기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
예: 조직의 백업 정책을 관리하기 위한 통합 권한
이 예에서는 create
, read
, update
, delete
작업 권한 등 조직 내에서 백업 정책을 관리하는 데 필요한 모든 권한과 attach
및 detach
정책 작업 권한을 관리 계정에서 위임할 수 있도록 하는 리소스 기반 위임 정책을 생성하는 방법을 보여줍니다.
중요
위임된 관리자는 이 정책을 통해, 관리 계정을 비롯하여 조직의 모든 계정에서 생성한 정책에 대해 지정된 작업을 수행할 수 있습니다.
이 위임 정책 예제는 또는 에서 AWS API 프로그래밍 방식으로 작업을 완료하는 데 필요한 권한을 부여합니다 AWS CLI. 이 위임 정책을 사용하려면 의 AWS 자리 표시자 텍스트를 바꿉니다.MemberAccountId
,
ManagementAccountId
, OrganizationId
, 및 RootId
자신의 정보를 사용합니다. 그런 다음 에 대한 위임된 관리자 AWS Organizations의 지침을 따릅니다.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "DelegatingNecessaryDescribeListActions", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::
MemberAccountId
:root" }, "Action": [ "organizations:DescribeOrganization", "organizations:DescribeOrganizationalUnit", "organizations:DescribeAccount", "organizations:ListRoots", "organizations:ListOrganizationalUnitsForParent", "organizations:ListParents", "organizations:ListChildren", "organizations:ListAccounts", "organizations:ListAccountsForParent", "organizations:ListTagsForResource" ], "Resource": "*" }, { "Sid": "DelegatingNecessaryDescribeListActionsForSpecificPolicyType", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::MemberAccountId
:root" }, "Action": [ "organizations:DescribePolicy", "organizations:DescribeEffectivePolicy", "organizations:ListPolicies", "organizations:ListPoliciesForTarget", "organizations:ListTargetsForPolicy" ], "Resource": "*", "Condition": { "StringLikeIfExists": { "organizations:PolicyType": "BACKUP_POLICY" } } }, { "Sid": "DelegatingAllActionsForBackupPolicies", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::MemberAccountId
:root" }, "Action": [ "organizations:CreatePolicy", "organizations:UpdatePolicy", "organizations:DeletePolicy", "organizations:AttachPolicy", "organizations:DetachPolicy", "organizations:EnablePolicyType", "organizations:DisablePolicyType" ], "Resource": [ "arn:aws:organizations::ManagementAccountId
:root/o-OrganizationId
/r-RootId
", "arn:aws:organizations::ManagementAccountId
:ou/o-OrganizationId
/*", "arn:aws:organizations::ManagementAccountId
:account/o-OrganizationId
/*", "arn:aws:organizations::ManagementAccountId
:policy/o-OrganizationId
/backup_policy/*" ], "Condition": { "StringLikeIfExists": { "organizations:PolicyType": "BACKUP_POLICY" } } } ] }