Erstellen Sie eine ressourcenbasierte Delegierungsrichtlinie mit AWS Organizations - AWS Organizations

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Erstellen Sie eine ressourcenbasierte Delegierungsrichtlinie mit AWS Organizations

Erstellen Sie vom Verwaltungskonto aus eine ressourcenbasierte Delegierungsrichtlinie für Ihre Organisation und fügen Sie eine Erklärung hinzu, die angibt, welche Mitgliedskonten Aktionen für Richtlinien ausführen können. Sie können der Richtlinie mehrere Anweisungen hinzufügen, um unterschiedliche Berechtigungen für Mitgliedskonten anzugeben.

Mindestberechtigungen

Um die ressourcenbasierte Delegierungsrichtlinie zu erstellen, benötigen Sie Berechtigungen zum Ausführen der folgenden Aktionen:

  • organizations:PutResourcePolicy

  • organizations:DescribeResourcePolicy

Darüber hinaus müssen Sie Rollen und Benutzern im delegierten Administratorkonto die entsprechenden IAM Berechtigungen für die erforderlichen Aktionen gewähren. Ohne IAM Berechtigungen wird davon ausgegangen, dass der aufrufende Prinzipal nicht über die erforderlichen Berechtigungen zum Verwalten von AWS Organizations Richtlinien verfügt.

AWS Management Console

Verwenden Sie eine der folgenden Methoden, um der ressourcenbasierten Delegierungsrichtlinie in der AWS Management Console Anweisungen hinzuzufügen:

  • JSONRichtlinie — Fügen Sie ein Beispiel für eine ressourcenbasierte Delegierungsrichtlinie ein und passen Sie es an, um es in Ihrem Konto zu verwenden, oder geben Sie Ihr eigenes JSON Richtliniendokument in den JSON Editor ein.

  • Visueller Editor — Erstellen Sie im visuellen Editor eine neue Delegierungsrichtlinie, die Sie bei der Erstellung einer Delegierungsrichtlinie unterstützt, ohne Syntax schreiben JSON zu müssen.

Verwenden Sie den JSON Richtlinien-Editor, um eine Delegierungsrichtlinie zu erstellen
  1. Melden Sie sich an der AWS Organizations -Konsole an. Sie müssen sich als IAM Benutzer anmelden, eine IAM Rolle annehmen oder sich als Root-Benutzer (nicht empfohlen) im Verwaltungskonto der Organisation anmelden.

  2. Wählen Sie Settings (Einstellungen) aus.

  3. Wählen Sie im Abschnitt Delegierter Administrator für AWS Organizations die Option Delegate (Delegieren) aus, um die Delegierungsrichtlinie für Organizations zu erstellen.

  4. Geben Sie ein JSON Richtliniendokument ein. Einzelheiten zur Sprache der IAM Richtlinie finden Sie in der IAMJSONRichtlinienreferenz.

  5. Beheben Sie alle Sicherheitswarnungen, Fehler oder allgemeinen Warnungen, die während der Richtlinienvalidierung erzeugt wurden, und wählen Sie dann Create policy (Richtlinie erstellen).

Verwenden Sie den visuellen Editor, um eine Delegierungsrichtlinie zu erstellen
  1. Melden Sie sich an der AWS Organizations -Konsole an. Sie müssen sich als IAM Benutzer anmelden, eine IAM Rolle annehmen oder sich als Root-Benutzer (nicht empfohlen) im Verwaltungskonto der Organisation anmelden.

  2. Wählen Sie Settings (Einstellungen) aus.

  3. Wählen Sie im Abschnitt Delegierter Administrator für AWS Organizations die Option Delegate (Delegieren) aus, um die Delegierungsrichtlinie für Organizations zu erstellen.

  4. Wählen Sie auf der Seite Create Delegation policy (Delegierungsrichtlinie erstellen) die Option Add new statement (Neue Anweisung hinzufügen) aus.

  5. Stellen Sie Effect (Effekt) auf Allow.

  6. Fügen Sie den Principal hinzu, um die Mitgliedskonten zu definieren, an die Sie delegieren möchten.

  7. Wählen Sie aus der Liste Actions (Aktionen) die Aktionen aus, die Sie delegieren möchten. Sie können die Auswahl mithilfe der Option Filter actions (Aktionen filtern) eingrenzen.

  8. Um anzugeben, ob das delegierte Mitgliedskonto Richtlinien an den Organisationsstamm oder die Organisationseinheiten (OUs) anhängen kann, legen Sie festResources. Sie müssen auch policy als Ressourcentyp auswählen. Sie können Ressourcen auf folgende Weise angeben:

    • Wählen Sie Ressource hinzufügen und erstellen Sie den Amazon-Ressourcennamen (ARN), indem Sie den Anweisungen im Dialogfeld folgen.

    • Führen Sie die Ressource ARNs manuell im Editor auf. Weitere Informationen zur ARN Syntax finden Sie unter Amazon Resource Name (ARN) im AWS Allgemeinen Referenzhandbuch. Informationen zur Verwendung ARNs im Ressourcenelement einer Richtlinie finden Sie unter IAMJSONRichtlinienelemente: Ressource.

  9. Wählen Sie Add a condition (Bedingung hinzufügen), um weitere Bedingungen anzugeben, einschließlich des Richtlinientyps, den Sie delegieren möchten. Wählen Sie den Condition Key (Bedingungsschlüssel), den Tag key (Tag-Schlüssel), den Qualifier (Qualifizierer) und den Operator (Operator) der Bedingung aus und geben Sie dann einen Value (Wert) ein. Wählen Sie danach Add condition (Bedingung hinzufügen) aus. Weitere Informationen zum Element „Bedingung“ finden Sie in der IAMJSONRichtlinienreferenz unter „IAMJSONRichtlinienelemente: Bedingung“.

  10. Um mehr Berechtigungsblöcke hinzuzufügen, wählen Sie Add new statement (Neue Anweisung hinzufügen). Wiederholen Sie die Schritte 5 bis 9 für jeden Block.

  11. Beheben Sie alle Sicherheitswarnungen, Fehler oder allgemeinen Warnungen, die während der Richtlinienvalidierung erzeugt wurden, und wählen Sie dann Create policy (Richtlinie erstellen), um Ihre Arbeit zu speichern.

AWS CLI & AWS SDKs
Erstellen Sie eine Delegierungsrichtlinie

Sie können den folgenden Befehl verwenden, um eine Delegierungsrichtlinie zu erstellen:

  • AWS CLI: put-resource-policy

    Im folgenden Beispiel wird eine Delegierungsrichtlinie erstellt.

    $ aws organizations put-resource-policy --content { "Version": "2012-10-17", "Statement": [ { "Sid": "Fully_manage_backup_policies", "Effect": "Allow", "Principal": { "AWS": "135791357913" }, "Action": [ "organizations:DescribeOrganization", "organizations:ListAccounts", "organizations:CreatePolicy", "organizations:DescribePolicy", "organizations:UpdatePolicy", "organizations:DeletePolicy", "organizations:AttachPolicy", "organizations:DetachPolicy" ], "Resource": [ "arn:aws:organizations::246802468024:root/o-abcdef/r-pqrstu", "arn:aws:organizations::246802468024:ou/o-abcdef/*", "arn:aws:organizations::246802468024:account/o-abcdef/*", "arn:aws:organizations::246802468024:organization/policy/backup_policy/*", ], "Condition": { "StringLikeIfExists": { "organizations:PolicyType": [ "BACKUP_POLICY" ] } } } ] }
Unterstützte Richtlinienaktionen zur Delegierung

Folgende Aktionen werden in der Delegierungsrichtlinie unterstützt:

  • AttachPolicy

  • CreatePolicy

  • DeletePolicy

  • DescribeAccount

  • DescribeCreateAccountStatus

  • DescribeEffectivePolicy

  • DescribeHandshake

  • DescribeOrganization

  • DescribeOrganizationalUnit

  • DescribePolicy

  • DescribeResourcePolicy

  • DetachPolicy

  • DisablePolicyType

  • EnablePolicyType

  • ListAccounts

  • ListAccountsForParent

  • ListAWSServiceAccessForOrganization

  • ListChildren

  • ListCreateAccountStatus

  • ListDelegatedAdministrators

  • ListDelegatedServicesForAccount

  • ListHandshakesForAccount

  • ListHandshakesForOrganization

  • ListOrganizationalUnitsForParent

  • ListParents

  • ListPolicies

  • ListPoliciesForTarget

  • ListRoots

  • ListTagsForResource

  • ListTargetsForPolicy

  • TagResource

  • UntagResource

  • UpdatePolicy

Unterstützte Bedingungsschlüssel

Nur Bedingungsschlüssel, die von unterstützt werden, AWS Organizations können für Delegierungsrichtlinien verwendet werden. Weitere Informationen finden Sie unter Bedingungsschlüssel für AWS Organizations in der Service Authorization Reference.