Cree una política de delegación basada en los recursos con AWS Organizations - AWS Organizations

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Cree una política de delegación basada en los recursos con AWS Organizations

Desde la cuenta de administración, cree una política de delegación basada en los recursos para su organización y añada una declaración que especifique qué cuentas de miembros pueden realizar acciones en relación con las políticas. Puede agregar varias declaraciones en la política para denotar distintos conjuntos de permisos para las cuentas de los miembros.

Permisos mínimos

Para crear la política de delegación basada en recursos, necesita permisos para ejecutar las siguientes acciones:

  • organizations:PutResourcePolicy

  • organizations:DescribeResourcePolicy

Además, debe conceder a los roles y usuarios de la cuenta de administrador delegado los IAM permisos correspondientes para realizar las acciones necesarias. Sin IAM permisos, se supone que la persona principal que realiza la llamada no tiene los permisos necesarios para gestionar AWS Organizations las políticas.

AWS Management Console

Agregue declaraciones a la política de delegación basada en recursos en la AWS Management Console utilizando uno de los siguientes métodos:

  • JSONpolítica: pegue y personalice un ejemplo de política de delegación basada en recursos para utilizarla en su cuenta, o escriba su propio documento de JSON política en el JSON editor.

  • Editor visual: cree una nueva política de delegación en el editor visual, que le sirva de guía para crear una política de delegación sin tener que escribir JSON la sintaxis.

Utilice el editor JSON de políticas para crear una política de delegación

  1. Inicie sesión en la consola de AWS Organizations. Debe iniciar sesión como IAM usuario, asumir un IAM rol o iniciar sesión como usuario raíz (no se recomienda) en la cuenta de administración de la organización.

  2. Elija Configuración.

  3. En la sección Administrador delegado para  AWS Organizations, elija Delegar para crear la política de delegación de las organizaciones.

  4. Introduzca un documento JSON de política. Para obtener más información sobre el lenguaje IAM de la política, consulte la referencia IAMJSONde la política.

  5. Resuelva cualquier advertencia de seguridad, error o advertencia general generada durante la validación de la política y, a continuación, elija Create policy (Crear política) para guardar su trabajo.

Utilice el editor visual para crear una política de delegación

  1. Inicie sesión en la consola de AWS Organizations. Debe iniciar sesión como IAM usuario, asumir un IAM rol o iniciar sesión como usuario raíz (no se recomienda) en la cuenta de administración de la organización.

  2. Elija Configuración.

  3. En la sección Administrador delegado para  AWS Organizations, elija Delegar para crear la política de delegación de las organizaciones.

  4. En la página Crear política de delegación, elija Add new statement (Agregar nueva declaración).

  5. Establezca Effect (Efecto) en Allow.

  6. Agregue Principal para definir las cuentas de miembros en las que desea delegar.

  7. En la lista de Acciones, elija las acciones que quiera delegar. Puede utilizar Filtrar acciones para limitar las opciones.

  8. Para especificar si la cuenta del miembro delegado puede adjuntar políticas a la raíz de la organización o a las unidades organizativas (OUs), Resources defina. También debe seleccionar policy como tipo de recurso. Puede especificar recursos de las siguientes maneras:

    • Seleccione Añadir un recurso y cree el nombre del recurso de Amazon (ARN) siguiendo las instrucciones del cuadro de diálogo.

    • Enumere el recurso ARNs manualmente en el editor. Para obtener más información sobre la ARN sintaxis, consulte Amazon Resource Name (ARN) en la Guía de referencia AWS general. Para obtener información sobre ARNs el uso del elemento de recurso de una política, consulte Elementos IAM JSON de política: Recurso.

  9. Elija Add a condition (Agregar una condición) para especificar otras condiciones, incluido el tipo de política que desea delegar. Elija la Condition key (Clave de condición), Tag key (Clave de etiqueta) Qualifier (Calificador) y Operator (Operador) de la condición y, a continuación, escriba un Value. Cuando haya terminado elija Add condition (Añadir condición). Para obtener más información sobre el elemento Condición, consulte Elementos IAM JSON de política: Condición en la referencia IAM JSON de política.

  10. Para añadir más bloques de permisos, elija Add new statement (Añadir nueva declaración). Para cada bloque, repita los pasos 5 a 9.

  11. Resuelva cualquier advertencia de seguridad, error o advertencia general generada durante la validación de la política y, a continuación, elija Crear política para guardar su trabajo.

AWS CLI & AWS SDKs
Cree una política de delegación

Puede usar el siguiente comando para crear una política de delegación:

  • AWS CLI: put-resource-policy

    El siguiente ejemplo crea una política de delegación.

    $ aws organizations put-resource-policy --content
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "Fully_manage_backup_policies",
            "Effect": "Allow",
            "Principal": {
                "AWS": "135791357913"
            },
            "Action": [
                "organizations:DescribeOrganization",
                "organizations:ListAccounts",
                "organizations:CreatePolicy",
                "organizations:DescribePolicy",
                "organizations:UpdatePolicy",
                "organizations:DeletePolicy",
                "organizations:AttachPolicy",
                "organizations:DetachPolicy"
            ],
            "Resource": [
                "arn:aws:organizations::246802468024:root/o-abcdef/r-pqrstu",
                "arn:aws:organizations::246802468024:ou/o-abcdef/*",
                "arn:aws:organizations::246802468024:account/o-abcdef/*",
                "arn:aws:organizations::246802468024:organization/policy/backup_policy/*",
            ],
            "Condition": {
                "StringLikeIfExists": {
                    "organizations:PolicyType": [
                        "BACKUP_POLICY"
                    ]
                }
            }
        }
    ]
}
Acciones de política de delegación admitidas

Se admiten las siguientes acciones para políticas de delegación:

  • AttachPolicy

  • CreatePolicy

  • DeletePolicy

  • DescribeAccount

  • DescribeCreateAccountStatus

  • DescribeEffectivePolicy

  • DescribeHandshake

  • DescribeOrganization

  • DescribeOrganizationalUnit

  • DescribePolicy

  • DescribeResourcePolicy

  • DetachPolicy

  • DisablePolicyType

  • EnablePolicyType

  • ListAccounts

  • ListAccountsForParent

  • ListAWSServiceAccessForOrganization

  • ListChildren

  • ListCreateAccountStatus

  • ListDelegatedAdministrators

  • ListDelegatedServicesForAccount

  • ListHandshakesForAccount

  • ListHandshakesForOrganization

  • ListOrganizationalUnitsForParent

  • ListParents

  • ListPolicies

  • ListPoliciesForTarget

  • ListRoots

  • ListTagsForResource

  • ListTargetsForPolicy

  • TagResource

  • UntagResource

  • UpdatePolicy

Claves de condición compatibles

Solo las claves de condición compatibles se AWS Organizations pueden usar para la política de delegación. Para obtener más información, consulte las claves de condición AWS Organizations en la Referencia de autorización de servicio.