Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Beispiel: Konsolidierte Berechtigungen zur Verwaltung der Backup-Richtlinien einer Organisation
Dieses Beispiel zeigt, wie Sie eine ressourcenbasierte Delegierungsrichtlinie erstellen können, die es dem Verwaltungskonto ermöglicht, alle Berechtigungen zu delegieren, die für die Verwaltung von Backup-Richtlinien innerhalb der Organisation erforderlich sind, einschließlich der Aktionen create, read, updateund delete sowie der Richtlinienaktionen attach und detach. Informationen zur Bedeutung der einzelnen Aktionen, Ressourcen und Bedingungen finden Sie unter Beispiel für ressourcenbasierte Delegierungsrichtlinien.
Wichtig
Diese Richtlinie ermöglicht es delegierten Administratoren, die angegebenen Aktionen für Richtlinien auszuführen, die von einem beliebigen Konto in der Organisation erstellt wurden, einschließlich des Verwaltungskontos.
Diese Beispiel-Delegierungsrichtlinie gewährt die erforderlichen Berechtigungen, um Aktionen programmgesteuert über die AWS API oder abzuschließen. AWS CLI Um diese Delegierungsrichtlinie zu verwenden, ersetzen Sie den AWS
Platzhaltertext für MemberAccountId, ManagementAccountId, und OrganizationIdRootIddurch Ihre eigenen Informationen. Folgen Sie dann den Anweisungen in Delegierter Administrator für AWS Organizations.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "DelegatingNecessaryDescribeListActions", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::MemberAccountId:root" }, "Action": [ "organizations:DescribeOrganization", "organizations:DescribeOrganizationalUnit", "organizations:DescribeAccount", "organizations:ListRoots", "organizations:ListOrganizationalUnitsForParent", "organizations:ListParents", "organizations:ListChildren", "organizations:ListAccounts", "organizations:ListAccountsForParent", "organizations:ListTagsForResource" ], "Resource": "*" }, { "Sid": "DelegatingNecessaryDescribeListActionsForSpecificPolicyType", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::MemberAccountId:root" }, "Action": [ "organizations:DescribePolicy", "organizations:DescribeEffectivePolicy", "organizations:ListPolicies", "organizations:ListPoliciesForTarget", "organizations:ListTargetsForPolicy" ], "Resource": "*", "Condition": { "StringLikeIfExists": { "organizations:PolicyType": "BACKUP_POLICY" } } }, { "Sid": "DelegatingAllActionsForBackupPolicies", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::MemberAccountId:root" }, "Action": [ "organizations:CreatePolicy", "organizations:UpdatePolicy", "organizations:DeletePolicy", "organizations:AttachPolicy", "organizations:DetachPolicy", "organizations:EnablePolicyType", "organizations:DisablePolicyType" ], "Resource": [ "arn:aws:organizations::ManagementAccountId:root/o-OrganizationId/r-RootId", "arn:aws:organizations::ManagementAccountId:ou/o-OrganizationId/*", "arn:aws:organizations::ManagementAccountId:account/o-OrganizationId/*", "arn:aws:organizations::ManagementAccountId:policy/o-OrganizationId/backup_policy/*" ], "Condition": { "StringLikeIfExists": { "organizations:PolicyType": "BACKUP_POLICY" } } } ] }
