Creación de una política de delegación basada en recursos con AWS Organizations - AWS Organizations

Creación de una política de delegación basada en recursos con AWS Organizations

Desde la cuenta de administración, cree una política de delegación basada en recursos para su organización y agregue una declaración que especifique qué cuenta miembro puede llevar a cabo acciones en las políticas. Puede agregar varias declaraciones en la política para denotar distintos conjuntos de permisos para las cuentas de los miembros.

Permisos mínimos

Para crear o actualizar una política de delegación basada en recursos, necesita permisos para poner en marcha las siguientes acciones:

  • organizations:PutResourcePolicy

  • organizations:DescribeResourcePolicy

Además, debe conceder a los roles y usuarios de la cuenta de administrador delegado los permisos de IAM correspondientes a las acciones requeridas. Si no dispone de los permisos de IAM, se considera que la entidad de seguridad principal que realiza la llamada no dispone de los permisos necesarios para administrar las políticas deAWS Organizations.

AWS Management Console

Agregue declaraciones a la política de delegación basada en recursos en la AWS Management Console utilizando uno de los siguientes métodos:

  • Política JSON: pegue y personalice una política de delegación basada en recursos de ejemplo para usarla en su cuenta, o escriba su propio documento de política de JSON en el editor de JSON.

  • Editor visual: cree una nueva política de delegación en el editor visual, que le guiará en la creación de una política de delegación sin tener que escribir la sintaxis JSON.

Uso del editor de políticas JSON para crear una política de delegación

  1. Inicie sesión en la consola de AWS Organizations. Debe iniciar sesión como usuario de IAM, asumir un rol de IAM; o iniciar sesión como usuario raíz (no se recomienda) en la cuenta de administración de la organización.

  2. Elija Configuración.

  3. En la sección Administrador delegado para AWS Organizations, elija Delegar para crear la política de delegación de las organizaciones.

  4. Especifique un documento de política JSON. Para obtener más información sobre el lenguaje de la política de IAM, consulte Referencia de políticas JSON de IAM.

  5. Resuelva cualquier advertencia de seguridad, error o advertencia general generada durante la validación de la política y, a continuación, elija Create policy (Crear política) para guardar su trabajo.

Uso del editor visual para crear una política de delegación

  1. Inicie sesión en la consola de AWS Organizations. Debe iniciar sesión como usuario de IAM, asumir un rol de IAM; o iniciar sesión como usuario raíz (no se recomienda) en la cuenta de administración de la organización.

  2. Elija Configuración.

  3. En la sección Administrador delegado para AWS Organizations, elija Delegar para crear la política de delegación de las organizaciones.

  4. En la página Crear política de delegación, elija Add new statement (Agregar nueva declaración).

  5. Establezca Effect (Efecto) en Allow.

  6. Agregue Principal para definir las cuentas de miembros en las que desea delegar.

  7. En la lista de Acciones, elija las acciones que quiera delegar. Puede utilizar Filtrar acciones para limitar las opciones.

  8. Para especificar si la cuenta de miembro delegado puede adjuntar políticas a la raíz de la organización o a las unidades organizativas (OU), establezca Resources. También debe seleccionar policy como tipo de recurso. Puede especificar recursos de las siguientes maneras:

    • Seleccione Add a resource (Agregar un recurso) y cree el Nombre de recurso de Amazon (ARN) siguiendo las instrucciones del cuadro de diálogo.

    • Enumere manualmente los ARN de recursos en el editor. Para obtener más información acerca de la sintaxis de ARN, consulte Amazon Resource Names (ARN) (Nombre de recurso de Amazon (ARN)) en la Guía de referencia general de AWS. Para obtener información sobre el uso de ARN en el elemento resource de una política, consulte Elementos de política JSON de IAM: Resource.

  9. Elija Add a condition (Agregar una condición) para especificar otras condiciones, incluido el tipo de política que desea delegar. Elija la Condition key (Clave de condición), Tag key (Clave de etiqueta) Qualifier (Calificador) y Operator (Operador) de la condición y, a continuación, escriba un Value. Cuando haya terminado elija Add condition (Añadir condición). Para obtener más información sobre el elemento Condición, consulte Elementos de política JSON de IAM: Condition.

  10. Para añadir más bloques de permisos, elija Add new statement (Añadir nueva declaración). Para cada bloque, repita los pasos 5 a 9.

  11. Resuelva cualquier advertencia de seguridad, error o advertencia general generada durante la validación de la política y, a continuación, elija Crear política para guardar su trabajo.

AWS CLI & AWS SDKs
Creación de una política de delegación

Puede utilizar el siguiente comando para crear una política de delegación:

  • AWS CLI: put-resource-policy

    En el siguiente ejemplo se crea una política de delegación.

    $ aws organizations put-resource-policy --content
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "Fully_manage_backup_policies",
            "Effect": "Allow",
            "Principal": {
                "AWS": "135791357913"
            },
            "Action": [
                "organizations:DescribeOrganization",
                "organizations:ListAccounts",
                "organizations:CreatePolicy",
                "organizations:DescribePolicy",
                "organizations:UpdatePolicy",
                "organizations:DeletePolicy",
                "organizations:AttachPolicy",
                "organizations:DetachPolicy"
            ],
            "Resource": [
                "arn:aws:organizations::246802468024:root/o-abcdef/r-pqrstu",
                "arn:aws:organizations::246802468024:ou/o-abcdef/*",
                "arn:aws:organizations::246802468024:account/o-abcdef/*",
                "arn:aws:organizations::246802468024:organization/policy/backup_policy/*",
            ],
            "Condition": {
                "StringLikeIfExists": {
                    "organizations:PolicyType": [
                        "BACKUP_POLICY"
                    ]
                }
            }
        }
    ]
}
Acciones de política de delegación admitidas

Se admiten las siguientes acciones para políticas de delegación:

  • AttachPolicy

  • CreatePolicy

  • DeletePolicy

  • DescribeAccount

  • DescribeCreateAccountStatus

  • DescribeEffectivePolicy

  • DescribeHandshake

  • DescribeOrganization

  • DescribeOrganizationalUnit

  • DescribePolicy

  • DescribeResourcePolicy

  • DetachPolicy

  • DisablePolicyType

  • EnablePolicyType

  • ListAccounts

  • ListAccountsForParent

  • ListAWSServiceAccessForOrganization

  • ListChildren

  • ListCreateAccountStatus

  • ListDelegatedAdministrators

  • ListDelegatedServicesForAccount

  • ListHandshakesForAccount

  • ListHandshakesForOrganization

  • ListOrganizationalUnitsForParent

  • ListParents

  • ListPolicies

  • ListPoliciesForTarget

  • ListRoots

  • ListTagsForResource

  • ListTargetsForPolicy

  • TagResource

  • UntagResource

  • UpdatePolicy

Claves de condición admitidas

Solo las claves de condición admitidas por AWS Organizations se pueden usar para la política de delegación. Para obtener más información, consulte Condition keys for AWS Organizations en la Referencia de autorizaciones de servicio.