Erstellen oder aktualisieren Sie eine ressourcenbasierte Delegierungsrichtlinie mit AWS Organizations - AWS Organizations

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Erstellen oder aktualisieren Sie eine ressourcenbasierte Delegierungsrichtlinie mit AWS Organizations

Erstellen oder aktualisieren Sie vom Verwaltungskonto aus eine ressourcenbasierte Delegierungsrichtlinie für Ihre Organisation und fügen Sie eine Erklärung hinzu, die angibt, welche Mitgliedskonten Aktionen im Rahmen von Richtlinien ausführen können. Sie können der Richtlinie mehrere Anweisungen hinzufügen, um unterschiedliche Berechtigungen für Mitgliedskonten anzugeben.

Mindestberechtigungen

Um die ressourcenbasierte Delegierungsrichtlinie zu erstellen oder zu aktualisieren, benötigen Sie die Berechtigung, die folgenden Aktionen auszuführen:

  • organizations:PutResourcePolicy

  • organizations:DescribeResourcePolicy

Darüber hinaus müssen Sie Rollen und Benutzern im delegierten Administratorkonto die entsprechenden IAM Berechtigungen für die erforderlichen Aktionen gewähren. Ohne IAM Berechtigungen wird davon ausgegangen, dass der aufrufende Prinzipal nicht über die erforderlichen Verwaltungsberechtigungen verfügt AWS Organizations Richtlinien.

AWS Management Console

Fügen Sie Anweisungen zur ressourcenbasierten Delegierungsrichtlinie hinzu in der AWS Management Console mit einer der folgenden Methoden:

  • JSONRichtlinie — Fügen Sie ein Beispiel für eine ressourcenbasierte Delegierungsrichtlinie ein und passen Sie es an, um es in Ihrem Konto zu verwenden, oder geben Sie Ihr eigenes JSON Richtliniendokument in den JSON Editor ein.

  • Visueller Editor — Erstellen Sie im visuellen Editor eine neue Delegierungsrichtlinie, die Sie bei der Erstellung einer Delegierungsrichtlinie unterstützt, ohne Syntax schreiben JSON zu müssen.

Verwenden Sie den JSON Richtlinien-Editor, um eine Delegierungsrichtlinie zu erstellen oder zu aktualisieren

  1. Melden Sie sich an bei AWS Organizations Konsole. Sie müssen sich im Verwaltungskonto der Organisation als IAM Benutzer anmelden, eine IAM Rolle übernehmen oder sich als Root-Benutzer (nicht empfohlen) anmelden.

  2. Wählen Sie Settings (Einstellungen) aus.

  3. Im delegierten Administrator für AWS OrganizationsWählen Sie im Abschnitt Delegieren aus, um die Delegierungsrichtlinie für Organizations zu erstellen. Um eine bestehende Delegierungsrichtlinie zu aktualisieren, wählen Sie Edit (Bearbeiten).

  4. Geben Sie ein JSON Richtliniendokument ein oder fügen Sie es ein. Einzelheiten zur Sprache der IAM Richtlinie finden Sie in der IAMJSONRichtlinienreferenz.

  5. Beheben Sie alle Sicherheitswarnungen, Fehler oder allgemeinen Warnungen, die während der Richtlinienvalidierung erzeugt wurden, und wählen Sie dann Create policy (Richtlinie erstellen).

Verwenden des visuellen Editors zum Erstellen oder Aktualisieren einer Delegierungsrichtlinie

  1. Melden Sie sich an bei AWS Organizations Konsole. Sie müssen sich im Verwaltungskonto der Organisation als IAM Benutzer anmelden, eine IAM Rolle übernehmen oder sich als Root-Benutzer (nicht empfohlen) anmelden.

  2. Wählen Sie Settings (Einstellungen) aus.

  3. Im delegierten Administrator für AWS OrganizationsWählen Sie im Abschnitt Delegieren aus, um die Delegierungsrichtlinie für Organizations zu erstellen. Um eine bestehende Delegierungsrichtlinie zu aktualisieren, wählen Sie Edit (Bearbeiten).

  4. Wählen Sie auf der Seite Create Delegation policy (Delegierungsrichtlinie erstellen) die Option Add new statement (Neue Anweisung hinzufügen) aus.

  5. Stellen Sie Effect (Effekt) auf Allow.

  6. Fügen Sie den Principal hinzu, um die Mitgliedskonten zu definieren, an die Sie delegieren möchten. Weitere Informationen zur Syntax finden Sie unter Beispiel für ressourcenbasierte Delegierungsrichtlinien.

  7. Wählen Sie aus der Liste Actions (Aktionen) die Aktionen aus, die Sie delegieren möchten. Sie können die Auswahl mithilfe der Option Filter actions (Aktionen filtern) eingrenzen.

  8. Legen Sie fest, ob das delegierte Mitgliedskonto Richtlinien an das Stammverzeichnis oder die Organisationseinheiten (OUs) der Organisation anhängen kann. Resources Sie müssen auch policy als Ressourcentyp auswählen. Weitere Details finden Sie unter Beispiel für ressourcenbasierte Delegierungsrichtlinien. Sie können Ressourcen auf folgende Weise angeben:

    • Wählen Sie Ressource hinzufügen und erstellen Sie den Amazon-Ressourcennamen (ARN), indem Sie den Anweisungen im Dialogfeld folgen.

    • Führen Sie die Ressource ARNs manuell im Editor auf. Weitere Informationen zur ARN Syntax finden Sie unter Amazon Resource Name (ARN) in der AWS Allgemeines Referenzhandbuch. Informationen zur Verwendung ARNs im Ressourcenelement einer Richtlinie finden Sie unter IAMJSONRichtlinienelemente: Ressource.

  9. Wählen Sie Add a condition (Bedingung hinzufügen), um weitere Bedingungen anzugeben, einschließlich des Richtlinientyps, den Sie delegieren möchten. Wählen Sie den Condition Key (Bedingungsschlüssel), den Tag key (Tag-Schlüssel), den Qualifier (Qualifizierer) und den Operator (Operator) der Bedingung aus und geben Sie dann einen Value (Wert) ein. Weitere Details finden Sie unter Beispiel für ressourcenbasierte Delegierungsrichtlinien. Wählen Sie danach Add condition (Bedingung hinzufügen) aus. Weitere Informationen zum Element „Bedingung“ finden Sie in der IAMJSONRichtlinienreferenz unter „IAMJSONRichtlinienelemente: Bedingung“.

  10. Um mehr Berechtigungsblöcke hinzuzufügen, wählen Sie Add new statement (Neue Anweisung hinzufügen). Wiederholen Sie die Schritte 5 bis 9 für jeden Block.

  11. Beheben Sie alle Sicherheitswarnungen, Fehler oder allgemeinen Warnungen, die während der Richtlinienvalidierung erzeugt wurden, und wählen Sie dann Create policy (Richtlinie erstellen), um Ihre Arbeit zu speichern.

AWS CLI & AWS SDKs
Erstellen oder Aktualisieren einer Delegierungsrichtlinie

Sie können zum Erstellen oder Aktualisieren einer Richtlinie die folgenden Befehle verwenden:

  • AWS CLI: put-resource-policy

    Im folgenden Beispiel wird die Delegierungsrichtlinie erstellt oder aktualisiert.

    $ aws organizations put-resource-policy --content
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "Fully_manage_backup_policies",
            "Effect": "Allow",
            "Principal": {
                "AWS": "135791357913"
            },
            "Action": [
                "organizations:DescribeOrganization",
                "organizations:ListAccounts",
                "organizations:CreatePolicy",
                "organizations:DescribePolicy",
                "organizations:UpdatePolicy",
                "organizations:DeletePolicy",
                "organizations:AttachPolicy",
                "organizations:DetachPolicy"
            ],
            "Resource": [
                "arn:aws:organizations::246802468024:root/o-abcdef/r-pqrstu",
                "arn:aws:organizations::246802468024:ou/o-abcdef/*",
                "arn:aws:organizations::246802468024:account/o-abcdef/*",
                "arn:aws:organizations::246802468024:organization/policy/backup_policy/*",
            ],
            "Condition": {
                "StringLikeIfExists": {
                    "organizations:PolicyType": [
                        "BACKUP_POLICY"
                    ]
                }
            }
        }
    ]
}
Unterstützte Richtlinienaktionen zur Delegierung

Folgende Aktionen werden in der Delegierungsrichtlinie unterstützt:

  • AttachPolicy

  • CreatePolicy

  • DeletePolicy

  • DescribeAccount

  • DescribeCreateAccountStatus

  • DescribeEffectivePolicy

  • DescribeHandshake

  • DescribeOrganization

  • DescribeOrganizationalUnit

  • DescribePolicy

  • DescribeResourcePolicy

  • DetachPolicy

  • DisablePolicyType

  • EnablePolicyType

  • ListAccounts

  • ListAccountsForParent

  • ListAWSServiceAccessForOrganization

  • ListChildren

  • ListCreateAccountStatus

  • ListDelegatedAdministrators

  • ListDelegatedServicesForAccount

  • ListHandshakesForAccount

  • ListHandshakesForOrganization

  • ListOrganizationalUnitsForParent

  • ListParents

  • ListPolicies

  • ListPoliciesForTarget

  • ListRoots

  • ListTagsForResource

  • ListTargetsForPolicy

  • TagResource

  • UntagResource

  • UpdatePolicy

Unterstützte Bedingungsschlüssel

Nur Bedingungsschlüssel werden unterstützt von AWS Organizations kann für Delegierungsrichtlinien verwendet werden. Weitere Informationen finden Sie unter Bedingungsschlüssel für AWS Organizationsin der Referenz zur Serviceautorisierung.