Memperbarui kebijakan delegasi berbasis sumber daya dengan AWS Organizations - AWS Organizations

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Memperbarui kebijakan delegasi berbasis sumber daya dengan AWS Organizations

Dari akun manajemen, perbarui kebijakan delegasi berbasis sumber daya untuk organisasi Anda dan tambahkan pernyataan yang menentukan akun anggota mana yang dapat melakukan tindakan pada kebijakan. Anda dapat menambahkan beberapa pernyataan dalam kebijakan untuk menunjukkan kumpulan izin yang berbeda ke akun anggota.

Izin minimum

Untuk memperbarui kebijakan delegasi berbasis sumber daya, Anda memerlukan izin untuk menjalankan tindakan berikut:

  • organizations:PutResourcePolicy

  • organizations:DescribeResourcePolicy

Selain itu, Anda harus memberikan peran dan pengguna di akun administrator yang didelegasikan IAM izin yang sesuai untuk tindakan yang diperlukan. Tanpa IAM izin, diasumsikan bahwa prinsipal panggilan tidak memiliki izin yang diperlukan untuk mengelola AWS Organizations kebijakan.

AWS Management Console

Tambahkan pernyataan ke kebijakan delegasi berbasis sumber daya dalam AWS Management Console menggunakan salah satu metode berikut:

  • JSONkebijakan — Tempelkan dan sesuaikan contoh kebijakan delegasi berbasis sumber daya untuk digunakan di akun Anda, atau ketik dokumen JSON kebijakan Anda sendiri di editor. JSON

  • Editor visual - Buat kebijakan delegasi baru di editor visual, yang memandu Anda dalam membuat kebijakan delegasi tanpa harus menulis sintaks. JSON

Menggunakan editor JSON kebijakan untuk memperbarui kebijakan delegasi

  1. Masuk ke konsol AWS Organizations tersebut. Anda harus masuk sebagai IAM pengguna, IAM berperan, atau masuk sebagai pengguna root (tidak disarankan) di akun manajemen organisasi.

  2. Pilih Pengaturan.

  3. Di AWS Organizations bagian Administrator yang didelegasikan, pilih Edit untuk memperbarui kebijakan delegasi Organizations.

  4. Masukkan dokumen JSON kebijakan. Untuk detail tentang bahasa IAM kebijakan, lihat referensi IAMJSONkebijakan.

  5. Selesaikan peringatan keamanan, kesalahan, atau peringatan umum yang dihasilkan selama validasi kebijakan, lalu pilih Buat kebijakan.

Menggunakan editor visual memperbarui kebijakan delegasi

  1. Masuk ke konsol AWS Organizations tersebut. Anda harus masuk sebagai IAM pengguna, IAM berperan, atau masuk sebagai pengguna root (tidak disarankan) di akun manajemen organisasi.

  2. Pilih Pengaturan.

  3. Di AWS Organizations bagian Administrator yang didelegasikan, pilih Edit untuk memperbarui kebijakan delegasi Organizations.

  4. Pada halaman kebijakan Buat Delegasi, pilih Tambahkan pernyataan baru.

  5. Atur Efek keAllow.

  6. Tambahkan Principal untuk menentukan akun anggota yang ingin Anda delegasikan.

  7. Dari daftar Tindakan, pilih tindakan yang ingin Anda delegasikan. Anda dapat menggunakan tindakan Filter untuk mempersempit pilihan.

  8. Untuk menentukan apakah akun anggota yang didelegasikan dapat melampirkan kebijakan ke root organisasi atau unit organisasi (OUs), tetapkanResources. Anda juga harus memilih policy sebagai jenis sumber daya. Anda dapat menentukan sumber daya dengan cara berikut:

    • Pilih Tambahkan sumber daya dan buat Amazon Resource Name (ARN) dengan mengikuti petunjuk di kotak dialog.

    • Daftar sumber daya ARNs secara manual di editor. Untuk informasi selengkapnya tentang ARN sintaks, lihat Amazon Resource Name (ARN) di Panduan Referensi AWS Umum. Untuk informasi tentang penggunaan ARNs dalam elemen sumber daya kebijakan, lihat elemen IAM JSON kebijakan: Sumber daya.

  9. Pilih Tambahkan kondisi untuk menentukan kondisi lain, termasuk jenis kebijakan yang ingin Anda delegasikan. Pilih kondisi kondisi kunci, Tag key, Qualifier, dan Operator, dan kemudian ketik aValue. Setelah selesai, pilih Tambahkan kondisi. Untuk informasi selengkapnya tentang elemen Kondisi, lihat elemen IAM JSON kebijakan: Kondisi dalam referensi IAM JSON kebijakan.

  10. Untuk menambahkan lebih banyak blok izin, pilih Tambahkan pernyataan baru. Untuk setiap blok, ulangi langkah 5 hingga 9.

  11. Selesaikan peringatan keamanan, kesalahan, atau peringatan umum yang dihasilkan selama validasi kebijakan, lalu pilih Simpan kebijakan.

AWS CLI & AWS SDKs
Membuat atau memperbarui kebijakan delegasi

Anda dapat menggunakan perintah berikut untuk membuat atau memperbarui kebijakan delegasi:

  • AWS CLI: put-resource-policy

    Contoh berikut membuat atau memperbarui kebijakan delegasi.

    $ aws organizations put-resource-policy --content
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "Fully_manage_backup_policies",
            "Effect": "Allow",
            "Principal": {
                "AWS": "135791357913"
            },
            "Action": [
                "organizations:DescribeOrganization",
                "organizations:ListAccounts",
                "organizations:CreatePolicy",
                "organizations:DescribePolicy",
                "organizations:UpdatePolicy",
                "organizations:DeletePolicy",
                "organizations:AttachPolicy",
                "organizations:DetachPolicy"
            ],
            "Resource": [
                "arn:aws:organizations::246802468024:root/o-abcdef/r-pqrstu",
                "arn:aws:organizations::246802468024:ou/o-abcdef/*",
                "arn:aws:organizations::246802468024:account/o-abcdef/*",
                "arn:aws:organizations::246802468024:organization/policy/backup_policy/*",
            ],
            "Condition": {
                "StringLikeIfExists": {
                    "organizations:PolicyType": [
                        "BACKUP_POLICY"
                    ]
                }
            }
        }
    ]
}
Tindakan kebijakan delegasi yang didukung

Tindakan berikut didukung untuk kebijakan delegasi:

  • AttachPolicy

  • CreatePolicy

  • DeletePolicy

  • DescribeAccount

  • DescribeCreateAccountStatus

  • DescribeEffectivePolicy

  • DescribeHandshake

  • DescribeOrganization

  • DescribeOrganizationalUnit

  • DescribePolicy

  • DescribeResourcePolicy

  • DetachPolicy

  • DisablePolicyType

  • EnablePolicyType

  • ListAccounts

  • ListAccountsForParent

  • ListAWSServiceAccessForOrganization

  • ListChildren

  • ListCreateAccountStatus

  • ListDelegatedAdministrators

  • ListDelegatedServicesForAccount

  • ListHandshakesForAccount

  • ListHandshakesForOrganization

  • ListOrganizationalUnitsForParent

  • ListParents

  • ListPolicies

  • ListPoliciesForTarget

  • ListRoots

  • ListTagsForResource

  • ListTargetsForPolicy

  • TagResource

  • UntagResource

  • UpdatePolicy

Kunci kondisi yang didukung

Hanya kunci kondisi yang didukung oleh yang AWS Organizations dapat digunakan untuk kebijakan delegasi. Untuk informasi selengkapnya, lihat Kunci kondisi untuk AWS Organizations Referensi Otorisasi Layanan.