使用建立資源型委派政策 AWS Organizations

從管理帳戶中，為您的組織建立資源型委派政策，並新增指定哪些成員帳戶可以對政策執行動作的陳述式。您可以在政策中新增多個陳述式，以表示成員帳戶的不同許可集。

最低許可

若要建立資源型委派政策，您需要執行下列動作的許可：

organizations:PutResourcePolicy
organizations:DescribeResourcePolicy

此外，您必須將委派管理員帳戶中的角色和使用者授予所需動作的對應IAM許可。如果沒有IAM許可，則假設呼叫主體沒有管理 AWS Organizations 政策所需的許可。

AWS Management Console

使用以下其中一個方法，在 AWS Management Console 中將陳述式新增至以資源為基礎的委派政策：

JSON 政策 – 貼上並自訂要在帳戶中使用的範例資源型委派政策，或在JSON編輯器中輸入您自己的JSON政策文件。
視覺效果編輯器 – 在視覺效果編輯器中建立新的委派政策，該政策會引導您建立委派政策，而不必撰寫JSON語法。

使用JSON政策編輯器建立委派政策

登入 AWS Organizations 主控台。您必須以IAM使用者身分登入、擔任IAM角色，或以組織的管理帳戶中的根使用者身分登入（不建議使用）。
選擇設定。
在 AWS Organizations的委派管理員區段中，選擇委派以建立 Organizations 委派政策。
輸入JSON政策文件。如需IAM政策語言的詳細資訊，請參閱IAMJSON政策參考。
解決政策驗證期間產生的任何安全性警告、錯誤或一般性警告，然後選擇 Create policy (建立政策) 以儲存工作。

使用視覺化編輯器建立委派政策

登入 AWS Organizations 主控台。您必須以IAM使用者身分登入、擔任IAM角色，或以組織的管理帳戶中的根使用者身分登入（不建議使用）。
選擇設定。
在 AWS Organizations的委派管理員區段中，選擇委派以建立 Organizations 委派政策。
在 Create Delegation policy (建立委派政策) 頁面上，選擇 Add new statement (新增陳述式)。
將 Effect (效果) 設定為 Allow。
新增 Principal 以定義您要委派的成員帳戶。
從 Actions (動作) 清單中，選擇您要委派的動作。您可使用 Filter actions (篩選動作)，以縮減選項。
若要指定委派的成員帳戶是否可以將政策連接至組織根或組織單位（OUs），請設定 Resources。您也必須選取 policy 作為資源類型。您可採用以下方式來指定資源：
- 選擇新增資源，並依照對話方塊中的提示建構 Amazon Resource Name （ARN）。
- 在編輯器中ARNs手動列出資源。如需ARN語法的詳細資訊，請參閱 AWS 一般參考指南中的 Amazon Resource Name （ARN）。如需在政策的資源元素ARNs中使用的相關資訊，請參閱IAMJSON政策元素：資源。
選擇 Add a condition (新增條件) 以指定其他條件，包括您要委派的政策類型。選擇條件的 Condition key (條件索引鍵)、Tag key (標籤索引鍵)、Qualifier (修飾詞) 以及 Operator (運算子)，然後輸入 Value。完成時，請選擇 Add condition (新增條件)。如需條件元素的詳細資訊，請參閱IAMJSON政策參考中的政策元素：條件。 IAM JSON
若要新增更多許可區塊，請選擇 Add new statement (新增陳述式)。針對每個區塊皆重複步驟 5 到 9。
解決政策驗證期間產生的任何安全性警告、錯誤或一般性警告，然後選擇 Create policy (建立政策) 以儲存工作。

AWS CLI & AWS SDKs

建立委派政策

您可以使用下列命令來建立委派政策：

AWS CLI: put-resource-policy

下列範例會建立委派政策。


$ aws organizations put-resource-policy --content
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "Fully_manage_backup_policies",
            "Effect": "Allow",
            "Principal": {
                "AWS": "135791357913"
            },
            "Action": [
                "organizations:DescribeOrganization",
                "organizations:ListAccounts",
                "organizations:CreatePolicy",
                "organizations:DescribePolicy",
                "organizations:UpdatePolicy",
                "organizations:DeletePolicy",
                "organizations:AttachPolicy",
                "organizations:DetachPolicy"
            ],
            "Resource": [
                "arn:aws:organizations::246802468024:root/o-abcdef/r-pqrstu",
                "arn:aws:organizations::246802468024:ou/o-abcdef/*",
                "arn:aws:organizations::246802468024:account/o-abcdef/*",
                "arn:aws:organizations::246802468024:organization/policy/backup_policy/*",
            ],
            "Condition": {
                "StringLikeIfExists": {
                    "organizations:PolicyType": [
                        "BACKUP_POLICY"
                    ]
                }
            }
        }
    ]
}

AWS SDK: PutResourcePolicy

支援的委派政策動作

委派政策支援下列動作：

AttachPolicy
CreatePolicy
DeletePolicy
DescribeAccount
DescribeCreateAccountStatus
DescribeEffectivePolicy
DescribeHandshake
DescribeOrganization
DescribeOrganizationalUnit
DescribePolicy
DescribeResourcePolicy
DetachPolicy
DisablePolicyType
EnablePolicyType
ListAccounts
ListAccountsForParent
ListAWSServiceAccessForOrganization
ListChildren
ListCreateAccountStatus
ListDelegatedAdministrators
ListDelegatedServicesForAccount
ListHandshakesForAccount
ListHandshakesForOrganization
ListOrganizationalUnitsForParent
ListParents
ListPolicies
ListPoliciesForTarget
ListRoots
ListTagsForResource
ListTargetsForPolicy
TagResource
UntagResource
UpdatePolicy

支援的條件金鑰

只有支援的條件金鑰 AWS Organizations 才能用於委派政策。如需詳細資訊，請參閱服務授權參考 中的的條件金鑰 AWS Organizations。

您的瀏覽器已停用或無法使用 Javascript。

您必須啟用 Javascript，才能使用 AWS 文件。請參閱您的瀏覽器說明頁以取得說明。

文件慣用形式

的委派管理員 AWS Organizations

更新資源型委派政策

使用 建立資源型委派政策 AWS Organizations