Políticas do IAM gerenciada pela AWS Políticas de controle de serviço gerenciadas pelo AWS

Políticas gerenciadas pela AWS para o AWS Organizations

Esta seção identifica as políticas gerenciadas pela AWS, são fornecidas para você gerenciar sua organização. Você não pode modificar nem excluir uma política gerenciada da AWS, mas pode anexá-las ou separá-las para entidades de sua organização, conforme a necessidade.

Políticas gerenciadas pela AWS Organizations para uso com o AWS Identity and Access Management (IAM)

Uma política gerenciada do IAM é fornecida e mantida pela AWS. Uma política gerenciada fornece permissões para tarefas comuns que você pode atribuir aos usuários anexando a política gerenciada ao usuário ou objeto de função apropriado do IAM. Você não precisa escrever a política você mesmo e, quando a AWS atualiza a política, conforme apropriado, para oferecer suporte a novos serviços, você obtém automaticamente e imediatamente o benefício da atualização. Você pode ver a lista de políticas gerenciadas pela AWS na página Policies (Políticas) no console do IAM. Use a lista suspensa Filter policies para selecionar AWS managed.

Você pode usar as seguintes políticas gerenciadas para conceder permissões a usuários da sua organização.

Nome da política Descrição ARN

Nome da política	Descrição	ARN
AWSOrganizationsFullAccess	Fornece todas as permissões necessárias para criar e administrar totalmente uma organização. Veja esta política: `AWSOrganizationsFullAccess`.	arn:aws:iam::aws:policy/AWSOrganizationsFullAccess
AWSOrganizationsReadOnlyAccess	Fornece acesso somente de leitura a informações sobre a organização. Não permite que o usuário faça nenhuma alteração. Veja esta política: `AWSOrganizationsReadOnlyAccess`.	arn:aws:iam::aws:policy/AWSOrganizationsReadOnlyAccess

AWSOrganizationsFullAccess

Fornece todas as permissões necessárias para criar e administrar totalmente uma organização.

Veja esta política: AWSOrganizationsFullAccess.

arn:aws:iam::aws:policy/AWSOrganizationsFullAccess

AWSOrganizationsReadOnlyAccess

Fornece acesso somente de leitura a informações sobre a organização. Não permite que o usuário faça nenhuma alteração.

Veja esta política: AWSOrganizationsReadOnlyAccess.

arn:aws:iam::aws:policy/AWSOrganizationsReadOnlyAccess

Atualizações em políticas gerenciadas pela AWS do Organizations

A tabela a seguir detalha as atualizações em políticas gerenciadas pela AWS desde que esse serviço começou a rastrear essas alterações. Para receber alertas automáticos sobre alterações realizadas nesta página, inscreva-se no feed RSS na página Histórico de documentos do AWS Organizations.

Alteração	Descrição	Data
AWSOrganizationsReadOnlyAccess: atualizado para conceder as permissões de API de conta necessárias para exibir o endereço de e-mail do usuário-raiz.	O Organizations adicionou a ação `account:GetPrimaryEmail` para permitir o acesso para visualizar o endereço de e-mail do usuário-raiz de qualquer conta-membro em uma organização e a ação `account:GetRegionOptStatus` para permitir o acesso para visualizar as regiões habilitadas para qualquer conta-membro em uma organização.	6 de junho de 2024
AWSOrganizationsFullAccess: atualizado para incluir elementos de `Sid` que descrevem a declaração de política.	O Organizations adicionou elementos de `Sid` para a política gerenciada de `AWSOrganizationsFullAccess`.	6 de fevereiro de 2024
AWSOrganizationsReadOnlyAccess: atualizado para incluir elementos de `Sid` que descrevem a declaração de política.	O Organizations adicionou elementos de `Sid` para a política gerenciada de `AWSOrganizationsReadOnlyAccess`.	6 de fevereiro de 2024
AWSOrganizationsFullAccess: atualizado para conceder as permissões de API da conta necessárias para habilitar ou desabilitar as Regiões da AWS por meio do console do Organizations.	O Organizations adicionou as ações `account:ListRegions`, `account:EnableRegion` e `account:DisableRegion` à política para habilitar o acesso de gravação para habilitar ou desabilitar regiões para uma conta.	22 de dezembro de 2022
AWSOrganizationsReadOnlyAccess: atualizado para conceder as permissões de API da conta necessárias para listar as Regiões da AWS por meio do console do Organizations.	O Organizations adicionou a ação `account:ListRegions` à política para habilitar o acesso de visualização de regiões para uma conta.	22 de dezembro de 2022
AWSOrganizationsFullAccess: atualizado para conceder as permissões de API de conta necessárias para adicionar ou editar contatos da conta por meio do console do Organizations.	O Organizations adicionou as ações `account:GetContactInformation` e `account:PutContactInformation` à política para habilitar acesso de gravação a fim de modificar contatos de uma conta.	21 de outubro de 2022
AWSOrganizationsReadOnlyAccess: atualizado para conceder as permissões de API de conta necessárias para exibir contatos da conta usando o console do Organizations.	O Organizations adicionou a ação `account:GetContactInformation` à política para habilitar acesso de visualização de contatos de uma conta.	21 de outubro de 2022
AWSOrganizationsFullAccess – atualizado para permitir a criação de uma organização.	O Organizations adicionou a permissão `CreateServiceLinkedRole` à política para habilitar a criação da função vinculada ao serviço, necessária para criar uma organização. A permissão é restrita à criação de uma função que pode ser usada somente pelo serviço `organizations.amazonaws.com`.	24 de agosto de 2022
AWSOrganizationsFullAccess: atualizado para conceder as permissões de API de conta necessárias para adicionar, editar ou excluir contatos alternativos da conta por meio do console do Organizations.	O Organizations adicionou as ações `account:GetAlternateContact`, `account:DeleteAlternateContact` e `account:PutAlternateContact` à política para habilitar acesso de gravação para modificar contatos alternativos de uma conta.	7 de fevereiro de 2022
AWSOrganizationsReadOnlyAccess: atualizado para conceder as permissões de API de conta necessárias para exibir contatos alternativos da conta via console do Organizations.	O Organizations adicionou a ação `account:GetAlternateContact` à política para habilitar acesso de visualização de contatos alternativos de uma conta.	7 de fevereiro de 2022

Políticas de controle de serviço gerenciadas pelo AWS Organizations

Políticas de controle de serviço (SCPs) são semelhantes às políticas de permissão do IAM, mas são um recurso do AWS Organizations, e não do IAM. Você usa SCPs para especificar o número máximo de permissões para entidades afetadas. Você pode anexar SCPs a raízes, unidades organizacionais (UOs) ou contas de sua organização. Você pode criar suas próprias ou usar as políticas definidas pelo IAM. Você pode ver a lista de políticas de sua organização na página Policies (Políticas) no console do Organizations.

Importante

Cada raiz, UO e conta devem ter pelo menos uma SCP anexada durante todo o tempo.

Nome da política	Descrição	ARN
FullAWSAccess	Fornece à conta de gerenciamento do AWS Organizations acesso às contas-membro.	arn:aws:organizations::aws:policy/service_control_policy/p-FullAWSAccess

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Exemplos de políticas baseadas em atributos

Controle de acesso baseado em atributo com tags