As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Atualize uma política de delegação baseada em recursos com AWS Organizations
Na conta de gerenciamento, atualize uma política de delegação baseada em recursos para sua organização e adicione uma declaração que especifique quais contas membros podem executar ações nas políticas. É possível adicionar diversas instruções na política para denotar um conjunto diferente de permissões às contas-membro.
Para atualizar a política de delegação baseada em recursos, você precisa de permissões para executar as seguintes ações:
Além disso, você deve conceder às funções e aos usuários na conta de administrador delegado IAM as permissões correspondentes às ações necessárias. Sem IAM permissões, presume-se que o responsável pela chamada não tenha as permissões necessárias para gerenciar AWS Organizations políticas.
- AWS Management Console
-
Adicione instruções à política de delegação baseada em recursos no AWS Management Console
usando um dos métodos a seguir:
-
JSONpolítica — cole e personalize um exemplo de política de delegação baseada em recursos para usar em sua conta ou digite seu próprio documento JSON de política no JSON editor.
-
Editor visual — Crie uma nova política de delegação no editor visual, que orienta você na criação de uma política de delegação sem precisar escrever uma JSON sintaxe.
Use o editor JSON de políticas para atualizar uma política de delegação
-
Faça login no console do AWS Organizations. Você deve entrar como IAM usuário, assumir uma IAM função ou entrar como usuário raiz (não recomendado) na conta de gerenciamento da organização.
-
Escolha Configurações.
-
Na AWS Organizations seção Administrador delegado para, escolha Editar para atualizar a política de delegação da Organizations.
-
Insira um documento JSON de política. Para obter detalhes sobre a linguagem da IAM política, consulte a referência IAMJSONda política.
-
Resolva quaisquer avisos de segurança, erros ou avisos gerais gerados durante a validação da política e escolha Criar política.
Use o editor visual para atualizar uma política de delegação
-
Faça login no console do AWS Organizations. Você deve entrar como IAM usuário, assumir uma IAM função ou entrar como usuário raiz (não recomendado) na conta de gerenciamento da organização.
-
Escolha Configurações.
-
Na AWS Organizations seção Administrador delegado para, escolha Editar para atualizar a política de delegação da Organizations.
-
Na página Create Delegation policy (Criar política de delegação), escolha Add new statement (Adicionar nova instrução).
-
Defina Effect (Efeito) como Allow
.
-
Adicione Principal
para definir as contas-membro às quais você deseja delegar.
-
Na lista de Actions (Ações), escolha as ações que deseja delegar. É possível usar Filter actions (Filtrar ações) para restringir as opções.
-
Para especificar se a conta do membro delegado pode anexar políticas à raiz da organização ou às unidades organizacionais (OUs), Resources
defina. Você também deve selecionar policy
como um tipo de recurso. É possível especificar recursos das seguintes maneiras:
-
Escolha Adicionar um recurso e construa o Amazon Resource Name (ARN) seguindo as instruções na caixa de diálogo.
-
Liste o recurso ARNs manualmente no editor. Para obter mais informações sobre ARN sintaxe, consulte Amazon Resource Name (ARN) no Guia de referência AWS geral. Para obter informações sobre o uso ARNs no elemento de recurso de uma política, consulte elementos IAM JSON de política: Recurso.
-
Escolha Add a condition (Adicionar uma condição) para especificar outras condições, incluindo o tipo de política que você deseja delegar. Escolha a Condition key (Chave de condição), a Tag key (Chave de etiqueta), o Qualifier (Qualificador) e o Operator (Operador) para a condição e, em seguida, digite um Value
. Ao terminar, selecione Add condition (Adicionar condição). Para obter mais informações sobre o elemento Condição, consulte Elementos IAM JSON da política: Condição na referência da IAM JSON política.
-
Para adicionar mais blocos de permissão, escolha Add new statement (Adicionar nova instrução). Para cada bloco, repita as etapas de 5 a 9.
-
Resolva quaisquer avisos de segurança, erros ou avisos gerais gerados durante a validação da política e escolha Salvar política.
- AWS CLI & AWS SDKs
-
Criar ou atualizar uma política de delegação
É possível usar o comando a seguir para criar ou atualizar uma política de delegação:
-
AWS CLI: put-resource-policy
O exemplo a seguir cria ou atualiza uma política de delegação.
$
aws organizations put-resource-policy --content
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "Fully_manage_backup_policies",
"Effect": "Allow",
"Principal": {
"AWS": "135791357913
"
},
"Action": [
"organizations:DescribeOrganization",
"organizations:ListAccounts",
"organizations:CreatePolicy",
"organizations:DescribePolicy",
"organizations:UpdatePolicy",
"organizations:DeletePolicy",
"organizations:AttachPolicy",
"organizations:DetachPolicy"
],
"Resource": [
"arn:aws:organizations::246802468024
:root/o-abcdef
/r-pqrstu
",
"arn:aws:organizations::246802468024
:ou/o-abcdef
/*",
"arn:aws:organizations::246802468024
:account/o-abcdef
/*",
"arn:aws:organizations::246802468024
:organization/policy/backup_policy/*",
],
"Condition": {
"StringLikeIfExists": {
"organizations:PolicyType": [
"BACKUP_POLICY"
]
}
}
}
]
}
Ações de política de delegação com suporte
Para a política de delegação, há suporte para as ações a seguir:
-
AttachPolicy
-
CreatePolicy
-
DeletePolicy
-
DescribeAccount
-
DescribeCreateAccountStatus
-
DescribeEffectivePolicy
-
DescribeHandshake
-
DescribeOrganization
-
DescribeOrganizationalUnit
-
DescribePolicy
-
DescribeResourcePolicy
-
DetachPolicy
-
DisablePolicyType
-
EnablePolicyType
-
ListAccounts
-
ListAccountsForParent
-
ListAWSServiceAccessForOrganization
-
ListChildren
-
ListCreateAccountStatus
-
ListDelegatedAdministrators
-
ListDelegatedServicesForAccount
-
ListHandshakesForAccount
-
ListHandshakesForOrganization
-
ListOrganizationalUnitsForParent
-
ListParents
-
ListPolicies
-
ListPoliciesForTarget
-
ListRoots
-
ListTagsForResource
-
ListTargetsForPolicy
-
TagResource
-
UntagResource
-
UpdatePolicy
Teclas de condição suportadas
Somente as chaves de condição suportadas pelo AWS Organizations podem ser usadas para a política de delegação. Para obter mais informações, consulte Chaves de condição AWS Organizations na Referência de autorização de serviço.