AWS kebijakan terkelola Pembaruan kebijakan yang AWS dikelola Organizations AWS kebijakan kontrol layanan terkelola

AWS kebijakan terkelola untuk AWS Organizations

Bagian ini mengidentifikasi kebijakan yang AWS dikelola yang disediakan untuk Anda gunakan untuk mengelola organisasi Anda. Anda tidak dapat mengubah atau menghapus kebijakan AWS terkelola, tetapi Anda dapat melampirkan atau melepaskannya ke entitas di organisasi sesuai kebutuhan.

AWS Organizations kebijakan terkelola untuk digunakan dengan AWS Identity and Access Management (IAM)

Kebijakan IAM terkelola disediakan dan dikelola oleh AWS. Kebijakan terkelola menyediakan izin untuk tugas umum yang dapat Anda tetapkan kepada pengguna dengan melampirkan kebijakan terkelola ke IAM pengguna atau objek peran yang sesuai. Anda tidak perlu menulis kebijakan sendiri, dan ketika AWS memperbarui kebijakan yang sesuai untuk mendukung layanan baru, Anda secara otomatis dan segera mendapatkan manfaat dari pembaruan. Anda dapat melihat daftar kebijakan AWS terkelola di halaman Kebijakan di IAM konsol. Gunakan drop-down Filter kebijakan untuk memilih terkelola AWS .

Anda dapat menggunakan kebijakan terkelola ini untuk memberikan izin kepada pengguna di organisasi Anda.

AWS kebijakan terkelola: AWSOrganizationsFullAccess

Menyediakan semua izin yang diperlukan untuk membuat dan sepenuhnya mengelola sebuah organisasi.

Lihat kebijakan: AWSOrganizationsFullAccess.

AWS kebijakan terkelola: AWSOrganizationsReadOnlyAccess

Menyediakan akses baca saja ke informasi tentang organisasi. Izin ini tidak mengizinkan pengguna untuk melakukan perubahan.

Lihat kebijakan: AWSOrganizationsReadOnlyAccess.

AWS kebijakan terkelola: DeclarativePoliciesEC2Report

Kebijakan ini digunakan oleh peran AWSServiceRoleForDeclarativePoliciesEC2Reportterkait layanan untuk memungkinkannya menjelaskan status atribut akun untuk akun anggota.

Lihat kebijakan: DeclarativePoliciesEC2Report.

Pembaruan kebijakan yang AWS dikelola Organizations

Tabel berikut merinci pembaruan kebijakan AWS terkelola sejak layanan ini mulai melacak perubahan ini. Untuk peringatan otomatis tentang perubahan pada halaman ini, berlangganan RSS feed di halaman Riwayat AWS Organizations Dokumen.

Perubahan	Deskripsi	Tanggal
Kebijakan terkelola baru - DeclarativePoliciesEC2Report	Menambahkan `DeclarativePoliciesEC2Report` kebijakan untuk mengaktifkan fungsionalitas peran AWSServiceRoleForDeclarativePoliciesEC2Report terkait layanan.	November 22, 2024
AWSOrganizationsReadOnlyAccess— diperbarui untuk memungkinkan API izin akun yang diperlukan untuk melihat alamat email pengguna root.	Organizations menambahkan `account:GetPrimaryEmail` tindakan untuk mengaktifkan akses untuk melihat alamat email pengguna root untuk setiap akun anggota dalam organisasi dan `account:GetRegionOptStatus` tindakan untuk mengaktifkan akses untuk melihat Wilayah yang diaktifkan untuk akun anggota mana pun di organisasi.	Juni 6, 2024
AWSOrganizationsFullAccess— diperbarui untuk memasukkan `Sid` elemen yang menggambarkan pernyataan kebijakan.	Organizations menambahkan `Sid` elemen untuk kebijakan yang `AWSOrganizationsFullAccess` dikelola.	Februari 6, 2024
AWSOrganizationsReadOnlyAccess— diperbarui untuk memasukkan `Sid` elemen yang menggambarkan pernyataan kebijakan.	Organizations menambahkan `Sid` elemen untuk kebijakan yang `AWSOrganizationsReadOnlyAccess` dikelola.	Februari 6, 2024
AWSOrganizationsFullAccess— diperbarui untuk memungkinkan API izin akun yang diperlukan untuk mengaktifkan atau menonaktifkan Wilayah AWS melalui konsol Organizations.	Organizations menambahkan`account:ListRegions`, `account:EnableRegion` dan `account:DisableRegion` tindakan ke kebijakan untuk mengaktifkan akses tulis guna mengaktifkan atau menonaktifkan Wilayah untuk akun.	22 Desember 2022
AWSOrganizationsReadOnlyAccess— diperbarui untuk memungkinkan API izin akun yang diperlukan untuk mendaftar Wilayah AWS melalui konsol Organizations.	Organizations menambahkan `account:ListRegions` tindakan ke kebijakan untuk mengaktifkan akses untuk melihat Wilayah untuk akun.	22 Desember 2022
AWSOrganizationsFullAccess— diperbarui untuk memungkinkan API izin akun yang diperlukan untuk menambah atau mengedit kontak akun melalui konsol Organizations.	Organizations menambahkan `account:PutContactInformation` tindakan `account:GetContactInformation` dan ke kebijakan untuk mengaktifkan akses tulis untuk mengubah kontak untuk akun.	21 Oktober 2022
AWSOrganizationsReadOnlyAccess— diperbarui untuk memungkinkan API izin akun yang diperlukan untuk melihat kontak akun melalui konsol Organizations.	Organizations menambahkan `account:GetContactInformation` tindakan ke kebijakan untuk mengaktifkan akses untuk melihat kontak untuk akun.	21 Oktober 2022
AWSOrganizationsFullAccess— diperbarui untuk memungkinkan pembuatan organisasi.	Organizations menambahkan izin `CreateServiceLinkedRole` ke kebijakan untuk mengaktifkan pembuatan peran terkait layanan yang diperlukan untuk membuat organisasi. Izin ini dibatasi untuk menciptakan peran yang dapat digunakan oleh layanan `organizations.amazonaws.com` saja.	Agustus 24, 2022
AWSOrganizationsFullAccess— diperbarui untuk memungkinkan API izin akun yang diperlukan untuk menambah, mengedit, atau menghapus kontak alternatif akun melalui konsol Organizations.	Organizations menambahkan `account:GetAlternateContactaccount:DeleteAlternateContact`,, `account:PutAlternateContact` tindakan ke kebijakan untuk mengaktifkan akses tulis untuk mengubah kontak alternatif untuk akun.	Februari 7, 2022
AWSOrganizationsReadOnlyAccess— diperbarui untuk memungkinkan API izin akun yang diperlukan untuk melihat kontak alternatif akun melalui konsol Organizations.	Organizations menambahkan `account:GetAlternateContact` tindakan ke kebijakan untuk mengaktifkan akses untuk melihat kontak alternatif untuk akun.	Februari 7, 2022

AWS Organizations kebijakan kontrol layanan terkelola

Kebijakan kontrol layanan (SCPs) mirip dengan kebijakan IAM izin, tetapi merupakan fitur dari AWS Organizations bukanIAM. Anda gunakan SCPs untuk menentukan izin maksimum untuk entitas yang terpengaruh. Anda dapat melampirkan SCPs ke root, unit organisasi (OUs), atau akun di organisasi Anda. Anda dapat membuat sendiri, atau Anda dapat menggunakan kebijakan yang IAM mendefinisikan. Anda dapat melihat daftar kebijakan di organisasi Anda di halaman Kebijakan di konsol Organizations.

penting

Setiap root, OU, dan akun harus memiliki setidaknya satu yang SCP terpasang setiap saat.

Nama kebijakan	Deskripsi	ARN
F ullAWSAccess	Menyediakan akses akun AWS Organizations manajemen ke akun anggota.	arn:aws:organisasi: :aws: -F policy/service_control_policy/p ullAWSAccess

Awas Javascript dinonaktifkan atau tidak tersedia di browser Anda.

Untuk menggunakan Dokumentasi AWS, Javascript harus diaktifkan. Lihat halaman Bantuan browser Anda untuk petunjuk.

Konvensi Dokumen

Contoh kebijakan berbasis sumber daya

Kontrol akses berbasis atribut dengan tag dan