Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Membuat kebijakan delegasi berbasis sumber daya dengan AWS Organizations
Dari akun manajemen, buat kebijakan delegasi berbasis sumber daya untuk organisasi Anda dan tambahkan pernyataan yang menentukan akun anggota mana yang dapat melakukan tindakan pada kebijakan. Anda dapat menambahkan beberapa pernyataan dalam kebijakan untuk menunjukkan kumpulan izin yang berbeda ke akun anggota.
Untuk membuat kebijakan delegasi berbasis sumber daya, Anda memerlukan izin untuk menjalankan tindakan berikut:
Selain itu, Anda harus memberikan peran dan pengguna di akun administrator yang didelegasikan IAM izin yang sesuai untuk tindakan yang diperlukan. Tanpa IAM izin, diasumsikan bahwa prinsipal panggilan tidak memiliki izin yang diperlukan untuk mengelola AWS Organizations kebijakan.
- AWS Management Console
-
Tambahkan pernyataan ke kebijakan delegasi berbasis sumber daya dalam AWS Management Console
menggunakan salah satu metode berikut:
-
JSONkebijakan — Tempelkan dan sesuaikan contoh kebijakan delegasi berbasis sumber daya untuk digunakan di akun Anda, atau ketik dokumen JSON kebijakan Anda sendiri di editor. JSON
-
Editor visual - Buat kebijakan delegasi baru di editor visual, yang memandu Anda dalam membuat kebijakan delegasi tanpa harus menulis sintaks. JSON
Gunakan editor JSON kebijakan untuk membuat kebijakan delegasi
-
Masuk ke konsol AWS Organizations tersebut. Anda harus masuk sebagai IAM pengguna, IAM berperan, atau masuk sebagai pengguna root (tidak disarankan) di akun manajemen organisasi.
-
Pilih Pengaturan.
-
Di AWS Organizations bagian Administrator yang didelegasikan, pilih Delegasi untuk membuat kebijakan delegasi Organizations.
-
Masukkan dokumen JSON kebijakan. Untuk detail tentang bahasa IAM kebijakan, lihat referensi IAMJSONkebijakan.
-
Selesaikan peringatan keamanan, kesalahan, atau peringatan umum yang dihasilkan selama validasi kebijakan, lalu pilih Buat kebijakan untuk menyimpan pekerjaan Anda.
Gunakan editor visual untuk membuat kebijakan delegasi
-
Masuk ke konsol AWS Organizations tersebut. Anda harus masuk sebagai IAM pengguna, IAM berperan, atau masuk sebagai pengguna root (tidak disarankan) di akun manajemen organisasi.
-
Pilih Pengaturan.
-
Di AWS Organizations bagian Administrator yang didelegasikan, pilih Delegasi untuk membuat kebijakan delegasi Organizations.
-
Pada halaman kebijakan Buat Delegasi, pilih Tambahkan pernyataan baru.
-
Atur Efek keAllow
.
-
Tambahkan Principal
untuk menentukan akun anggota yang ingin Anda delegasikan.
-
Dari daftar Tindakan, pilih tindakan yang ingin Anda delegasikan. Anda dapat menggunakan tindakan Filter untuk mempersempit pilihan.
-
Untuk menentukan apakah akun anggota yang didelegasikan dapat melampirkan kebijakan ke root organisasi atau unit organisasi (OUs), tetapkanResources
. Anda juga harus memilih policy
sebagai jenis sumber daya. Anda dapat menentukan sumber daya dengan cara berikut:
-
Pilih Tambahkan sumber daya dan buat Amazon Resource Name (ARN) dengan mengikuti petunjuk di kotak dialog.
-
Daftar sumber daya ARNs secara manual di editor. Untuk informasi selengkapnya tentang ARN sintaks, lihat Amazon Resource Name (ARN) di Panduan Referensi AWS Umum. Untuk informasi tentang penggunaan ARNs dalam elemen sumber daya kebijakan, lihat elemen IAM JSON kebijakan: Sumber daya.
-
Pilih Tambahkan kondisi untuk menentukan kondisi lain, termasuk jenis kebijakan yang ingin Anda delegasikan. Pilih kondisi kondisi kunci, Tag key, Qualifier, dan Operator, dan kemudian ketik aValue
. Setelah selesai, pilih Tambahkan kondisi. Untuk informasi selengkapnya tentang elemen Kondisi, lihat elemen IAM JSON kebijakan: Kondisi dalam referensi IAM JSON kebijakan.
-
Untuk menambahkan lebih banyak blok izin, pilih Tambahkan pernyataan baru. Untuk setiap blok, ulangi langkah 5 hingga 9.
-
Selesaikan peringatan keamanan, kesalahan, atau peringatan umum yang dihasilkan selama validasi kebijakan, lalu pilih Buat kebijakan untuk menyimpan pekerjaan Anda.
- AWS CLI & AWS SDKs
-
Buat kebijakan delegasi
Anda dapat menggunakan perintah berikut untuk membuat kebijakan delegasi:
-
AWS CLI: put-resource-policy
Contoh berikut membuat kebijakan delegasi.
$
aws organizations put-resource-policy --content
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "Fully_manage_backup_policies",
"Effect": "Allow",
"Principal": {
"AWS": "135791357913
"
},
"Action": [
"organizations:DescribeOrganization",
"organizations:ListAccounts",
"organizations:CreatePolicy",
"organizations:DescribePolicy",
"organizations:UpdatePolicy",
"organizations:DeletePolicy",
"organizations:AttachPolicy",
"organizations:DetachPolicy"
],
"Resource": [
"arn:aws:organizations::246802468024
:root/o-abcdef
/r-pqrstu
",
"arn:aws:organizations::246802468024
:ou/o-abcdef
/*",
"arn:aws:organizations::246802468024
:account/o-abcdef
/*",
"arn:aws:organizations::246802468024
:organization/policy/backup_policy/*",
],
"Condition": {
"StringLikeIfExists": {
"organizations:PolicyType": [
"BACKUP_POLICY"
]
}
}
}
]
}
Tindakan kebijakan delegasi yang didukung
Tindakan berikut didukung untuk kebijakan delegasi:
-
AttachPolicy
-
CreatePolicy
-
DeletePolicy
-
DescribeAccount
-
DescribeCreateAccountStatus
-
DescribeEffectivePolicy
-
DescribeHandshake
-
DescribeOrganization
-
DescribeOrganizationalUnit
-
DescribePolicy
-
DescribeResourcePolicy
-
DetachPolicy
-
DisablePolicyType
-
EnablePolicyType
-
ListAccounts
-
ListAccountsForParent
-
ListAWSServiceAccessForOrganization
-
ListChildren
-
ListCreateAccountStatus
-
ListDelegatedAdministrators
-
ListDelegatedServicesForAccount
-
ListHandshakesForAccount
-
ListHandshakesForOrganization
-
ListOrganizationalUnitsForParent
-
ListParents
-
ListPolicies
-
ListPoliciesForTarget
-
ListRoots
-
ListTagsForResource
-
ListTargetsForPolicy
-
TagResource
-
UntagResource
-
UpdatePolicy
Kunci kondisi yang didukung
Hanya kunci kondisi yang didukung oleh yang AWS Organizations dapat digunakan untuk kebijakan delegasi. Untuk informasi selengkapnya, lihat Kunci kondisi untuk AWS Organizations Referensi Otorisasi Layanan.