Beispiel: Anzeigen der Organisation, Organisationseinheiten, Konten und Richtlinien

Bevor Sie die Verwaltung von Richtlinien delegieren, müssen Sie die Berechtigungen delegieren, um in der Struktur einer Organisation zu navigieren und die Organisationseinheiten (OUs), Konten und die damit verbundenen Richtlinien einzusehen.

Dieses Beispiel zeigt, wie Sie diese Berechtigungen in Ihre ressourcenbasierte Delegierungsrichtlinie für das Mitgliedskonto AccountId aufnehmen können.

Wichtig

Es ist ratsam, dass Sie nur Berechtigungen für die im Beispiel gezeigten Mindestaktionen gewähren. Es ist jedoch möglich, mithilfe dieser Richtlinie alle schreibgeschützten Aktionen von Organizations zu delegieren.

Diese Beispieldelegierungsrichtlinie gewährt die Berechtigungen, die erforderlich sind, um Aktionen programmgesteuert über die AWS-API oder AWS CLI durchzuführen. Um diese Delegierungsrichtlinie zu verwenden, ersetzen Sie den AWS Platzhaltertext für AccountId durch Ihre eigenen Informationen. Folgen Sie dann den Anweisungen in Delegierter Administrator für AWS Organizations.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "DelegatingNecessaryDescribeListActions",
      "Effect": "Allow",
      "Principal": {
        "AWS": "arn:aws:iam::AccountId:root"
      },
      "Action": [
        "organizations:DescribeOrganization",
        "organizations:DescribeOrganizationalUnit",
        "organizations:DescribeAccount",
        "organizations:DescribePolicy",
        "organizations:DescribeEffectivePolicy",
        "organizations:ListRoots",
        "organizations:ListOrganizationalUnitsForParent",
        "organizations:ListParents",
        "organizations:ListChildren",
        "organizations:ListAccounts",
        "organizations:ListAccountsForParent",
        "organizations:ListPolicies",
        "organizations:ListPoliciesForTarget",
        "organizations:ListTargetsForPolicy",
        "organizations:ListTagsForResource"
      ],
      "Resource": "*"
    }
  ]
}