Actions, ressources et clés de condition pour AWS Organizations - Référence de l'autorisation de service

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Actions, ressources et clés de condition pour AWS Organizations

AWS Organizations (préfixe de service : organizations) fournit les ressources, les actions et les clés de contexte de condition spécifiques au service suivantes à utiliser dans les politiques d'autorisation IAM.

Références :

Actions définies par AWS Organizations

Vous pouvez indiquer les actions suivantes dans l'élément Action d'une déclaration de politique IAM. Utilisez des politiques pour accorder des autorisations permettant d'effectuer une opération dans AWS. Lorsque vous utilisez une action dans une stratégie, vous autorisez ou refusez généralement l'accès à l'opération d'API ou à la commande CLI portant le même nom. Toutefois, dans certains cas, une seule action contrôle l'accès à plusieurs opérations. D'autres opérations, quant à elles, requièrent plusieurs actions différentes.

La colonne Types de ressources indique si chaque action prend en charge les autorisations au niveau des ressources. S'il n'y a pas de valeur pour cette colonne, vous devez indiquer toutes les ressources (« * ») dans l'élément Resource de votre déclaration de politique. Si la colonne inclut un type de ressource, vous pouvez indiquer un ARN de ce type dans une déclaration avec cette action. Si l'action comporte une ou plusieurs ressources requises, l'appelant doit être autorisé à utiliser l'action avec ces ressources. Les ressources requises sont indiquées dans le tableau par un astérisque (*). Si vous limitez l'accès aux ressources avec l'Resourceélément dans une politique IAM, vous devez inclure un ARN ou un modèle pour chaque type de ressource requis. Certaines actions prennent en charge plusieurs types de ressources. Si le type de ressource est facultatif (non indiqué comme obligatoire), vous pouvez choisir d'utiliser l'un, mais pas l'autre.

La colonne Clés de condition inclut des clés que vous pouvez spécifier dans l'élément Condition d'une déclaration de politique. Pour plus d'informations sur les clés de condition associées aux ressources du service, consultez la colonne Clés de condition du tableau des types de ressources.

Note

Les clés de condition des ressources sont répertoriées dans le tableau Types de ressources. Vous pouvez trouver un lien vers le type de ressource qui s'applique à une action dans la colonne Types de ressources (* obligatoire) du tableau Actions. Le type de ressource indiqué dans le tableau Types de ressources inclut la colonne Clés de condition, qui contient les clés de condition de ressource qui s'appliquent à une action dans le tableau Actions.

Pour plus de détails sur les colonnes du tableau suivant, veuillez consulter le tableau Actions.

Actions Description Niveau d'accès Types de ressources (*obligatoire) Clés de condition Actions dépendantes
AcceptHandshake Accorde l'autorisation d'envoyer une réponse à l'auteur d'une liaison pour accepter l'action proposée par la demande de liaison (handshake) Écrire

handshake*

iam:CreateServiceLinkedRole

AttachPolicy Accorde l'autorisation d'attacher une politique à une racine, une unité organisationnelle ou un compte individuel Écrire

policy*

account

organizationalunit

root

organizations:PolicyType

CancelHandshake Accorde l'autorisation d'annuler une demande de liaison (handshake) Écrire

handshake*

CloseAccount Accorde l'autorisation de clôturer un Compte AWS qui fait désormais partie d'Organizations, soit créé au sein de l'organisation, soit invité à se joindre à l'organisation Écrire

account*

CreateAccount Accorde l'autorisation de créer un compte Compte AWS qui est automatiquement membre de l'organisation avec les informations d'identification utilisées pour la demande Écrire

aws:RequestTag/${TagKey}

aws:TagKeys

CreateGovCloudAccount Accorde l'autorisation de créer un compte AWS GovCloud (US) Écrire

aws:RequestTag/${TagKey}

aws:TagKeys

CreateOrganization Accorde l'autorisation de créer une organisation. Le compte avec les informations d'identification qui appelle l'opération CreateOrganization devient automatiquement le compte de gestion de la nouvelle organisation Écrire

iam:CreateServiceLinkedRole

CreateOrganizationalUnit Accorde l'autorisation de créer une unité organisationnelle (OU) au sein d'une unité organisationnelle racine ou parent Écrire

organizationalunit

root

aws:RequestTag/${TagKey}

aws:TagKeys

CreatePolicy Accorde l'autorisation de créer une politique que vous pouvez attacher à une racine, à une unité organisationnelle ou à un Compte AWS individuel. Écrire

organizations:PolicyType

aws:RequestTag/${TagKey}

aws:TagKeys

DeclineHandshake Accorde l'autorisation de refuser une demande de liaison. Cette action définit l'état de la liaison sur DECLINED (REFUSÉ) et désactive effectivement la requête Écrire

handshake*

DeleteOrganization Accorde l'autorisation de supprimer l'organisation Écrire
DeleteOrganizationalUnit Accorde l'autorisation de supprimer une unité organisationnelle d'une unité organisationnelle racine ou d'une autre unité organisationnelle Écrire

organizationalunit*

DeletePolicy Accorde l'autorisation de supprimer une politique de votre organisation Écrire

policy*

organizations:PolicyType

DeleteResourcePolicy Accorde l'autorisation de supprimer une politique de votre organisation Écrire
DeregisterDelegatedAdministrator Accorde l'autorisation d'annuler l'enregistrement du membre Compte AWS spécifié en tant qu'administrateur délégué pour le service AWS spécifié par ServicePrincipal Écrire

account*

organizations:ServicePrincipal

DescribeAccount Accorde l'autorisation de récupérer les détails liés à Organizations sur le compte spécifié Lire

account*

DescribeCreateAccountStatus Accorde l'autorisation de récupérer le statut actuel d'une requête asynchrone pour créer un compte Lire
DescribeEffectivePolicy Accorde l'autorisation de récupérer la politique effective d'un compte Lire

account*

organizations:PolicyType

DescribeHandshake Accorde l'autorisation de récupérer les détails relatifs à une liaison demandée précédemment Lire

handshake*

DescribeOrganization Accorde l'autorisation de récupérer les détails relatifs à l'organisation à laquelle appartiennent les informations d'identification de l'appelant Lire
DescribeOrganizationalUnit Accorde l'autorisation de récupérer les détails relatifs à une unité organisationnelle (OU) Lire

organizationalunit*

DescribePolicy Accorde l'autorisation de récupérer les détails relatifs à une politique Lire

policy*

organizations:PolicyType

DescribeResourcePolicy Accorde l'autorisation d'obtenir des informations sur une politique de ressources Lire
DetachPolicy Accorde l'autorisation de détacher une politique d'une racine cible, d'une unité organisationnelle ou d'un compte Écrire

policy*

account

organizationalunit

root

organizations:PolicyType

DisableAWSServiceAccess Accorde l'autorisation de désactiver l'intégration d'un service AWS (le service qui est spécifié par ServicePrincipal) à AWS Organizations Écrire

organizations:ServicePrincipal

DisablePolicyType Accorde l'autorisation de désactiver un type de politique d'organisation dans une racine Écrire

root*

organizations:PolicyType

EnableAWSServiceAccess Accorde l'autorisation d'activer l'intégration d'un service AWS (le service qui est spécifié par ServicePrincipal) à AWS Organizations Écrire

organizations:ServicePrincipal

EnableAllFeatures Accorde l'autorisation de démarrer le processus d'activation de toutes les fonctions dans une organisation, afin de la mettre à niveau pour qu'elle ne prenne pas seulement en charge les fonctions de facturation consolidée Écrire
EnablePolicyType Accorde l'autorisation d'activer un type de politique dans une racine Écrire

root*

organizations:PolicyType

InviteAccountToOrganization Accorde l'autorisation d'envoyer une invitation à un autre compte Compte AWS, pour lui demander de rejoindre votre organisation en tant que compte membre Écrire

account

aws:RequestTag/${TagKey}

aws:TagKeys

LeaveOrganization Accorde l'autorisation de supprimer un compte membre de son organisation parent Écrire
ListAWSServiceAccessForOrganization Accorde l'autorisation de récupérer la liste des services AWS pour lesquels vous avez activé l'intégration à votre organisation Liste
ListAccounts Accorde l'autorisation de répertorier tous les comptes de l'organisation Liste
ListAccountsForParent Accorde l'autorisation de répertorier les comptes d'une organisation qui se trouvent dans une racine ou une unité organisationnelle (OU) Liste

organizationalunit

root

ListChildren Accorde l'autorisation de répertorier toutes les unités organisationnelles ou comptes qui se trouvent dans une unité organisationnelle parent ou une racine Liste

organizationalunit

root

ListCreateAccountStatus Accorde l'autorisation de répertorier les demandes de création de compte asynchrones qui font actuellement l'objet d'un suivi pour l'organisation Liste
ListDelegatedAdministrators Accorde l'autorisation de répertorier les comptes AWS désignés comme administrateurs délégués dans cette organisation Liste

organizations:ServicePrincipal

ListDelegatedServicesForAccount Accorde l'autorisation de répertorier les services AWS pour lesquels le compte spécifié est un administrateur délégué dans cette organisation Liste

account*

ListHandshakesForAccount Accorde l'autorisation de répertorier toutes les liaisons qui sont associées à un compte Liste
ListHandshakesForOrganization Accorde l'autorisation de répertorier les liaisons qui sont associées à l'organisation Liste
ListOrganizationalUnitsForParent Accorde l'autorisation de répertorier toutes les unités organisationnelles (OU) d'une unité organisationnelle parent ou d'une racine Liste

organizationalunit

root

ListParents Accorde l'autorisation de répertorier les racines ou unités organisationnelles (OU) qui servent de parent immédiat d'un compte ou d'une unité organisationnelle enfant Liste

account

organizationalunit

ListPolicies Accorde l'autorisation de répertorier toutes les stratégies d'une organisation Liste

organizations:PolicyType

ListPoliciesForTarget Accorde l'autorisation de répertorier toutes les stratégies qui sont attachées directement à une racine, une unité organisationnelle (OU) ou un compte Liste

account

organizationalunit

root

organizations:PolicyType

ListRoots Accorde l'autorisation de répertorier toutes les racines qui sont définies dans l'organisation Liste
ListTagsForResource Accorde l'autorisation de répertorier toutes les balises pour la ressource spécifiée Liste

account

organizationalunit

policy

resourcepolicy

root

ListTargetsForPolicy Accorde l'autorisation de répertorier toutes les racines, unités organisationnelles et tous les comptes auxquels une politique est attachée Liste

policy*

organizations:PolicyType

MoveAccount Accorde l'autorisation de déplacer un compte de sa racine ou unité organisationnelle actuelle vers une autre racine ou unité organisationnelle parent Écrire

account*

organizationalunit

root

PutResourcePolicy Accorde l'autorisation de créer ou de mettre à jour une politique de ressource Écrire

resourcepolicy*

aws:RequestTag/${TagKey}

aws:TagKeys

RegisterDelegatedAdministrator Accorde l'autorisation d'enregistrer le compte de membre spécifié pour administrer les fonctionnalités Organizations du service AWS spécifié par ServicePrincipal Écrire

account*

organizations:ServicePrincipal

RemoveAccountFromOrganization Accorde l'autorisation de supprimer le compte spécifié de l'organisation Écrire

account*

TagResource Accorde l'autorisation d'ajouter une ou plusieurs identifications à la ressource spécifiée Balisage

account

organizationalunit

policy

resourcepolicy

root

aws:TagKeys

aws:RequestTag/${TagKey}

UntagResource Accorde l'autorisation de supprimer une ou plusieurs balises de la ressource spécifiée Identification

account

organizationalunit

policy

resourcepolicy

root

aws:TagKeys

UpdateOrganizationalUnit Accorde l'autorisation de renommer une unité organisationnelle (OU) Écrire

organizationalunit*

UpdatePolicy Accorde l'autorisation de mettre à jour une politique existante avec un nouveau nom, une nouvelle description ou un nouveau contenu Écrire

policy*

organizations:PolicyType

Types de ressources définis par AWS Organizations

Ce service définit les types de ressources suivants, qui peuvent être utilisés dans l' Resource élément des déclarations de politique d'autorisation IAM. Chaque action du tableau Actions identifie les types de ressources pouvant être spécifiés avec cette action. Un type de ressource peut également définir les clés de condition que vous pouvez inclure dans une politique. Ces clés sont affichées dans la dernière colonne du tableau. Pour plus de détails sur les colonnes du tableau suivant, veuillez consulter le tableau Types de ressources.

Types de ressources ARN Clés de condition
account arn:${Partition}:organizations::${Account}:account/o-${OrganizationId}/${AccountId}

aws:ResourceTag/${TagKey}

handshake arn:${Partition}:organizations::${Account}:handshake/o-${OrganizationId}/${HandshakeType}/h-${HandshakeId}
organization arn:${Partition}:organizations::${Account}:organization/o-${OrganizationId}
organizationalunit arn:${Partition}:organizations::${Account}:ou/o-${OrganizationId}/ou-${OrganizationalUnitId}

aws:ResourceTag/${TagKey}

policy arn:${Partition}:organizations::${Account}:policy/o-${OrganizationId}/${PolicyType}/p-${PolicyId}

aws:ResourceTag/${TagKey}

resourcepolicy arn:${Partition}:organizations::${Account}:resourcepolicy/o-${OrganizationId}/rp-${ResourcePolicyId}

aws:ResourceTag/${TagKey}

awspolicy arn:${Partition}:organizations::aws:policy/${PolicyType}/p-${PolicyId}
root arn:${Partition}:organizations::${Account}:root/o-${OrganizationId}/r-${RootId}

aws:ResourceTag/${TagKey}

Clés de condition pour AWS Organizations

AWS Organizations définit les clés de condition suivantes que vous pouvez utiliser dans l'élément Condition d'une politique IAM. Vous pouvez utiliser ces clés pour affiner les conditions d'application de la déclaration de politique. Pour plus de détails sur les colonnes du tableau suivant, veuillez consulter le tableau Clés de condition.

Pour afficher les clés de condition globales disponibles pour tous les services, consultez Clés de condition globales disponibles.

Clés de condition Description Type
aws:RequestTag/${TagKey} Filtre l'accès en fonction des identifications transmises dans la demande Chaîne
aws:ResourceTag/${TagKey} Filtre l'accès en fonction des identifications associées à la ressource Chaîne
aws:TagKeys Filtre l'accès en fonction des clés d'identification qui sont transmises dans la demande ArrayOfString
organizations:PolicyType Filtre l'accès en fonction du type de tâche spécifié Chaîne
organizations:ServicePrincipal Filtre l'accès en fonction du service principal spécifié Chaîne