AWS verwaltete IAM Richtlinien AWS Richtlinien zur verwalteten Servicesteuerung

AWS verwaltete Richtlinien für AWS Organizations

In diesem Abschnitt werden die AWS-verwaltete Richtlinien, die Ihnen zur Verwaltung Ihrer Organisation zur Verfügung gestellt werden. Sie können eine nicht ändern oder löschen AWS verwaltete Richtlinie, aber Sie können sie nach Bedarf an Entitäten in Ihrer Organisation anhängen oder davon trennen.

AWS Organizations verwaltete Richtlinien zur Verwendung mit AWS Identity and Access Management (IAM)

Eine IAM verwaltete Richtlinie wird bereitgestellt und verwaltet von AWS. Eine verwaltete Richtlinie bietet Berechtigungen für allgemeine Aufgaben, die Sie Ihren Benutzern zuweisen können, indem Sie die verwaltete Richtlinie an das entsprechende IAM Benutzer- oder Rollenobjekt anhängen. Sie müssen die Richtlinie nicht selbst schreiben, und wann AWS aktualisiert die Richtlinie bei Bedarf, um neue Dienste zu unterstützen. Sie profitieren automatisch und sofort von der Aktualisierung. Sie können die Liste von sehen AWS verwaltete Richtlinien auf der Seite Richtlinien auf der IAM Konsole. Verwenden Sie das Drop-down-Menü Richtlinien filtern, um Folgendes auszuwählen AWS verwaltet.

Sie können die folgenden verwalteten Richtlinien verwenden, um Benutzern in Ihrer Organisation Berechtigungen zu erteilen.

Richtlinienname Beschreibung ARN

Richtlinienname	Beschreibung	ARN
AWSOrganizationsFullAccess	Stellt alle Berechtigungen bereit, die zum Erstellen und vollständigen Verwalten einer Organisation erforderlich sind. Sehen Sie sich die Richtlinie an: `AWSOrganizationsFullAccess`.	arn:aws:iam: :aws:policy/ AWSOrganizationsFullAccess
AWSOrganizationsReadOnlyAccess	Bietet schreibgeschützten Zugriff auf Informationen über die Organisation. Es erlaubt dem Benutzer nicht, Änderungen vorzunehmen. Sehen Sie sich die Richtlinie an:. `AWSOrganizationsReadOnlyAccess`	arn:aws:iam: :aws:policy/ AWSOrganizationsReadOnlyAccess

AWSOrganizationsFullAccess

Stellt alle Berechtigungen bereit, die zum Erstellen und vollständigen Verwalten einer Organisation erforderlich sind.

Sehen Sie sich die Richtlinie an: AWSOrganizationsFullAccess.

arn:aws:iam: :aws:policy/ AWSOrganizationsFullAccess

AWSOrganizationsReadOnlyAccess

Bietet schreibgeschützten Zugriff auf Informationen über die Organisation. Es erlaubt dem Benutzer nicht, Änderungen vorzunehmen.

Sehen Sie sich die Richtlinie an:. AWSOrganizationsReadOnlyAccess

arn:aws:iam: :aws:policy/ AWSOrganizationsReadOnlyAccess

Updates für Organizations AWS Verwaltete Richtlinien

Die folgende Tabelle enthält Informationen zu Aktualisierungen von AWS verwaltete Richtlinien, seit dieser Dienst begonnen hat, diese Änderungen zu verfolgen. Wenn Sie automatische Benachrichtigungen über Änderungen an dieser Seite erhalten möchten, abonnieren Sie den RSS Feed auf AWS Organizations Seite „Dokumentenverlauf“.

Änderung	Beschreibung	Datum
AWSOrganizationsReadOnlyAccess— aktualisiert, um API Kontoberechtigungen zuzulassen, die zum Anzeigen der E-Mail-Adresse eines Root-Benutzers erforderlich sind.	Organizations haben die `account:GetPrimaryEmail` Aktion hinzugefügt, um den Zugriff auf die Anzeige der Root-Benutzer-E-Mail-Adresse für jedes Mitgliedskonto in einer Organisation zu ermöglichen, und die `account:GetRegionOptStatus` Aktion, um den Zugriff auf die aktivierten Regionen für jedes Mitgliedskonto in einer Organisation zu ermöglichen, hinzugefügt.	6. Juni 2024
AWSOrganizationsFullAccess— aktualisiert und enthält nun `Sid` Elemente, die die Grundsatzerklärung beschreiben.	Organizations haben `Sid` Elemente für die `AWSOrganizationsFullAccess` verwaltete Richtlinie hinzugefügt.	6. Februar 2024
AWSOrganizationsReadOnlyAccess— aktualisiert und enthält nun `Sid` Elemente, die die Grundsatzerklärung beschreiben.	Organizations haben `Sid` Elemente für die `AWSOrganizationsReadOnlyAccess` verwaltete Richtlinie hinzugefügt.	6. Februar 2024
AWSOrganizationsFullAccess— aktualisiert, um API Kontoberechtigungen zuzulassen, die zum Aktivieren oder Deaktivieren erforderlich sind AWS-Regionen über die Organisationskonsole.	Organizations mit der hinzugefügten Aktion `account:ListRegions`, `account:EnableRegion` und `account:DisableRegion`, um den Schreibzugriff zu aktivieren, um Regionen für ein Konto zu aktivieren oder zu deaktivieren.	22. Dezember 2022
AWSOrganizationsReadOnlyAccess— aktualisiert, um API Kontoberechtigungen zuzulassen, die zum Auflisten erforderlich sind AWS-Regionen über die Organisationskonsole.	Organizations mit der hinzugefügten Aktion `account:ListRegions`, um den Zugriff zum Anzeigen der Regionen für ein Konto zu ermöglichen.	22. Dezember 2022
AWSOrganizationsFullAccess— aktualisiert, um API Kontoberechtigungen zuzulassen, die zum Hinzufügen oder Bearbeiten von Kontokontakten über die Organisationskonsole erforderlich sind.	Organisationen haben der Richtlinie die `account:GetContactInformation`- und `account:PutContactInformation`-Aktionen hinzugefügt, um den Schreibzugriff zum Ändern alternativer Kontakte für ein Konto zu ermöglichen.	21. Oktober 2022
AWSOrganizationsReadOnlyAccess— aktualisiert, um API Kontoberechtigungen zuzulassen, die zum Anzeigen von Kontokontakten über die Organisationskonsole erforderlich sind.	Organisationen haben der Richtlinie die `account:GetContactInformation`-Aktion hinzugefügt, um den Zugriff zum Anzeigen Kontakte für ein Konto zu ermöglichen.	21. Oktober 2022
AWSOrganizationsFullAccess— aktualisiert, um die Erstellung einer Organisation zu ermöglichen.	Organisationen haben der Richtlinie die Berechtigung `CreateServiceLinkedRole` hinzugefügt, um das Erstellen der serviceverknüpften Rolle zu ermöglichen, die zum Erstellen einer Organisation erforderlich ist. Die Berechtigung ist auf das Erstellen einer Rolle beschränkt, die nur vom `organizations.amazonaws.com`-Service verwendet werden kann.	24. August 2022
AWSOrganizationsFullAccess— aktualisiert, um API Kontoberechtigungen zu ermöglichen, die zum Hinzufügen, Bearbeiten oder Löschen von alternativen Kontokontakten über die Organisationskonsole erforderlich sind.	Organisationen haben der Richtlinie die `account:GetAlternateContact`-, `account:DeleteAlternateContact`-, `account:PutAlternateContact`-Aktionen hinzugefügt, um den Schreibzugriff zum Ändern alternativer Kontakte für ein Konto zu ermöglichen.	7. Februar 2022
AWSOrganizationsReadOnlyAccess— aktualisiert, um API Kontoberechtigungen zuzulassen, die erforderlich sind, um alternative Kontokontakte über die Organisationskonsole anzuzeigen.	Organisationen haben der Richtlinie die `account:GetAlternateContact`-Aktion hinzugefügt, um den Zugriff zum Anzeigen alternativer Kontakte für ein Konto zu ermöglichen.	7. Februar 2022

AWS Organizations Richtlinien zur verwalteten Servicesteuerung

Richtlinien zur Dienstkontrolle (SCPs) ähneln IAM Berechtigungsrichtlinien, sind jedoch ein Merkmal von AWS Organizations eher alsIAM. Sie verwenden diese SCPs Option, um maximale Berechtigungen für die betroffenen Entitäten anzugeben. Sie können Verbindungen SCPs zu Stammverzeichnissen, Organisationseinheiten (OUs) oder Konten in Ihrer Organisation herstellen. Sie können Ihre eigenen Richtlinien erstellen oder die darin enthaltenen Richtlinien IAM verwenden. Die Liste der Richtlinien in Ihrer Organisation finden Sie auf der Seite Richtlinien in der Organizations-Konsole.

Wichtig

Jedem Root, jeder Organisationseinheit und jedem Konto muss stets mindestens eines SCP zugeordnet sein.

Richtlinienname	Beschreibung	ARN
F ullAWSAccess	Stellt zur Verfügung AWS Organizations Zugriff auf Mitgliedskonten über Verwaltungskonten.	arn:aws:organizations: :aws:policy/service_control_policy/P-F ullAWSAccess

Warnung JavaScript ist in Ihrem Browser nicht verfügbar oder deaktiviert.

Zur Nutzung der AWS-Dokumentation muss JavaScript aktiviert sein. Weitere Informationen finden auf den Hilfe-Seiten Ihres Browsers.

Dokumentkonventionen

Beispiele für identitätsbasierte Richtlinien

Attributbasierte Zugriffskontrolle mit Tags