Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Beispiel: Konsolidierte Berechtigungen zur Verwaltung der Backup-Richtlinien einer Organisation
Dieses Beispiel zeigt, wie Sie eine ressourcenbasierte Delegierungsrichtlinie erstellen können, die es dem Verwaltungskonto ermöglicht, alle Berechtigungen zu delegieren, die für die Verwaltung von Backup-Richtlinien innerhalb der Organisation erforderlich sind, einschließlich der Aktionen create
, read
, update
und delete
sowie der Richtlinienaktionen attach
und detach
.
Wichtig
Diese Richtlinie ermöglicht es delegierten Administratoren, die angegebenen Aktionen für Richtlinien auszuführen, die von einem beliebigen Konto in der Organisation erstellt wurden, einschließlich des Verwaltungskontos.
Diese Beispiel-Delegierungsrichtlinie gewährt die erforderlichen Berechtigungen, um Aktionen programmgesteuert vom AWS API oder aus abzuschließen. AWS CLI Um diese Delegierungsrichtlinie zu verwenden, ersetzen Sie den AWS
Platzhaltertext für MemberAccountId
,
ManagementAccountId
, OrganizationId
, und RootId
mit Ihren eigenen Informationen. Folgen Sie dann den Anweisungen in Delegierter Administrator für AWS Organizations.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "DelegatingNecessaryDescribeListActions", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::
MemberAccountId
:root" }, "Action": [ "organizations:DescribeOrganization", "organizations:DescribeOrganizationalUnit", "organizations:DescribeAccount", "organizations:ListRoots", "organizations:ListOrganizationalUnitsForParent", "organizations:ListParents", "organizations:ListChildren", "organizations:ListAccounts", "organizations:ListAccountsForParent", "organizations:ListTagsForResource" ], "Resource": "*" }, { "Sid": "DelegatingNecessaryDescribeListActionsForSpecificPolicyType", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::MemberAccountId
:root" }, "Action": [ "organizations:DescribePolicy", "organizations:DescribeEffectivePolicy", "organizations:ListPolicies", "organizations:ListPoliciesForTarget", "organizations:ListTargetsForPolicy" ], "Resource": "*", "Condition": { "StringLikeIfExists": { "organizations:PolicyType": "BACKUP_POLICY" } } }, { "Sid": "DelegatingAllActionsForBackupPolicies", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::MemberAccountId
:root" }, "Action": [ "organizations:CreatePolicy", "organizations:UpdatePolicy", "organizations:DeletePolicy", "organizations:AttachPolicy", "organizations:DetachPolicy", "organizations:EnablePolicyType", "organizations:DisablePolicyType" ], "Resource": [ "arn:aws:organizations::ManagementAccountId
:root/o-OrganizationId
/r-RootId
", "arn:aws:organizations::ManagementAccountId
:ou/o-OrganizationId
/*", "arn:aws:organizations::ManagementAccountId
:account/o-OrganizationId
/*", "arn:aws:organizations::ManagementAccountId
:policy/o-OrganizationId
/backup_policy/*" ], "Condition": { "StringLikeIfExists": { "organizations:PolicyType": "BACKUP_POLICY" } } } ] }