einer Delegierungsrichtlinie unterstützt, ohne Syntax schreiben JSON zu müssen.

Verwenden Sie den JSON Richtlinien-Editor, um eine Delegierungsrichtlinie zu aktualisieren

Melden Sie sich an der AWS Organizations -Konsole an. Sie müssen sich als IAM Benutzer anmelden, eine IAM Rolle annehmen oder sich als Root-Benutzer (nicht empfohlen) im Verwaltungskonto der Organisation anmelden.
Wählen Sie Settings (Einstellungen) aus.
Wählen Sie im AWS Organizations Abschnitt Delegierter Administrator für die Option Bearbeiten aus, um die Delegierungsrichtlinie für Organizations zu aktualisieren.
Geben Sie ein JSON Richtliniendokument ein. Einzelheiten zur Sprache der IAM Richtlinie finden Sie in der IAMJSONRichtlinienreferenz.
Beheben Sie alle Sicherheitswarnungen, Fehler oder allgemeinen Warnungen, die während der Richtlinienvalidierung generiert wurden, und wählen Sie dann Richtlinie erstellen aus.

Verwenden Sie den visuellen Editor, um eine Delegierungsrichtlinie zu aktualisieren

Melden Sie sich an der AWS Organizations -Konsole an. Sie müssen sich als IAM Benutzer anmelden, eine IAM Rolle annehmen oder sich als Root-Benutzer (nicht empfohlen) im Verwaltungskonto der Organisation anmelden.
Wählen Sie Settings (Einstellungen) aus.
Wählen Sie im AWS Organizations Abschnitt Delegierter Administrator für die Option Bearbeiten aus, um die Delegierungsrichtlinie für Organizations zu aktualisieren.
Wählen Sie auf der Seite Create Delegation policy (Delegierungsrichtlinie erstellen) die Option Add new statement (Neue Anweisung hinzufügen) aus.
Stellen Sie Effect (Effekt) auf Allow.
Fügen Sie den Principal hinzu, um die Mitgliedskonten zu definieren, an die Sie delegieren möchten.
Wählen Sie aus der Liste Actions (Aktionen) die Aktionen aus, die Sie delegieren möchten. Sie können die Auswahl mithilfe der Option Filter actions (Aktionen filtern) eingrenzen.
Um anzugeben, ob das delegierte Mitgliedskonto Richtlinien an den Organisationsstamm oder die Organisationseinheiten (OUs) anhängen kann, legen Sie fest. Resources Sie müssen auch policy als Ressourcentyp auswählen. Sie können Ressourcen auf folgende Weise angeben:
- Wählen Sie Ressource hinzufügen und erstellen Sie den Amazon-Ressourcennamen (ARN), indem Sie den Anweisungen im Dialogfeld folgen.
- Führen Sie die Ressource ARNs manuell im Editor auf. Weitere Informationen zur ARN Syntax finden Sie unter Amazon Resource Name (ARN) im AWS Allgemeinen Referenzhandbuch. Informationen zur Verwendung ARNs im Ressourcenelement einer Richtlinie finden Sie unter IAMJSONRichtlinienelemente: Ressource.
Wählen Sie Add a condition (Bedingung hinzufügen), um weitere Bedingungen anzugeben, einschließlich des Richtlinientyps, den Sie delegieren möchten. Wählen Sie den Condition Key (Bedingungsschlüssel), den Tag key (Tag-Schlüssel), den Qualifier (Qualifizierer) und den Operator (Operator) der Bedingung aus und geben Sie dann einen Value (Wert) ein. Wählen Sie danach Add condition (Bedingung hinzufügen) aus. Weitere Informationen zum Element „Bedingung“ finden Sie in der IAMJSONRichtlinienreferenz unter „IAMJSONRichtlinienelemente: Bedingung“.
Um mehr Berechtigungsblöcke hinzuzufügen, wählen Sie Add new statement (Neue Anweisung hinzufügen). Wiederholen Sie die Schritte 5 bis 9 für jeden Block.
Beheben Sie alle Sicherheitswarnungen, Fehler oder allgemeinen Warnungen, die während der Richtlinienüberprüfung generiert wurden, und wählen Sie dann Richtlinie speichern aus.

AWS CLI & AWS SDKs

Erstellen oder Aktualisieren einer Delegierungsrichtlinie

Sie können zum Erstellen oder Aktualisieren einer Richtlinie die folgenden Befehle verwenden:

AWS CLI: put-resource-policy

Im folgenden Beispiel wird die Delegierungsrichtlinie erstellt oder aktualisiert.


$ aws organizations put-resource-policy --content
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "Fully_manage_backup_policies",
            "Effect": "Allow",
            "Principal": {
                "AWS": "135791357913"
            },
            "Action": [
                "organizations:DescribeOrganization",
                "organizations:ListAccounts",
                "organizations:CreatePolicy",
                "organizations:DescribePolicy",
                "organizations:UpdatePolicy",
                "organizations:DeletePolicy",
                "organizations:AttachPolicy",
                "organizations:DetachPolicy"
            ],
            "Resource": [
                "arn:aws:organizations::246802468024:root/o-abcdef/r-pqrstu",
                "arn:aws:organizations::246802468024:ou/o-abcdef/*",
                "arn:aws:organizations::246802468024:account/o-abcdef/*",
                "arn:aws:organizations::246802468024:organization/policy/backup_policy/*",
            ],
            "Condition": {
                "StringLikeIfExists": {
                    "organizations:PolicyType": [
                        "BACKUP_POLICY"
                    ]
                }
            }
        }
    ]
}

AWS SDK: PutResourcePolicy

Unterstützte Richtlinienaktionen zur Delegierung

Folgende Aktionen werden in der Delegierungsrichtlinie unterstützt:

AttachPolicy
CreatePolicy
DeletePolicy
DescribeAccount
DescribeCreateAccountStatus
DescribeEffectivePolicy
DescribeHandshake
DescribeOrganization
DescribeOrganizationalUnit
DescribePolicy
DescribeResourcePolicy
DetachPolicy
DisablePolicyType
EnablePolicyType
ListAccounts
ListAccountsForParent
ListAWSServiceAccessForOrganization
ListChildren
ListCreateAccountStatus
ListDelegatedAdministrators
ListDelegatedServicesForAccount
ListHandshakesForAccount
ListHandshakesForOrganization
ListOrganizationalUnitsForParent
ListParents
ListPolicies
ListPoliciesForTarget
ListRoots
ListTagsForResource
ListTargetsForPolicy
TagResource
UntagResource
UpdatePolicy

Unterstützte Bedingungsschlüssel

Nur Bedingungsschlüssel, die von unterstützt werden, AWS Organizations können für Delegierungsrichtlinien verwendet werden. Weitere Informationen finden Sie unter Bedingungsschlüssel für AWS Organizations in der Service Authorization Reference.

Warnung JavaScript ist in Ihrem Browser nicht verfügbar oder deaktiviert.

Zur Nutzung der AWS-Dokumentation muss JavaScript aktiviert sein. Weitere Informationen finden auf den Hilfe-Seiten Ihres Browsers.

Dokumentkonventionen

Erstellen Sie eine ressourcenbasierte Delegierungsrichtlinie

Anzeigen einer ressourcenbasierte Delegierungsrichtlinie