Atualize uma política de delegação baseada em recursos com AWS Organizations - AWS Organizations

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Atualize uma política de delegação baseada em recursos com AWS Organizations

Na conta de gerenciamento, atualize uma política de delegação baseada em recursos para sua organização e adicione uma declaração que especifique quais contas membros podem executar ações nas políticas. É possível adicionar diversas instruções na política para denotar um conjunto diferente de permissões às contas-membro.

Permissões mínimas

Para atualizar a política de delegação baseada em recursos, você precisa de permissões para executar as seguintes ações:

  • organizations:PutResourcePolicy

  • organizations:DescribeResourcePolicy

Além disso, você deve conceder às funções e aos usuários na conta de administrador delegado IAM as permissões correspondentes às ações necessárias. Sem IAM permissões, presume-se que o responsável pela chamada não tenha as permissões necessárias para gerenciar AWS Organizations políticas.

AWS Management Console

Adicione instruções à política de delegação baseada em recursos no AWS Management Console usando um dos métodos a seguir:

  • JSONpolítica — cole e personalize um exemplo de política de delegação baseada em recursos para usar em sua conta ou digite seu próprio documento JSON de política no JSON editor.

  • Editor visual — Crie uma nova política de delegação no editor visual, que orienta você na criação de uma política de delegação sem precisar escrever uma JSON sintaxe.

Use o editor JSON de políticas para atualizar uma política de delegação

  1. Faça login no console do AWS Organizations. Você deve entrar como IAM usuário, assumir uma IAM função ou entrar como usuário raiz (não recomendado) na conta de gerenciamento da organização.

  2. Escolha Configurações.

  3. Na AWS Organizations seção Administrador delegado para, escolha Editar para atualizar a política de delegação da Organizations.

  4. Insira um documento JSON de política. Para obter detalhes sobre a linguagem da IAM política, consulte a referência IAMJSONda política.

  5. Resolva quaisquer avisos de segurança, erros ou avisos gerais gerados durante a validação da política e escolha Criar política.

Use o editor visual para atualizar uma política de delegação

  1. Faça login no console do AWS Organizations. Você deve entrar como IAM usuário, assumir uma IAM função ou entrar como usuário raiz (não recomendado) na conta de gerenciamento da organização.

  2. Escolha Configurações.

  3. Na AWS Organizations seção Administrador delegado para, escolha Editar para atualizar a política de delegação da Organizations.

  4. Na página Create Delegation policy (Criar política de delegação), escolha Add new statement (Adicionar nova instrução).

  5. Defina Effect (Efeito) como Allow.

  6. Adicione Principal para definir as contas-membro às quais você deseja delegar.

  7. Na lista de Actions (Ações), escolha as ações que deseja delegar. É possível usar Filter actions (Filtrar ações) para restringir as opções.

  8. Para especificar se a conta do membro delegado pode anexar políticas à raiz da organização ou às unidades organizacionais (OUs), Resources defina. Você também deve selecionar policy como um tipo de recurso. É possível especificar recursos das seguintes maneiras:

    • Escolha Adicionar um recurso e construa o Amazon Resource Name (ARN) seguindo as instruções na caixa de diálogo.

    • Liste o recurso ARNs manualmente no editor. Para obter mais informações sobre ARN sintaxe, consulte Amazon Resource Name (ARN) no Guia de referência AWS geral. Para obter informações sobre o uso ARNs no elemento de recurso de uma política, consulte elementos IAM JSON de política: Recurso.

  9. Escolha Add a condition (Adicionar uma condição) para especificar outras condições, incluindo o tipo de política que você deseja delegar. Escolha a Condition key (Chave de condição), a Tag key (Chave de etiqueta), o Qualifier (Qualificador) e o Operator (Operador) para a condição e, em seguida, digite um Value. Ao terminar, selecione Add condition (Adicionar condição). Para obter mais informações sobre o elemento Condição, consulte Elementos IAM JSON da política: Condição na referência da IAM JSON política.

  10. Para adicionar mais blocos de permissão, escolha Add new statement (Adicionar nova instrução). Para cada bloco, repita as etapas de 5 a 9.

  11. Resolva quaisquer avisos de segurança, erros ou avisos gerais gerados durante a validação da política e escolha Salvar política.

AWS CLI & AWS SDKs
Criar ou atualizar uma política de delegação

É possível usar o comando a seguir para criar ou atualizar uma política de delegação:

  • AWS CLI: put-resource-policy

    O exemplo a seguir cria ou atualiza uma política de delegação.

    $ aws organizations put-resource-policy --content
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "Fully_manage_backup_policies",
            "Effect": "Allow",
            "Principal": {
                "AWS": "135791357913"
            },
            "Action": [
                "organizations:DescribeOrganization",
                "organizations:ListAccounts",
                "organizations:CreatePolicy",
                "organizations:DescribePolicy",
                "organizations:UpdatePolicy",
                "organizations:DeletePolicy",
                "organizations:AttachPolicy",
                "organizations:DetachPolicy"
            ],
            "Resource": [
                "arn:aws:organizations::246802468024:root/o-abcdef/r-pqrstu",
                "arn:aws:organizations::246802468024:ou/o-abcdef/*",
                "arn:aws:organizations::246802468024:account/o-abcdef/*",
                "arn:aws:organizations::246802468024:organization/policy/backup_policy/*",
            ],
            "Condition": {
                "StringLikeIfExists": {
                    "organizations:PolicyType": [
                        "BACKUP_POLICY"
                    ]
                }
            }
        }
    ]
}
Ações de política de delegação com suporte

Para a política de delegação, há suporte para as ações a seguir:

  • AttachPolicy

  • CreatePolicy

  • DeletePolicy

  • DescribeAccount

  • DescribeCreateAccountStatus

  • DescribeEffectivePolicy

  • DescribeHandshake

  • DescribeOrganization

  • DescribeOrganizationalUnit

  • DescribePolicy

  • DescribeResourcePolicy

  • DetachPolicy

  • DisablePolicyType

  • EnablePolicyType

  • ListAccounts

  • ListAccountsForParent

  • ListAWSServiceAccessForOrganization

  • ListChildren

  • ListCreateAccountStatus

  • ListDelegatedAdministrators

  • ListDelegatedServicesForAccount

  • ListHandshakesForAccount

  • ListHandshakesForOrganization

  • ListOrganizationalUnitsForParent

  • ListParents

  • ListPolicies

  • ListPoliciesForTarget

  • ListRoots

  • ListTagsForResource

  • ListTargetsForPolicy

  • TagResource

  • UntagResource

  • UpdatePolicy

Teclas de condição suportadas

Somente as chaves de condição suportadas pelo AWS Organizations podem ser usadas para a política de delegação. Para obter mais informações, consulte Chaves de condição AWS Organizations na Referência de autorização de serviço.