AWS Organizations risorse e operazioni Informazioni sulla proprietà delle risorse Gestione dell'accesso alle risorse Specifica degli elementi della policy: operazioni, condizioni, effetti e risorse

Gestione delle autorizzazioni di accesso per l'organizzazione

Tutte le AWS risorse, incluse le radiciOUs, gli account e le politiche di un'organizzazione, sono di proprietà di un Account AWS e le autorizzazioni per creare o accedere a una risorsa sono regolate da politiche di autorizzazione. Per un'organizzazione, l'account di gestione possiede tutte le risorse. Un amministratore di account può controllare l'accesso alle AWS risorse associando politiche di autorizzazione alle IAM identità (utenti, gruppi e ruoli).

Nota

Un amministratore account (o un utente amministratore) è un utente con autorizzazioni di amministratore. Per ulteriori informazioni, consulta le migliori pratiche di sicurezza IAM nella Guida per l'IAMutente.

Quando concedi le autorizzazioni, puoi specificare gli utenti che le riceveranno e le risorse per cui le ricevono, nonché le operazioni specifiche da consentire su tali risorse.

Per impostazione predefinita, IAM utenti, gruppi e ruoli non dispongono di autorizzazioni. In qualità di amministratore dell'account di gestione di un'organizzazione, puoi eseguire attività amministrative o delegare le autorizzazioni di amministratore ad altri IAM utenti o ruoli nell'account di gestione. A tale scopo, si allega una politica di IAM autorizzazioni a un IAM utente, gruppo o ruolo. Come impostazione predefinita, un utente non ha alcuna autorizzazione; questo a volta si chiama rifiuto implicito. La policy sostituisce il rifiuto implicito con un permesso esplicito che specifica quali operazioni l'utente può eseguire e le risorse su cui possono eseguire le azioni. Se le autorizzazioni sono concesse a un ruolo, gli utenti in altri account dell'organizzazione possono assumere quel ruolo.

AWS Organizations risorse e operazioni

Questa sezione illustra come i AWS Organizations concetti vengono mappati ai loro concetti IAM equivalenti.

Risorse

In AWS Organizations, puoi controllare l'accesso alle seguenti risorse:

La radice e il OUs che costituiscono la struttura gerarchica di un'organizzazione
Account membri dell'organizzazione
Policy collegate alle entità dell'organizzazione
Handshake utilizzati per modificare lo stato dell'organizzazione

A ciascuna di queste risorse è associato un Amazon Resource Name (ARN) univoco. Puoi controllare l'accesso a una risorsa specificandola ARN nell'Resourceelemento di una politica di IAM autorizzazione. Per un elenco completo dei ARN formati per le risorse utilizzate in AWS Organizations, vedere Tipi di risorse definiti da AWS Organizations nel Service Authorization Reference.

Operazioni

AWS fornisce una serie di operazioni per utilizzare le risorse di un'organizzazione. Esse ti consentono di eseguire operazioni quali creare, elencare, modificare, eliminare le risorse e accedere ai loro contenuti. È possibile fare riferimento alla maggior parte delle operazioni nell'Actionelemento di una IAM politica per controllare chi può utilizzare tale operazione. Per un elenco delle AWS Organizations operazioni che possono essere utilizzate come autorizzazioni in una IAM politica, vedere Azioni definite dalle organizzazioni nel Service Authorization Reference.

Quando combini un elemento Action e un elemento Resource in una sola policy di autorizzazione Statement, puoi controllare esattamente le risorse per le quali quel particolare insieme di operazioni può essere utilizzato.

Chiavi di condizione

AWS fornisce chiavi di condizione su cui è possibile interrogare per fornire un controllo più granulare su determinate azioni. È possibile fare riferimento a queste chiavi di condizione nell'Conditionelemento di una IAM politica per specificare le circostanze aggiuntive che devono essere soddisfatte affinché l'affermazione sia considerata conforme.

Le seguenti chiavi condizionali sono particolarmente utili con AWS Organizations:

aws:PrincipalOrgID - Semplifica la determinazione dell'elemento Principal in una policy basata su risorse. Questa chiave globale offre un'alternativa all'elenco di tutti IDs gli account Account AWS di un'organizzazione. Invece di elencare tutti gli account che sono membri di un'organizzazione, puoi specificare l'ID organizzazione nell'elemento Condition.

Nota
Questa condizione globale vale anche per l'account di gestione di un'organizzazione.

Per ulteriori informazioni, consulta la descrizione delle chiavi contestuali PrincipalOrgID in condizione AWS globale nella Guida per l'IAMutente.
aws:PrincipalOrgPaths - Utilizza questa chiave di condizione per abbinare i membri di un root dell'organizzazione specifica, di un'unità organizzativa o dei relativi elementi figlio. La chiave di aws:PrincipalOrgPaths condizione restituisce true quando il principale (utente root, IAM utente o ruolo) che effettua la richiesta si trova nel percorso organizzativo specificato. Un percorso è una rappresentazione testuale della struttura di un' AWS Organizations entità. Per ulteriori informazioni sui percorsi, consulta Comprendere il percorso dell' AWS Organizations entità nella Guida IAM per l'utente. Per ulteriori informazioni sull'utilizzo di questa chiave di condizione, consulta aws: PrincipalOrgPaths nella Guida IAM per l'utente.

Ad esempio, il seguente elemento di condizione corrisponde ai membri di una delle due persone OUs della stessa organizzazione.
```
            "Condition": {
                "ForAnyValue:StringLike": {
                    "aws:PrincipalOrgPaths": [
                        "o-a1b2c3d4e5/r-f6g7h8i9j0example/ou-def0-awsbbbbb/",
                        "o-a1b2c3d4e5/r-f6g7h8i9j0example/ou-jkl0-awsddddd/"
                    ]
                }
            }
```
organizations:PolicyType— È possibile utilizzare questa chiave di condizione per limitare le API operazioni relative alle politiche di Organizations in modo che funzionino solo sulle politiche di Organizations del tipo specificato. Puoi applicare questa chiave di condizione a qualsiasi istruzione delle policy che include un'operazione che interagisce con le policy di Organizations.

Puoi utilizzare i seguenti valori con questa chiave di condizione:
- AISERVICES_OPT_OUT_POLICY
- BACKUP_POLICY
- SERVICE_CONTROL_POLICY
- TAG_POLICY
Ad esempio, la seguente policy consente all'utente di eseguire qualsiasi operazione di Organizations. Tuttavia, se l'utente esegue un'operazione che accetta un argomento della policy, l'operazione è consentita solo se la policy specificata è una policy di tagging. L'operazione non riesce se l'utente specifica qualsiasi altro tipo di policy.
```
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "IfTaggingAPIThenAllowOnOnlyTaggingPolicies",
            "Effect": "Allow",
            "Action": "organizations:*",
            "Resource": "*",
            "Condition": { 
                "StringLikeIfExists": {
                    "organizations:PolicyType": [ "TAG_POLICY" ]
                }
            }
        }
    ]
}
```

organizations:ServicePrincipal— Disponibile come condizione se si utilizzano le operazioni E nableAWSService Access o D isableAWSService Access per abilitare o disabilitare l'accesso affidabile con altri AWS servizi. Puoi utilizzare organizations:ServicePrincipal per limitare le richieste effettuate da tali operazioni a un elenco di nomi principali dei servizi approvati.

Ad esempio, la seguente politica consente all'utente di specificare solo AWS Firewall Manager quando abilitare e disabilitare l'accesso affidabile con AWS Organizations.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowOnlyAWSFirewallIntegration",
            "Effect": "Allow",
            "Action": [
                "organizations:EnableAWSServiceAccess",
                "organizations:DisableAWSServiceAccess"
            ],
            "Resource": "*",
            "Condition": { 
                "StringLikeIfExists": {
                    "organizations:ServicePrincipal": [ "fms.amazonaws.com" ]
                }
            }
        }
    ]
}

Per un elenco di tutte le chiavi di condizione AWS Organizations specifiche che possono essere utilizzate come autorizzazioni in una IAM policy, vedere Condition keys for AWS Organizations nel Service Authorization Reference.

Informazioni sulla proprietà delle risorse

È Account AWS proprietario delle risorse create nell'account, indipendentemente da chi le ha create. In particolare, il proprietario Account AWS della risorsa è l'entità principale (ovvero l'utente root, un utente o un IAM IAM ruolo) che autentica la richiesta di creazione delle risorse. Per un'organizzazione, questo è sempre l'account di gestione. Non puoi chiamare dagli account membri la maggior parte delle operazioni che creano o accedono alle risorse dell'organizzazione. Negli esempi seguenti viene illustrato il funzionamento:

Se utilizzi le credenziali dell'account root dell'account di gestione per creare un'UO, il tuo account di gestione è il proprietario della risorsa. (In AWS Organizations, la risorsa è l'unità organizzativa.)
Se si crea un IAM utente nel proprio account di gestione e si concedono le autorizzazioni per creare un'unità organizzativa a tale utente, l'utente può creare un'unità organizzativa. Tuttavia, è l'account di gestione, al quale appartiene l'utente, il proprietario della risorsa UO.
Se si crea un IAM ruolo nel proprio account di gestione con le autorizzazioni per creare un'unità organizzativa, chiunque possa assumere il ruolo può creare un'unità organizzativa. L'account di gestione a cui appartiene il ruolo (non l'utente che lo assume) è il proprietario della risorsa UO.

Gestione dell'accesso alle risorse

La policy delle autorizzazioni descrive chi ha accesso a cosa. Nella sezione seguente vengono descritte le opzioni disponibili per la creazione di policy relative alle autorizzazioni.

Nota

In questa sezione viene illustrato l'utilizzo IAM nel contesto di. AWS Organizations Non fornisce informazioni dettagliate sul IAM servizio. Per la IAM documentazione completa, consulta la Guida IAM per l'utente. Per informazioni sulla sintassi e le descrizioni delle IAM policy, consulta il riferimento alle IAM JSON policy nella Guida per l'IAMutente.

Le politiche associate a un'IAMidentità vengono chiamate politiche basate sull'identità (politiche). IAM Le politiche collegate a una risorsa vengono definite politiche basate sulle risorse. AWS Organizations supporta solo politiche (politiche) basate sull'identità. IAM

Argomenti

Policy di autorizzazione basate su identità (policy IAM)
Policy basate su risorse

Policy di autorizzazione basate su identità (policy IAM)

È possibile allegare politiche alle IAM identità per consentire a tali identità di eseguire operazioni sulle risorse. AWS Ad esempio, puoi eseguire le operazioni seguenti:

Allega una politica di autorizzazioni a un utente o a un gruppo del tuo account: per concedere a un utente le autorizzazioni per creare una AWS Organizations risorsa, ad esempio una politica di controllo del servizio (SCP) o un'unità organizzativa, puoi allegare una politica di autorizzazioni a un utente o a un gruppo a cui appartiene l'utente. L'utente o il gruppo devono trovarsi nell'account di gestione dell'organizzazione.
Associare una politica di autorizzazioni a un ruolo (concedere autorizzazioni per più account): puoi allegare una politica di autorizzazioni basata sull'identità a un IAM ruolo per concedere l'accesso tra più account a un'organizzazione. Ad esempio, l'amministratore dell'account di gestione può creare un ruolo per concedere autorizzazioni tra account a un utente nell'account membro, come segue:
1. L'amministratore dell'account di gestione crea un IAM ruolo e attribuisce una politica di autorizzazioni al ruolo che concede le autorizzazioni alle risorse dell'organizzazione.
2. L'amministratore dell'account di gestione collega una policy di attendibilità al ruolo che identifica l'ID dell'account membro come Principal per tale ruolo.
3. L'amministratore dell'account membro può quindi delegare le autorizzazioni per assegnare il ruolo a qualsiasi utente nell'account membro. In questo modo, gli utenti nell'account membro possono creare o accedere alle risorse nell'account di gestione e nell'organizzazione. Il responsabile della politica di fiducia può anche essere un responsabile del AWS servizio se si desidera concedere le autorizzazioni a un AWS servizio per assumere il ruolo.
Per ulteriori informazioni sull'utilizzo per IAM delegare le autorizzazioni, consulta Gestione degli accessi nella Guida per l'IAMutente.

Di seguito sono riportati esempi di policy che consentono a un utente di eseguire l'operazione CreateAccount nella tua organizzazione.


{
   "Version":"2012-10-17",
   "Statement":[
      {
         "Sid":"Stmt1OrgPermissions",
         "Effect":"Allow",
         "Action":[
            "organizations:CreateAccount"
         ],
         "Resource":"*"
      }
   ]
}

È inoltre possibile fornire una parte ARN nell'Resourceelemento della policy per indicare il tipo di risorsa.


{
   "Version":"2012-10-17",
   "Statement":[
      {
         "Sid":"AllowCreatingAccountsOnResource",
         "Effect":"Allow",
         "Action":"organizations:CreateAccount",
         "Resource":"arn:aws:organizations::*:account/*"
      }
   ]
}

Puoi anche negare la creazione di account che non includono tag specifici per l'account che si sta creando.


{
   "Version":"2012-10-17",
   "Statement":[
      {
         "Sid":"DenyCreatingAccountsOnResourceBasedOnTag",
         "Effect":"Deny",
         "Action":"organizations:CreateAccount",
         "Resource":"*",
         "Condition":{
            "StringEquals":{
               "aws:ResourceTag/key":"value"
            }
         }
      }
   ]
}

Per ulteriori informazioni su utenti, gruppi, ruoli e autorizzazioni, consulta IAMle identità (utenti, gruppi di utenti e ruoli) nella Guida per l'IAMutente.

Policy basate su risorse

Alcuni servizi, come ad esempio Amazon S3, supportano policy di autorizzazione basate su risorse. Ad esempio, puoi allegare una policy a un bucket Amazon S3 per gestire le autorizzazioni di accesso a quel bucket. AWS Organizations attualmente non supporta politiche basate sulle risorse.

Specifica degli elementi della policy: operazioni, condizioni, effetti e risorse

Per ogni AWS Organizations risorsa, il servizio definisce un insieme di API operazioni, o azioni, che possono interagire con quella risorsa o manipolarla in qualche modo. Per concedere le autorizzazioni per queste operazioni, AWS Organizations definisce una serie di azioni che è possibile specificare in una politica. Ad esempio, per la risorsa OU, AWS Organizations definisce azioni come le seguenti:

AttachPolicy e DetachPolicy
CreateOrganizationalUnit e DeleteOrganizationalUnit
ListOrganizationalUnits e DescribeOrganizationalUnit

In alcuni casi, l'esecuzione di un'APIoperazione potrebbe richiedere autorizzazioni per più di un'azione e potrebbe richiedere autorizzazioni per più di una risorsa.

Di seguito sono riportati gli elementi di base che è possibile utilizzare in una politica di IAM autorizzazione:

Action (Operazione) - Utilizza questa parola chiave per identificare le operazioni (azioni) che vuoi consentire o rifiutare. Ad esempio, a seconda di quanto specificatoEffect, organizations:CreateAccount consente o nega all'utente le autorizzazioni per eseguire l' AWS Organizations CreateAccountoperazione. Per ulteriori informazioni, consulta Elementi IAM JSON della politica: Azione nella guida per l'IAMutente.
Risorsa: utilizzate questa parola chiave per specificare la ARN risorsa a cui si applica l'informativa. Per ulteriori informazioni, consulta Elementi IAM JSON della policy: Resource in the IAMUser Guide.
Condizione - Utilizza questa parola chiave per specificare una condizione che deve essere soddisfatta per l'istruzione di policy da applicare. Condition in genere specifica ulteriori circostanze che devono essere vere affinché la policy corrisponda. Per ulteriori informazioni, consulta Elementi IAM JSON della politica: Condizione nella Guida IAM per l'utente.
Effetto - Utilizza questa parola chiave per specificare se l'istruzione di policy consente o rifiuta l'operazione sulla risorsa. Se non concedi esplicitamente l'accesso a una risorsa (o la consenti), l'accesso viene implicitamente rifiutato. Puoi anche rifiutare esplicitamente l'accesso a una risorsa per essere certo che un utente non possa eseguire un'operazione specifica sulla risorsa specifica, anche quando tale accesso è assegnato da un'altra policy. Per ulteriori informazioni, consulta Elementi IAM JSON delle politiche: Effetti nella Guida IAM per l'utente.
Principio: nelle politiche (IAMpolitiche) basate sull'identità, l'utente a cui è associata la politica è automaticamente e implicitamente il principale. Per le politiche basate sulle risorse, si specifica l'utente, l'account, il servizio o l'altra entità a cui si desidera ricevere le autorizzazioni (si applica solo alle politiche basate sulle risorse). AWS Organizations attualmente supporta solo politiche basate sull'identità, non politiche basate sulle risorse.

Per ulteriori informazioni sulla sintassi e sulle descrizioni delle IAM politiche, consulta il riferimento alle politiche nella Guida per l'utente IAMJSON. IAM

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

IAMe Organizzazioni

Utilizzo delle policy basate su identità (policy IAM) per AWS Organizations