Acciones, recursos y claves de condición para AWS Organizations - Referencia de autorizaciones de servicio

Acciones, recursos y claves de condición para AWS Organizations

AWS Organizations (prefijo de servicio: organizations) proporciona los siguientes recursos, acciones y claves de contexto de condición específicos del servicio para usarse en las políticas de permisos de IAM.

Referencias:

Acciones definidas por AWS Organizations

Puede especificar las siguientes acciones en el elemento Action de una declaración de política de IAM. Utilice políticas para conceder permisos para realizar una operación en AWS. Cuando utiliza una acción en una política, normalmente permite o deniega el acceso a la operación de la API o comandos de la CLI con el mismo nombre. No obstante, en algunos casos, una sola acción controla el acceso a más de una operación. Asimismo, algunas operaciones requieren varias acciones diferentes.

La columna Resource types (Tipos de recurso) indica si la acción admite permisos de nivel de recursos. Si no hay ningún valor para esta columna, debe especificar todos los recursos ("*") en el elemento Resource de la instrucción de la política. Si la columna incluye un tipo de recurso, puede especificar un ARN de ese tipo en una instrucción con dicha acción. Los recursos necesarios se indican en la tabla con un asterisco (*). Si especifica un ARN de permiso de recursos en una instrucción mediante esta acción, deberá ser de este tipo. Algunas acciones admiten varios tipos de recursos. Si el tipo de recurso es opcional (no se indica como obligatorio), puede elegir utilizar uno pero no el otro.

Para obtener información detallada sobre las columnas de la siguiente tabla, consulte Tabla Acciones.

Acciones Descripción Nivel de acceso Tipos de recursos (*necesarios) Claves de condición Acciones dependientes
AcceptHandshake Concede permiso para enviar una respuesta al creador de un protocolo de transferencia acepando la acción propuesta por la solicitud de protocolo de transferencia Escritura

handshake*

AttachPolicy Concede permiso para adjuntar una política a una raíz, una unidad organizativa o una cuenta individual Escritura

policy*

account

organizationalunit

root

organizations:PolicyType

CancelHandshake Concede permiso para cancelar un protocolo de transferencia Escritura

handshake*

CloseAccount Concede permiso para cerrar una Cuenta de AWS que ahora forma parte de Organizations, ya sea creada dentro de la organización o invitada a unirse a ella Escritura

account*

CreateAccount Concede permiso para crear una Cuenta de AWS que se convierte automáticamente en miembro de la organización con las credenciales que realizaron la solicitud Escritura

aws:RequestTag/${TagKey}

aws:TagKeys

CreateGovCloudAccount Concede permiso para crear una cuenta de AWS de GovCloud (EE. UU.) Escritura

aws:RequestTag/${TagKey}

aws:TagKeys

CreateOrganization Da permiso para crear una organización. La cuenta con las credenciales que llama a la operación CreateOrganization se convierte automáticamente en la cuenta de administración de la nueva organización Escritura
CreateOrganizationalUnit Concede permiso para crear una unidad organizativa (UO) dentro de una raíz o UO principal Escritura

organizationalunit

root

aws:RequestTag/${TagKey}

aws:TagKeys

CreatePolicy Otorga permiso para crear una política que pueda adjuntar a un nodo raíz, una unidad organizativa (OU) o una Cuenta de AWS individual Escritura

organizations:PolicyType

aws:RequestTag/${TagKey}

aws:TagKeys

DeclineHandshake Da permiso para rechazar una solicitud de protocolo de enlace. Esto establece el estado del protocolo de transferencia en DECLINED (RECHAZADO) y desactiva la solicitud Escritura

handshake*

DeleteOrganization Concede permiso para eliminar la organización Escritura
DeleteOrganizationalUnit Concede permiso para eliminar una unidad organizativa desde la raíz u otra UO Escritura

organizationalunit*

DeletePolicy Concede permiso para eliminar una política de su organización Escritura

policy*

organizations:PolicyType

DeregisterDelegatedAdministrator Concede permiso para anular el registro de la Cuenta de AWS de miembro especificada como administrador delegado para el servicio de AWS especificado por ServicePrincipal Escritura

account*

organizations:ServicePrincipal

DescribeAccount Concede permiso para recuperar detalles relacionados con las organizaciones de la cuenta especificada Lectura

account*

DescribeCreateAccountStatus Concede permiso para recuperar el estado actual de una solicitud asincrónica para crear una cuenta Lectura
DescribeEffectivePolicy Concede permiso para recuperar la política efectiva de una cuenta Lectura

account*

organizations:PolicyType

DescribeHandshake Concede permiso para recuperar información sobre un protocolo de transferencia previamente solicitado Lectura

handshake*

DescribeOrganization Concede permiso para recuperar detalles de la organización a la que pertenecen las credenciales de llamada Lectura
DescribeOrganizationalUnit Concede permiso para recuperar información sobre una unidad organizativa (UO) Lectura

organizationalunit*

DescribePolicy Concede permiso para recuperar información sobre una política Lectura

policy*

organizations:PolicyType

DetachPolicy Concede permiso para desconectar una política de una raíz, una unidad organizativa o una cuenta Escritura

policy*

account

organizationalunit

root

organizations:PolicyType

DisableAWSServiceAccess Concede permiso para desactivar la integración de un servicio de AWS (el servicio que se especifica mediante ServicePrincipal) con AWS Organizations Escritura

organizations:ServicePrincipal

DisablePolicyType Concede permiso para desactivar un tipo de política de organización en una raíz Escritura

root*

organizations:PolicyType

EnableAWSServiceAccess Concede permiso para habilitar la integración de un servicio de AWS (el servicio que se especifica mediante ServicePrincipal) con AWS Organizations Escritura

organizations:ServicePrincipal

EnableAllFeatures Concede permiso para iniciar el proceso para habilitar todas las características de una organización, mejorandola para que no sólo soporte las características de la Facturación consolidada Escritura
EnablePolicyType Concede permiso para habilitar un tipo de política en una raíz Escritura

root*

organizations:PolicyType

InviteAccountToOrganization Concede permiso para enviar una invitación a otra Cuenta de AWS, donde se le solicita que se una a su organización como cuenta de miembro Escritura

account

aws:RequestTag/${TagKey}

aws:TagKeys

LeaveOrganization Concede permiso para remover una cuenta de miembro de su organización principal Escritura
ListAWSServiceAccessForOrganization Concede permiso para recuperar la lista de los servicios de AWS para los que habilitó la integración con su organización List
ListAccounts Concede permiso para ver una lista de todas las cuentas de la organización List
ListAccountsForParent Concede permiso para obtener una lista de las cuentas de una organización que se encuentran en una raíz o unidad organizativa (UO) List

organizationalunit

root

ListChildren Concede permiso para ver una lista de todas las UO o cuentas que se encuentran en una UO principal o raíz List

organizationalunit

root

ListCreateAccountStatus Concede permiso para obtener una lista de las solicitudes de creación de cuentas asincrónicas de las que actualmente se lleva un seguimiento para la organización List
ListDelegatedAdministrators Concede permiso para enumerar las cuentas de AWS designadas como administradores delegados en esta organización List

organizations:ServicePrincipal

ListDelegatedServicesForAccount Concede permiso para enumerar los servicios de AWS para los que la cuenta especificada es administrador delegado en esta organización List

account*

ListHandshakesForAccount Concede permiso para obtener una lista de todos los protocolos de transferencia que están asociados con una cuenta List
ListHandshakesForOrganization Concede permiso para obtener una lista de los protocolos de transferencia que están asociados con la organización List
ListOrganizationalUnitsForParent Concede permiso para obtener una lista de todas las unidades organizativas (UO) de una unidad organizativa principal o raíz List

organizationalunit

root

ListParents Concede permiso para enumerar la raíz o las unidades organizativas (UO) que sirven como origen inmediato de una UO o cuenta secundaria List

account

organizationalunit

ListPolicies Concede permiso para ver una lista de todas las políticas de una organización List

organizations:PolicyType

ListPoliciesForTarget Concede permiso para mostrar todas las políticas que están adjuntadas directamente a una raíz, unidad organizativa (UO) o cuenta List

account

organizationalunit

root

organizations:PolicyType

ListRoots Concede permiso para obtener una lista de todas las raíces que están definidos en la organización List
ListTagsForResource Concede permiso para obtener una lista de todas las etiquetas del recurso especificado List

account

organizationalunit

policy

root

ListTargetsForPolicy Concede permiso para enumerar todas las raíces, UO y cuentas a los que una política está adjunta List

policy*

organizations:PolicyType

MoveAccount Concede permiso para mover una cuenta desde su raíz u UO actual a otra raíz o UO principal Escritura

account*

organizationalunit

root

RegisterDelegatedAdministrator Concede permiso para registrar la cuenta de miembro especificada para administrar las características de Organizations del servicio de AWS especificado mediante ServicePrincipal Escritura

account*

organizations:ServicePrincipal

RemoveAccountFromOrganization Concede permiso para remover la cuenta especificada de la organización Escritura

account*

TagResource Otorga permiso para agregar una o más etiquetas al recurso especificado. Etiquetado

account

organizationalunit

policy

root

aws:TagKeys

aws:RequestTag/${TagKey}

UntagResource Otorga permiso para eliminar una o más etiquetas del recurso especificado. Etiquetado

account

organizationalunit

policy

root

aws:TagKeys

UpdateOrganizationalUnit Concede permiso para cambiar el nombre de una unidad organizativa (UO) Escritura

organizationalunit*

UpdatePolicy Concede permiso para actualizar una política existente con un nuevo nombre, descripción o contenido Escritura

policy*

organizations:PolicyType

Tipos de recursos definidos por AWS Organizations

Los siguientes tipos de recurso están definidos por este servicio y se pueden utilizar en el elemento Resource de las instrucciones de política de permisos de IAM. Cada acción de la tabla Acciones identifica los tipos de recursos que se pueden especificar con dicha acción. Un tipo de recurso también puede definir qué claves de condición se pueden incluir en una política. Estas claves se muestran en la última columna de la tabla. Para obtener información detallada sobre las columnas de la siguiente tabla, consulte Tabla Tipos de recurso.

Tipos de recurso ARN Claves de condición
account arn:${Partition}:organizations::${MasterAccountId}:account/o-${OrganizationId}/${AccountId}

aws:ResourceTag/${TagKey}

handshake arn:${Partition}:organizations::${MasterAccountId}:handshake/o-${OrganizationId}/${HandshakeType}/h-${HandshakeId}
organization arn:${Partition}:organizations::${MasterAccountId}:organization/o-${OrganizationId}
organizationalunit arn:${Partition}:organizations::${MasterAccountId}:ou/o-${OrganizationId}/ou-${OrganizationalUnitId}

aws:ResourceTag/${TagKey}

policy arn:${Partition}:organizations::${MasterAccountId}:policy/o-${OrganizationId}/${PolicyType}/p-${PolicyId}

aws:ResourceTag/${TagKey}

awspolicy arn:${Partition}:organizations::aws:policy/${PolicyType}/p-${PolicyId}
root arn:${Partition}:organizations::${MasterAccountId}:root/o-${OrganizationId}/r-${RootId}

aws:ResourceTag/${TagKey}

Claves de condición para AWS Organizations

AWS Organizations define las siguientes claves de condición que pueden utilizarse en el elemento Condition de una política de IAM. Puede utilizar estas claves para ajustar más las condiciones en las que se aplica la instrucción de política. Para obtener información detallada sobre las columnas de la siguiente tabla, consulte Tabla de Claves de condición.

Para ver las claves de condición globales que están disponibles para todos los servicios, consulte Claves de condición globales disponibles.

Claves de condición Descripción Tipo
aws:RequestTag/${TagKey} Filtra el acceso por las etiquetas que se pasan en la solicitud Cadena
aws:ResourceTag/${TagKey} Filtra el acceso por las etiquetas asociadas al recurso Cadena
aws:TagKeys Filtra el acceso por las claves de etiquetas que se pasan en la solicitud ArrayOfString
organizations:PolicyType Filtra el acceso según el tipo de política especificada Cadena
organizations:ServicePrincipal Filtra el acceso por los nombres principales de servicio especificados Cadena