Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Aktionen, Ressourcen und Bedingungsschlüssel für AWS Organizations
AWS Organizations (Dienstpräfix:organizations) stellt die folgenden dienstspezifischen Ressourcen, Aktionen und Bedingungskontextschlüssel zur Verwendung in IAM-Berechtigungsrichtlinien bereit.
Referenzen:
-
Erfahren Sie, wie Sie diesen Service konfigurieren.
-
Zeigen Sie eine Liste der API-Vorgänge an, die für diesen Service verfügbar sind.
-
Erfahren Sie, wie Sie diesen Service und seine Ressourcen mithilfe von IAM-Berechtigungsrichtlinien schützen.
Themen
Von AWS Organizations definierte Aktionen
Sie können die folgenden Aktionen im Element Action einer IAM-Richtlinienanweisung angeben. Verwenden Sie Richtlinien, um Berechtigungen zum Ausführen einer Operation in AWS zu erteilen. Wenn Sie eine Aktion in einer Richtlinie verwenden, erlauben oder verweigern Sie in der Regel den Zugriff auf die API-Operation oder den CLI-Befehl mit demselben Namen. Dabei kann es mitunter vorkommen, dass eine einzige Aktion den Zugriff auf mehr als eine Operation steuert. Alternativ erfordern einige Vorgänge mehrere verschiedene Aktionen.
Die Spalte Resource types (Ressourcentypen) der Aktionstabelle gibt an, ob die Aktion Berechtigungen auf Ressourcenebene unterstützt. Wenn es keinen Wert für diese Spalte gibt, müssen Sie alle Ressourcen ("*") im Element Resource Ihrer Richtlinienanweisung angeben. Wenn die Spalte einen Ressourcentyp enthält, können Sie einen ARN dieses Typs in einer Anweisung mit dieser Aktion angeben. Wenn für die Aktion eine oder mehrere Ressourcen erforderlich sind, muss der Aufrufer die Erlaubnis haben, die Aktion mit diesen Ressourcen zu verwenden. Erforderliche Ressourcen sind in der Tabelle mit einem Sternchen (*) gekennzeichnet. Wenn Sie den Ressourcenzugriff mit dem Element Resource in einer IAM-Richtlinie einschränken, müssen Sie für jeden erforderlichen Ressourcentyp einen ARN oder ein Muster angeben. Einige Aktionen unterstützen mehrere Ressourcentypen. Wenn der Ressourcentyp optional ist (nicht als erforderlich angegeben), können Sie sich für einen der optionalen Ressourcentypen entscheiden.
Die Spalte Bedingungsschlüssel der Tabelle der Aktionen enthält Schlüssel, die Sie im Element Condition einer Richtlinienanweisung angeben können. Weitere Informationen zu den Bedingungsschlüsseln, die den Ressourcen für den Service zugeordnet sind, finden Sie in der Spalte Bedingungsschlüssel der Tabelle der Ressourcentypen.
Anmerkung
Die Ressourcenbedingungsschlüssel sind in der Tabelle Ressourcentypen enthalten. Sie finden einen Link zu dem Ressourcentyp, der für eine Aktion gilt, in der Spalte Ressourcentypen (*erforderlich) der Tabelle „Aktionen“. Der Ressourcentyp in der Tabelle „Ressourcentypen“ enthält die Spalte Bedingungsschlüssel. Das sind die Ressourcenbedingungsschlüssel, die für eine Aktion in der Tabelle „Aktionen“ gelten.
Details zu den Spalten in der folgenden Tabelle finden Sie in der Tabelle Aktionen
| Aktionen | Beschreibung | Zugriffsebene | Ressourcentypen (*erforderlich) | Bedingungsschlüssel | Abhängige Aktionen |
|---|---|---|---|---|---|
| AcceptHandshake | Gewährt die Berechtigung zum Senden einer Antwort an den Sender eines Handshakes, mit dem der in der Handshake-Anforderung vorgeschlagenen Aktion zugestimmt wird | Schreiben |
iam:CreateServiceLinkedRole |
||
| AttachPolicy | Gewährt die Berechtigung zum Anfügen einer Richtlinie an einen Root, eine Organisationseinheit oder ein individuelles Konto | Schreiben | |||
| CancelHandshake | Gewährt die Berechtigung zum Abbrechen eines Handshakes | Schreiben | |||
| CloseAccount | Erteilt die Erlaubnis AWS-Konto , eine zu schließen, die jetzt Teil einer Organizations ist, entweder innerhalb der Organisation erstellt wurde oder zu deren Beitritt eingeladen wurde | Schreiben | |||
| CreateAccount | Erteilt die Berechtigung AWS-Konto , eine Person zu erstellen, die automatisch Mitglied der Organisation wird, und zwar mit den Anmeldeinformationen, mit denen die Anfrage gestellt wurde | Schreiben | |||
| CreateGovCloudAccount | Erteilt die Erlaubnis, ein AWS GovCloud (US-) Konto zu erstellen | Schreiben | |||
| CreateOrganization | Gewährt die Berechtigung zum Erstellen einer Organisation. Das Konto mit den Anmeldeinformationen, das den CreateOrganization Vorgang aufruft, wird automatisch zum Verwaltungskonto der neuen Organisation | Schreiben |
iam:CreateServiceLinkedRole |
||
| CreateOrganizationalUnit | Gewährt die Berechtigung zum Erstellen einer Organisationseinheit (OU) innerhalb einer Root- oder übergeordneten OU | Schreiben | |||
| CreatePolicy | Erteilt die Berechtigung zum Erstellen einer Richtlinie, die Sie einem Stamm, einer Organisationseinheit (OU) oder einer Einzelperson zuordnen können AWS-Konto | Schreiben | |||
| DeclineHandshake | Gewährt die Berechtigung zum Ablehnen einer Handshake-Anforderung. Dadurch wird der Status des Handshakes auf DECLINED gesetzt und die Anforderung wird praktisch deaktiviert | Schreiben | |||
| DeleteOrganization | Gewährt die Berechtigung zum Löschen der Organisation | Schreiben | |||
| DeleteOrganizationalUnit | Gewährt die Berechtigung zum Löschen einer Organisationseinheit (OU) aus einer Root- oder einer anderen OU | Schreiben | |||
| DeletePolicy | Gewährt die Berechtigung zum Löschen einer Richtlinie aus der Organisation | Schreiben | |||
| DeleteResourcePolicy | Gewährt die Berechtigung zum Löschen einer Ressourcenrichtlinie aus der Organisation | Schreiben | |||
| DeregisterDelegatedAdministrator | Erteilt die Berechtigung, das angegebene Mitglied AWS-Konto als delegierten Administrator für den AWS Dienst abzumelden, der durch angegeben ist ServicePrincipal | Schreiben | |||
| DescribeAccount | Gewährt die Berechtigung zum Abrufen organisationsbezogener Details zum angegebenen Konto | Lesen | |||
| DescribeCreateAccountStatus | Gewährt die Berechtigung zum Abrufen des aktuellen Status einer asynchronen Anforderung zum Erstellen eines Kontos | Lesen | |||
| DescribeEffectivePolicy | Gewährt die Berechtigung zum Abrufen der effektiven Richtlinie für ein Konto | Lesen | |||
| DescribeHandshake | Gewährt die Berechtigung zum Abrufen von Details zu einem zuvor angeforderten Handshake | Lesen | |||
| DescribeOrganization | Gewährt die Berechtigung zum Abrufen von Details zu der Organisation, zu der die aufrufenden Anmeldeinformationen gehören | Lesen | |||
| DescribeOrganizationalUnit | Gewährt die Berechtigung zum Abrufen von Details zu einer Organisationseinheit (OU) | Lesen | |||
| DescribePolicy | Gewährt die Berechtigung zum Abrufen von Details zu einer Richtlinie | Lesen | |||
| DescribeResourcePolicy | Gewährt die Berechtigung zum Abrufen von Informationen zu einer Ressourcenrichtlinie | Lesen | |||
| DetachPolicy | Gewährt die Berechtigung zum Trennen einer Richtlinie von einem Ziel-Root, einer organisatorischen Einheit oder einem Konto | Schreiben | |||
| DisableAWSServiceAccess | Erteilt die Berechtigung, die Integration eines AWS Dienstes (des Dienstes, der von angegeben ist ServicePrincipal) mit AWS Organizations zu deaktivieren | Schreiben | |||
| DisablePolicyType | Gewährt die Berechtigung zum Deaktivieren eines Organisationsrichtlinientyps in einem Root | Schreiben | |||
| EnableAWSServiceAccess | Erteilt die Erlaubnis, die Integration eines AWS Dienstes (des Dienstes, der von spezifiziert ist ServicePrincipal) mit AWS Organizations zu ermöglichen | Schreiben | |||
| EnableAllFeatures | Gewährt die Berechtigung zum Starten des Prozesses, der alle Funktionen in einer Organisation aktiviert und die Organisation von der Unterstützung nur der „Konsolidierte Fakturierung“-Funktionen hochstuft | Schreiben | |||
| EnablePolicyType | Gewährt die Berechtigung zum Aktivieren eines Richtlinientyps in einem Root | Schreiben | |||
| InviteAccountToOrganization | Erteilt die Erlaubnis, eine Einladung an eine andere Person zu senden und sie zu bitten AWS-Konto, Ihrer Organisation als Mitgliedskonto beizutreten | Schreiben | |||
| LeaveOrganization | Gewährt die Berechtigung zum Entfernen eines Mitgliedskontos aus seiner übergeordneten Organisation | Schreiben | |||
| ListAWSServiceAccessForOrganization | Erteilt die Berechtigung zum Abrufen der Liste der AWS Dienste, für die Sie die Integration mit Ihrer Organisation aktiviert haben | Auflisten | |||
| ListAccounts | Gewährt die Berechtigung zum Auflisten aller Konten in der Organisation | Auflisten | |||
| ListAccountsForParent | Gewährt die Berechtigung zum Auflisten der Konten in einer Organisation, die in einem Root oder einer Organisationseinheit (OU) enthalten sind | Auflisten | |||
| ListChildren | Gewährt die Berechtigung zum Auflisten aller OUs oder Konten, die in einer übergeordneten OU oder im Root enthalten sind | Auflisten | |||
| ListCreateAccountStatus | Gewährt die Berechtigung zum Auflisten asynchroner Kontoerstellungsanforderungen, die derzeit für die Organisation verfolgt werden | Auflisten | |||
| ListDelegatedAdministrators | Erteilt die Berechtigung, die AWS Konten aufzulisten, die in dieser Organisation als delegierte Administratoren bezeichnet wurden | Auflisten | |||
| ListDelegatedServicesForAccount | Erteilt die Berechtigung, die AWS Dienste aufzulisten, für die das angegebene Konto ein delegierter Administrator in dieser Organisation ist | Auflisten | |||
| ListHandshakesForAccount | Gewährt die Berechtigung zum Auflisten aller Handshakes, die einem Konto zugeordnet sind | Auflisten | |||
| ListHandshakesForOrganization | Gewährt die Berechtigung zum Auflisten der Handshakes, die der Organisation zugeordnet sind | Auflisten | |||
| ListOrganizationalUnitsForParent | Gewährt die Berechtigung zum Auflisten aller Organisationseinheiten (OUs) in einer übergeordneten Organisationseinheit oder im Root | Auflisten | |||
| ListParents | Gewährt die Berechtigung zum Auflisten des Roots oder der Organisationseinheiten (OUs), der/die einer untergeordneten OU oder einem Konto unmittelbar übergeordnet ist/sind | Auflisten | |||
| ListPolicies | Gewährt die Berechtigung zum Auflisten aller Richtlinien in einer Organisation | Auflisten | |||
| ListPoliciesForTarget | Gewährt die Berechtigung zum Auflisten aller Richtlinien, die direkt an einen Root, eine Organisationseinheit (OU) oder ein Konto angefügt sind | Auflisten | |||
| ListRoots | Gewährt die Berechtigung zum Auflisten aller Roots, die in der Organisation definiert sind | Auflisten | |||
| ListTagsForResource | Gewährt die Berechtigung zum Auflisten aller Tags für die angegebene Ressource | Auflisten | |||
| ListTargetsForPolicy | Gewährt die Berechtigung zum Auflisten aller Roots, OUs und Konten, an die eine Richtlinie angefügt ist | Auflisten | |||
| MoveAccount | Gewährt die Berechtigung zum Verschieben eines Kontos aus dem aktuellen Root oder der aktuellen OU in einen anderen übergeordneten Root oder eine andere übergeordnete OU | Schreiben | |||
| PutResourcePolicy | Gewährt die Berechtigung zum Erstellen oder Aktualisieren einer Ressourcenrichtlinie | Schreiben | |||
| RegisterDelegatedAdministrator | Erteilt die Erlaubnis, das angegebene Mitgliedskonto zu registrieren, um die Organisationsfunktionen des AWS Dienstes zu verwalten, der angegeben ist von ServicePrincipal | Schreiben | |||
| RemoveAccountFromOrganization | Gewährt die Berechtigung zum Entfernen des angegebenen Kontos aus der Organisation | Schreiben | |||
| TagResource | Gewährt die Berechtigung zum Hinzufügen eines oder mehrerer Tags zur angegebenen Ressource | Markieren | |||
| UntagResource | Gewährt die Berechtigung zum Entfernen eines oder mehrerer Tags aus der angegebenen Ressource | Tagging | |||
| UpdateOrganizationalUnit | Gewährt die Berechtigung zum Umbenennen einer Organisationseinheit (OU) | Schreiben | |||
| UpdatePolicy | Gewährt die Berechtigung zum Aktualisieren einer Richtlinie mit neuem Namen, neuer Beschreibung oder neuem Inhalt | Schreiben | |||
Von AWS Organizations definierte Ressourcentypen
Die folgenden Ressourcentypen werden von diesem Service definiert und können im Element Resource von IAM-Berechtigungsrichtlinienanweisungen verwendet werden. Jede Aktion in der Tabelle „Aktionen“ identifiziert die Ressourcentypen, die mit der Aktion angegeben werden können. Ein Ressourcentyp kann auch definieren, welche Bedingungsschlüssel Sie in einer Richtlinie einschließen können. Diese Schlüssel werden in der letzten Spalte der Tabelle der Ressourcentypen angezeigt. Details zu den Spalten in der folgenden Tabelle finden Sie in der Tabelle Resource types.
| Ressourcentypen | ARN | Bedingungsschlüssel |
|---|---|---|
| account |
arn:${Partition}:organizations::${Account}:account/o-${OrganizationId}/${AccountId}
|
|
| handshake |
arn:${Partition}:organizations::${Account}:handshake/o-${OrganizationId}/${HandshakeType}/h-${HandshakeId}
|
|
| organization |
arn:${Partition}:organizations::${Account}:organization/o-${OrganizationId}
|
|
| organizationalunit |
arn:${Partition}:organizations::${Account}:ou/o-${OrganizationId}/ou-${OrganizationalUnitId}
|
|
| policy |
arn:${Partition}:organizations::${Account}:policy/o-${OrganizationId}/${PolicyType}/p-${PolicyId}
|
|
| resourcepolicy |
arn:${Partition}:organizations::${Account}:resourcepolicy/o-${OrganizationId}/rp-${ResourcePolicyId}
|
|
| awspolicy |
arn:${Partition}:organizations::aws:policy/${PolicyType}/p-${PolicyId}
|
|
| root |
arn:${Partition}:organizations::${Account}:root/o-${OrganizationId}/r-${RootId}
|
Bedingungsschlüssel für AWS Organizations
AWS Organizations definiert die folgenden Bedingungsschlüssel, die im Condition Element einer IAM-Richtlinie verwendet werden können. Diese Schlüssel können Sie verwenden, um die Bedingungen zu verfeinern, unter denen die Richtlinienanweisung angewendet wird. Details zu den Spalten in der folgenden Tabelle finden Sie in der Tabelle Bedingungsschlüssel.
Eine Liste der globalen Bedingungsschlüssel, die für alle Services verfügbar sind, finden Sie unter Verfügbare globale Bedingungsschlüssel.
| Bedingungsschlüssel | Beschreibung | Typ |
|---|---|---|
| aws:RequestTag/${TagKey} | Filtert den Zugriff durch die Tags, die in der Anfrage übergeben werden | Zeichenfolge |
| aws:ResourceTag/${TagKey} | Filtert den Zugriff basierend auf den Tags, die der Ressource zugeordnet sind. | Zeichenfolge |
| aws:TagKeys | Filtert den Zugriff basierend auf den Tag-Schlüssel, die in der Anfrage übergeben werden | ArrayOfString |
| organizations:PolicyType | Filtert den Zugriff nach den angegebenen Richtlinientypnamen | String |
| organizations:ServicePrincipal | Filtert den Zugriff nach den angegebenen Serviceprinzipalnamen | String |
