As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Atualize uma política de delegação baseada em recursos com AWS Organizations
Na conta de gerenciamento, atualize uma política de delegação baseada em recursos para sua organização e adicione uma instrução que especifique quais contas-membro podem executar ações de acordo com as políticas. É possível adicionar diversas instruções na política para denotar um conjunto diferente de permissões às contas-membro.
Para atualizar a política de delegação baseada em recursos, você precisa de permissões para executar as seguintes ações:
Além disso, você deve conceder aos perfis e usuários na conta do administrador delegado as permissões do IAM correspondentes para as ações necessárias. Sem as permissões do IAM, presume-se que o responsável pela chamada não tenha as permissões necessárias para gerenciar AWS Organizations políticas.
- AWS Management Console
-
Adicione instruções à política de delegação baseada em recursos no AWS Management Console
usando um dos métodos a seguir:
-
Política JSON: cole e personalize um exemplo de política de delegação baseada em recursos para usar em sua conta ou digite seu próprio documento de política JSON no editor JSON.
-
Editor visual: crie uma nova política de delegação no editor visual, que orienta você na criação de uma política de delegação sem a necessidade de escrever uma sintaxe JSON.
Usar o editor de políticas JSON para atualizar uma política de delegação
-
Faça login no console do AWS Organizations. Você deve fazer login como um usuário do IAM, assumir uma função do IAM ou fazer login como usuário-raiz (não recomendado) na conta de gerenciamento da organização.
-
Escolha Configurações.
-
Na seção Administrador delegado do AWS Organizations, escolha Editar para atualizar a política de delegação do Organizations.
-
Insira um documento de política JSON. Para obter detalhes sobre a linguagem da política do IAM, consulte a referência de política JSON do IAM.
-
Resolva quaisquer avisos de segurança, erros ou avisos gerais gerados durante a validação de política e, depois, escolha Criar política.
Usar o editor visual para atualizar uma política de delegação
-
Faça login no console do AWS Organizations. Você deve fazer login como um usuário do IAM, assumir uma função do IAM ou fazer login como usuário-raiz (não recomendado) na conta de gerenciamento da organização.
-
Escolha Configurações.
-
Na seção Administrador delegado do AWS Organizations, escolha Editar para atualizar a política de delegação do Organizations.
-
Na página Create Delegation policy (Criar política de delegação), escolha Add new statement (Adicionar nova instrução).
-
Defina Effect (Efeito) como Allow
.
-
Adicione Principal
para definir as contas-membro às quais você deseja delegar.
-
Na lista de Actions (Ações), escolha as ações que deseja delegar. É possível usar Filter actions (Filtrar ações) para restringir as opções.
-
Para especificar se a conta do membro delegado pode anexar políticas à raiz da organização ou às unidades organizacionais (OUs), Resources
defina. Você também deve selecionar policy
como um tipo de recurso. É possível especificar recursos das seguintes maneiras:
-
Escolha Add a resource (Adicionar um recurso) e crie o nome do recurso da Amazon (ARN) seguindo as instruções na caixa de diálogo.
-
Liste o recurso ARNs manualmente no editor. Para obter mais informações sobre a sintaxe do ARN, consulte Amazon Resource Name (ARN) no Guia de referência geral. AWS Para obter informações sobre o uso ARNs no elemento de recurso de uma política, consulte Elementos de política JSON do IAM: Recurso.
-
Escolha Add a condition (Adicionar uma condição) para especificar outras condições, incluindo o tipo de política que você deseja delegar. Escolha a Condition key (Chave de condição), a Tag key (Chave de etiqueta), o Qualifier (Qualificador) e o Operator (Operador) para a condição e, em seguida, digite um Value
. Ao terminar, selecione Add condition (Adicionar condição). Para obter mais informações sobre o elemento Condition (Condição), consulte Elementos de política JSON do IAM: Condition na referência de política JSON do IAM.
-
Para adicionar mais blocos de permissão, escolha Add new statement (Adicionar nova instrução). Para cada bloco, repita as etapas de 5 a 9.
-
Resolva quaisquer avisos de segurança, erros ou avisos gerais gerados durante a validação de política e, depois, escolha Salvar política.
- AWS CLI & AWS SDKs
-
Criar ou atualizar uma política de delegação
É possível usar o comando a seguir para criar ou atualizar uma política de delegação:
-
AWS CLI: put-resource-policy
O exemplo a seguir cria ou atualiza uma política de delegação.
$
aws organizations put-resource-policy --content
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "Fully_manage_backup_policies",
"Effect": "Allow",
"Principal": {
"AWS": "135791357913
"
},
"Action": [
"organizations:DescribeOrganization",
"organizations:ListAccounts",
"organizations:CreatePolicy",
"organizations:DescribePolicy",
"organizations:UpdatePolicy",
"organizations:DeletePolicy",
"organizations:AttachPolicy",
"organizations:DetachPolicy"
],
"Resource": [
"arn:aws:organizations::246802468024
:root/o-abcdef
/r-pqrstu
",
"arn:aws:organizations::246802468024
:ou/o-abcdef
/*",
"arn:aws:organizations::246802468024
:account/o-abcdef
/*",
"arn:aws:organizations::246802468024
:organization/policy/backup_policy/*",
],
"Condition": {
"StringLikeIfExists": {
"organizations:PolicyType": [
"BACKUP_POLICY"
]
}
}
}
]
}
Ações de política de delegação com suporte
Para a política de delegação, há suporte para as ações a seguir:
-
AttachPolicy
-
CreatePolicy
-
DeletePolicy
-
DescribeAccount
-
DescribeCreateAccountStatus
-
DescribeEffectivePolicy
-
DescribeHandshake
-
DescribeOrganization
-
DescribeOrganizationalUnit
-
DescribePolicy
-
DescribeResourcePolicy
-
DetachPolicy
-
DisablePolicyType
-
EnablePolicyType
-
ListAccounts
-
ListAccountsForParent
-
ListAWSServiceAccessForOrganization
-
ListChildren
-
ListCreateAccountStatus
-
ListDelegatedAdministrators
-
ListDelegatedServicesForAccount
-
ListHandshakesForAccount
-
ListHandshakesForOrganization
-
ListOrganizationalUnitsForParent
-
ListParents
-
ListPolicies
-
ListPoliciesForTarget
-
ListRoots
-
ListTagsForResource
-
ListTargetsForPolicy
-
TagResource
-
UntagResource
-
UpdatePolicy
Chaves de condição compatíveis
Somente as chaves de condição suportadas pelo AWS Organizations podem ser usadas para a política de delegação. Para obter mais informações, consulte Chaves de condição do AWS Organizations na Referência de autorização do serviço.