Claves de condición, recursos y acciones de AWS IoT Organizations - AWS Identity and Access Management

Claves de condición, recursos y acciones de AWS IoT Organizations

AWS Organizations (prefijo de servicio: organizations) proporciona las siguientes claves de contexto de condición, acciones y recursos específicos del servicio para su uso en las políticas de permisos de IAM.

Referencias:

Acciones definidas por AWS Organizations

Puede especificar las siguientes acciones en el elemento Action de una declaración de política de IAM. Utilice políticas para conceder permisos para realizar una operación en AWS. Cuando utiliza una acción en una política, normalmente permite o deniega el acceso a la operación de la API o comandos de la CLI con el mismo nombre. Sin embargo, en algunos casos, una sola acción controla el acceso a más de una operación. Asimismo, algunas operaciones requieren varias acciones diferentes.

La columna Tipos de recurso indica si la acción admite permisos de nivel de recursos. Si no hay ningún valor para esta columna, debe especificar todos los recursos ("*") en el elemento Resource de la instrucción de la política. Si la columna incluye un tipo de recurso, puede especificar un ARN de ese tipo en una instrucción con dicha acción. Los recursos necesarios se indican en la tabla con un asterisco (*). Si especifica un ARN de permiso de nivel de recursos en una instrucción mediante esta acción, debe ser de este tipo. Algunas acciones admiten varios tipos de recursos. Si el tipo de recurso es opcional (no se indica como obligatorio), puede elegir utilizar uno pero no el otro.

Para obtener información detallada sobre las columnas de la siguiente tabla, consulte Tabla Acciones.

Actions Descripción Nivel de acceso Tipos de recursos (*necesarios) Claves de condición Acciones dependientes
AcceptHandshake Da permiso para enviar una respuesta al creador de un protocolo de enlace para aceptar la acción propuesta por la solicitud de protocolo de enlace. Escritura

handshake*

AttachPolicy Da permiso para asociar una política a un nodo raíz, una unidad organizativa o una cuenta individual. Escritura

policy*

account

organizationalunit

root

organizations:PolicyType

CancelHandshake Da permiso para cancelar un protocolo de enlace. Escritura

handshake*

CreateAccount Da permiso para crear una cuenta de AWS que se convierte automáticamente en miembro de la organización con las credenciales que realizaron la solicitud. Escritura
CreateGovCloudAccount Da permiso para crear una cuenta de AWS GovCloud (EE.UU.). Escritura
CreateOrganization Da permiso para crear una organización. La cuenta con las credenciales que llama a la operación CreateOrganization se convierte automáticamente en la cuenta maestra de la nueva organización. Escritura
CreateOrganizationalUnit Da permiso para crear una unidad organizativa dentro de un nodo raíz o unidad organizativa principal. Escritura

organizationalunit

root

CreatePolicy Da permiso para crear una política que pueda asociar a un nodo raíz, una unidad organizativa o una cuenta de AWS individual. Escritura

organizations:PolicyType

DeclineHandshake Da permiso para rechazar una solicitud de protocolo de enlace. Esto establece el estado del protocolo de enlace en DECLINED y desactiva la solicitud. Escritura

handshake*

DeleteOrganization Da permiso para eliminar la organización. Escritura
DeleteOrganizationalUnit Da permiso para eliminar una unidad organizativa de un nodo raíz u otra unidad. Escritura

organizationalunit*

DeletePolicy Da permiso para eliminar una política de su organización. Escritura

policy*

organizations:PolicyType

DeregisterDelegatedAdministrator Otorga permiso para anular el registro de la cuenta de miembro de AWS especificada como administrador delegado para el servicio de AWS especificado por ServicePrincipal. Escritura

organizations:ServicePrincipal

DescribeAccount Da permiso para recuperar detalles relacionados con las organizaciones de la cuenta especificada. Lectura

account*

DescribeCreateAccountStatus Da permiso para recuperar el estado actual de una solicitud asincrónica para crear una cuenta. Lectura
DescribeEffectivePolicy Otorga permiso para obtener la política efectiva de una cuenta. Lectura

account*

organizations:PolicyType

DescribeHandshake Da permiso para recuperar información sobre un protocolo de enlace previamente solicitado. Lectura

handshake*

DescribeOrganization Da permiso para recupera detalles de la organización a la que pertenecen las credenciales que hacen la llamada. Lectura
DescribeOrganizationalUnit Da permiso para recuperar información sobre una unidad organizativa (OU). Lectura

organizationalunit*

DescribePolicy Da permiso para recupera información sobre una política. Lectura

policy*

organizations:PolicyType

DetachPolicy Da permiso para separar una política de un nodo raíz, una unidad organizativa o una cuenta. Escritura

policy*

account

organizationalunit

root

organizations:PolicyType

DisableAWSServiceAccess Da permiso para deshabilitar la integración de un servicio de AWS (el servicio que se especifica mediante ServicePrincipal) con AWS Organizations. Escritura

organizations:ServicePrincipal

DisablePolicyType Da permiso para deshabilitar un tipo de política de organización en un nodo raíz. Escritura

root*

organizations:PolicyType

EnableAWSServiceAccess Da permiso para habilitar la integración de un servicio de AWS (el servicio que se especifica mediante ServicePrincipal) con AWS Organizations. Escritura

organizations:ServicePrincipal

EnableAllFeatures Da permiso para comenzar el proceso para habilitar todas las características de una organización, actualizándola de admitir solo las características de facturación unificada. Escritura
EnablePolicyType Da permiso para habilitar un tipo de política en un nodo raíz. Escritura

root*

organizations:PolicyType

InviteAccountToOrganization Da permiso para enviar una invitación a otra cuenta de AWS en la que se solicita que se una a su organización como cuenta de miembro. Escritura

account

LeaveOrganization Da permiso para eliminar una cuenta de miembro de su organización principal. Escritura
ListAWSServiceAccessForOrganization Da permiso para recuperar la lista de los servicios de AWS para los que habilitó la integración con su organización. List
ListAccounts Da permiso para ver una lista de todas las cuentas de la organización. List
ListAccountsForParent Da permiso para obtener una lista de las cuentas de una organización que se encuentran en un nodo raíz o unidad organizativa (OU). List

organizationalunit

root

ListChildren Da permiso para ver una lista de todas las unidades organizativas o cuentas que se encuentran en una unidad organizativa principal o nodo raíz. List

organizationalunit

root

ListCreateAccountStatus Da permiso para obtener una lista de las solicitudes de creación de cuentas asincrónicas de las que actualmente se lleva un seguimiento para la organización. List
ListDelegatedAdministrators Otorga permiso para enumerar las cuentas de AWS designadas como administradores delegados en esta organización. List

organizations:ServicePrincipal

ListDelegatedServicesForAccount Otorga permiso para enumerar los servicios de AWS para los que la cuenta especificada es un administrador delegado en esta organización. List
ListHandshakesForAccount Da permiso para obtener una lista de todos los protocolos de enlace que están asociados con una cuenta. List
ListHandshakesForOrganization Da permiso para obtener una lista de los protocolos de enlace que están asociados con la organización. List
ListOrganizationalUnitsForParent Da permiso para obtener una lista de todas las unidades organizativas (OU) de una unidad organizativa principal o raíz. List

organizationalunit

root

ListParents Da permiso para obtener una lista de los nodo raíz o unidades organizativas (OU) que sirven como el elemento principal inmediato de una unidad organizativa o cuenta secundaria. List

account

organizationalunit

ListPolicies Da permiso para ver una lista de todas las políticas de una organización. List

organizations:PolicyType

ListPoliciesForTarget Da permiso para mostrar todas las políticas que están asociadas directamente a un nodo raíz, unidad organizativa o cuenta. List

account

organizationalunit

root

organizations:PolicyType

ListRoots Da permiso para obtener una lista de todos los nodos raíz que están definidos en la organización. List
ListTagsForResource Da permiso para obtener una lista de todas las etiquetas del recurso especificado. List
ListTargetsForPolicy Da permiso para enumerar todos los nodos raíz, unidades organizativas y cuentas a los que una política está adjunta. List

policy*

organizations:PolicyType

MoveAccount Da permiso para mover una cuenta desde su raíz o unidad organizativa a otro nodo raíz o unidad organizativa principal. Escritura

account*

organizationalunit

root

RegisterDelegatedAdministrator Otorga permiso para registrar la cuenta de miembro especificada para administrar las características Organizations del servicio de AWS especificado por ServicePrincipal. Escritura

organizations:ServicePrincipal

RemoveAccountFromOrganization Da permiso para eliminar la cuenta especificada de la organización. Escritura

account*

TagResource Concede permiso para agregar una o varias etiquetas al recurso especificado. Etiquetado
UntagResource Concede permiso para eliminar una o más etiquetas del recurso especificado. Etiquetado
UpdateOrganizationalUnit Da permiso para cambiar el nombre de una unidad organizativa (OU). Escritura

organizationalunit*

UpdatePolicy Da permiso para actualizar una política existente con un nuevo nombre, descripción o contenido. Escritura

policy*

organizations:PolicyType

Tipos de recurso definidos por AWS Organizations

Los siguientes tipos de recurso están definidos por este servicio y se pueden utilizar en el elemento Resource de las instrucciones de política de permisos de IAM. Cada acción de la tabla Actions identifica los tipos de recurso que se pueden especificar con dicha acción. Un tipo de recurso también puede definir qué claves de condición se pueden incluir en una política. Estas claves se muestran en la última columna de la tabla. Para obtener información detallada sobre las columnas de la siguiente tabla, consulte Tabla Tipos de recursos.

Tipos de recurso ARN Claves de condición
account arn:${Partition}:organizations::${MasterAccountId}:account/o-${OrganizationId}/${AccountId}
handshake arn:${Partition}:organizations::${MasterAccountId}:handshake/o-${OrganizationId}/${HandshakeType}/h-${HandshakeId}
organization arn:${Partition}:organizations::${MasterAccountId}:organization/o-${OrganizationId}
organizationalunit arn:${Partition}:organizations::${MasterAccountId}:ou/o-${OrganizationId}/ou-${OrganizationalUnitId}
policy arn:${Partition}:organizations::${MasterAccountId}:policy/o-${OrganizationId}/${PolicyType}/p-${PolicyId}
awspolicy arn:${Partition}:organizations::aws:policy/${PolicyType}/p-${PolicyId}
root arn:${Partition}:organizations::${MasterAccountId}:root/o-${OrganizationId}/r-${RootId}

Claves de condición de AWS Organizations

AWS Organizations define las siguientes claves de condiciones que se puede utilizar en el elemento Condition de una política de IAM. Puede utilizar estas claves para ajustar más las condiciones en las que se aplica la instrucción de política. Para obtener información detallada sobre las columnas de la siguiente tabla, consulte Tabla Claves de condición.

Para ver las claves de condición globales que están disponibles para todos los servicios, consulte Claves de condición globales disponibles en la Referencia de políticas de IAM.

Claves de condición Descripción Tipo
organizations:PolicyType Permite filtrar la solicitud solo a los nombres de tipo de política especificados. Cadena
organizations:ServicePrincipal Permite filtrar la solicitud únicamente para los nombres de principal de servicios especificados. Cadena