Atualizar uma política de delegação baseada em recursos com o AWS Organizations - AWS Organizations

Atualizar uma política de delegação baseada em recursos com o AWS Organizations

Na conta de gerenciamento, atualize uma política de delegação baseada em recursos para sua organização e adicione uma instrução que especifique quais contas-membro podem executar ações de acordo com as políticas. É possível adicionar diversas instruções na política para denotar um conjunto diferente de permissões às contas-membro.

Permissões mínimas

Para atualizar a política de delegação baseada em recursos, você precisa de permissões para executar as seguintes ações:

  • organizations:PutResourcePolicy

  • organizations:DescribeResourcePolicy

Além disso, você deve conceder aos perfis e usuários na conta do administrador delegado as permissões do IAM correspondentes para as ações necessárias. Sem as permissões do IAM, presume-se que a entidade principal responsável pela chamada não tenha as permissões necessárias para gerenciar as políticas do AWS Organizations.

AWS Management Console

Adicione instruções à política de delegação baseada em recursos no AWS Management Console usando um dos métodos a seguir:

  • Política JSON: cole e personalize um exemplo de política de delegação baseada em recursos para usar em sua conta ou digite seu próprio documento de política JSON no editor JSON.

  • Editor visual: crie uma nova política de delegação no editor visual, que orienta você na criação de uma política de delegação sem a necessidade de escrever uma sintaxe JSON.

Usar o editor de políticas JSON para atualizar uma política de delegação

  1. Faça login no console do AWS Organizations. Você deve fazer login como um usuário do IAM, assumir uma função do IAM ou fazer login como usuário-raiz (não recomendado) na conta de gerenciamento da organização.

  2. Escolha Configurações.

  3. Na seção Administrador delegado do AWS Organizations, escolha Editar para atualizar a política de delegação do Organizations.

  4. Insira um documento de política JSON. Para obter detalhes sobre a linguagem da política do IAM, consulte a referência de política JSON do IAM.

  5. Resolva quaisquer avisos de segurança, erros ou avisos gerais gerados durante a validação de política e, depois, escolha Criar política.

Usar o editor visual para atualizar uma política de delegação

  1. Faça login no console do AWS Organizations. Você deve fazer login como um usuário do IAM, assumir uma função do IAM ou fazer login como usuário-raiz (não recomendado) na conta de gerenciamento da organização.

  2. Escolha Configurações.

  3. Na seção Administrador delegado do AWS Organizations, escolha Editar para atualizar a política de delegação do Organizations.

  4. Na página Create Delegation policy (Criar política de delegação), escolha Add new statement (Adicionar nova instrução).

  5. Defina Effect (Efeito) como Allow.

  6. Adicione Principal para definir as contas-membro às quais você deseja delegar.

  7. Na lista de Actions (Ações), escolha as ações que deseja delegar. É possível usar Filter actions (Filtrar ações) para restringir as opções.

  8. Para especificar se a conta-membro delegada pode anexar políticas à raiz da organização ou às unidades organizacionais (UOs), defina Resources. Você também deve selecionar policy como um tipo de recurso. É possível especificar recursos das seguintes maneiras:

    • Escolha Add a resource (Adicionar um recurso) e crie o nome do recurso da Amazon (ARN) seguindo as instruções na caixa de diálogo.

    • Liste os ARNs dos recursos manualmente no editor. Para obter mais informações sobre a sintaxe do ARN, consulte Nome do recurso da Amazon (ARN) no Guia de referência geral da AWS. Para obter informações sobre como usar os ARNs no elemento de recurso de uma política, consulte Elementos de política JSON do IAM: Resource.

  9. Escolha Add a condition (Adicionar uma condição) para especificar outras condições, incluindo o tipo de política que você deseja delegar. Escolha a Condition key (Chave de condição), a Tag key (Chave de etiqueta), o Qualifier (Qualificador) e o Operator (Operador) para a condição e, em seguida, digite um Value. Ao terminar, selecione Add condition (Adicionar condição). Para obter mais informações sobre o elemento Condition (Condição), consulte Elementos de política JSON do IAM: Condition na referência de política JSON do IAM.

  10. Para adicionar mais blocos de permissão, escolha Add new statement (Adicionar nova instrução). Para cada bloco, repita as etapas de 5 a 9.

  11. Resolva quaisquer avisos de segurança, erros ou avisos gerais gerados durante a validação de política e, depois, escolha Salvar política.

AWS CLI & AWS SDKs
Criar ou atualizar uma política de delegação

É possível usar o comando a seguir para criar ou atualizar uma política de delegação:

  • AWS CLI: put-resource-policy

    O exemplo a seguir cria ou atualiza uma política de delegação.

    $ aws organizations put-resource-policy --content
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "Fully_manage_backup_policies",
            "Effect": "Allow",
            "Principal": {
                "AWS": "135791357913"
            },
            "Action": [
                "organizations:DescribeOrganization",
                "organizations:ListAccounts",
                "organizations:CreatePolicy",
                "organizations:DescribePolicy",
                "organizations:UpdatePolicy",
                "organizations:DeletePolicy",
                "organizations:AttachPolicy",
                "organizations:DetachPolicy"
            ],
            "Resource": [
                "arn:aws:organizations::246802468024:root/o-abcdef/r-pqrstu",
                "arn:aws:organizations::246802468024:ou/o-abcdef/*",
                "arn:aws:organizations::246802468024:account/o-abcdef/*",
                "arn:aws:organizations::246802468024:organization/policy/backup_policy/*",
            ],
            "Condition": {
                "StringLikeIfExists": {
                    "organizations:PolicyType": [
                        "BACKUP_POLICY"
                    ]
                }
            }
        }
    ]
}
Ações de política de delegação com suporte

Para a política de delegação, há suporte para as ações a seguir:

  • AttachPolicy

  • CreatePolicy

  • DeletePolicy

  • DescribeAccount

  • DescribeCreateAccountStatus

  • DescribeEffectivePolicy

  • DescribeHandshake

  • DescribeOrganization

  • DescribeOrganizationalUnit

  • DescribePolicy

  • DescribeResourcePolicy

  • DetachPolicy

  • DisablePolicyType

  • EnablePolicyType

  • ListAccounts

  • ListAccountsForParent

  • ListAWSServiceAccessForOrganization

  • ListChildren

  • ListCreateAccountStatus

  • ListDelegatedAdministrators

  • ListDelegatedServicesForAccount

  • ListHandshakesForAccount

  • ListHandshakesForOrganization

  • ListOrganizationalUnitsForParent

  • ListParents

  • ListPolicies

  • ListPoliciesForTarget

  • ListRoots

  • ListTagsForResource

  • ListTargetsForPolicy

  • TagResource

  • UntagResource

  • UpdatePolicy

Chaves de condição compatíveis

Somente as chaves de condição compatíveis com o AWS Organizations podem ser usadas para a política de delegação. Para obter mais informações, consulte Chaves de condição do AWS Organizations na Referência de autorização do serviço.