Créez une politique de délégation basée sur les ressources avec AWS Organizations - AWS Organizations

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Créez une politique de délégation basée sur les ressources avec AWS Organizations

À partir du compte de gestion, créez une politique de délégation basée sur les ressources pour votre organisation et ajoutez une déclaration indiquant quels comptes membres peuvent effectuer des actions sur les politiques. Vous pouvez ajouter plusieurs déclarations dans la politique pour indiquer un ensemble d'autorisations différent pour les comptes membres.

Autorisations minimales

Pour créer la politique de délégation basée sur les ressources, vous devez disposer des autorisations nécessaires pour exécuter les actions suivantes :

  • organizations:PutResourcePolicy

  • organizations:DescribeResourcePolicy

En outre, vous devez accorder aux rôles et aux utilisateurs du compte d'administrateur délégué IAM les autorisations correspondantes pour les actions requises. Sans IAM autorisations, il est supposé que le principal appelant ne dispose pas des autorisations requises pour gérer les AWS Organizations politiques.

AWS Management Console

Ajoutez des instructions à la politique de délégation basée sur les ressources dans la AWS Management Console à l'aide de l'une des méthodes suivantes :

  • JSONpolitique : collez et personnalisez un exemple de politique de délégation basée sur les ressources à utiliser dans votre compte, ou saisissez votre propre document de JSON stratégie dans l'JSONéditeur.

  • Éditeur visuel : créez une nouvelle politique de délégation dans l'éditeur visuel, qui vous guide dans la création d'une stratégie de délégation sans avoir à écrire de JSON syntaxe.

Utiliser l'éditeur JSON de stratégie pour créer une politique de délégation
  1. Connectez-vous à la console AWS Organizations. Vous devez vous connecter en tant qu'IAMutilisateur, assumer un IAM rôle ou vous connecter en tant qu'utilisateur root (ce n'est pas recommandé) dans le compte de gestion de l'organisation.

  2. Sélectionnez Settings (Paramètres).

  3. Dans la section Administrateur délégué pour AWS Organizations, choisissez Delegate (Déléguer) pour créer la politique de délégation Organizations.

  4. Entrez un document JSON de politique. Pour plus de détails sur le langage IAM de la politique, voir IAMJSONla référence des politiques.

  5. Résolvez les avertissements de sécurité, les erreurs ou les avertissements généraux générés durant la validation de la politique, puis sélectionnez Create policy (Créer une politique).

Utiliser l'éditeur visuel pour créer une politique de délégation
  1. Connectez-vous à la console AWS Organizations. Vous devez vous connecter en tant qu'IAMutilisateur, assumer un IAM rôle ou vous connecter en tant qu'utilisateur root (ce n'est pas recommandé) dans le compte de gestion de l'organisation.

  2. Sélectionnez Settings (Paramètres).

  3. Dans la section Administrateur délégué pour AWS Organizations, choisissez Delegate (Déléguer) pour créer la politique de délégation Organizations.

  4. Sur la page Create Delegation policy (Créer une politique de délégation), choisissez Add new statement (Ajouter une nouvelle déclaration).

  5. Réglez l'effet sur Allow.

  6. Ajoutez Principal pour définir les comptes membres auxquels vous souhaitez déléguer.

  7. Dans la liste des actions, choisissez les actions que vous souhaitez déléguer. Vous pouvez utiliser les actions de filtrage pour affiner les choix.

  8. Pour spécifier si le compte de membre délégué peut associer des politiques à la racine de l'organisation ou aux unités organisationnelles (OUs), définissezResources. Vous devez également sélectionner policy comme type de ressource. Vous pouvez spécifier des ressources de la manière suivante :

    • Choisissez Ajouter une ressource et créez le nom de la ressource Amazon (ARN) en suivant les instructions de la boîte de dialogue.

    • Répertoriez les ressources ARNs manuellement dans l'éditeur. Pour plus d'informations sur ARN la syntaxe, consultez Amazon Resource Name (ARN) dans le Guide de référence AWS général. Pour plus d'informations sur ARNs l'utilisation de l'élément ressource d'une stratégie, voir Éléments IAM JSON de stratégie : Ressource.

  9. Choisissez Add a condition (Ajouter une condition) pour spécifier d'autres conditions, notamment le type de politique que vous souhaitez déléguer. Choisissez la clé de condition, la clé de balise, le qualificateur et l'opérateur de la condition, puis saisissez une Value. Lorsque vous avez terminé, choisissez Add condition (Ajouter une condition). Pour plus d'informations sur l'élément Condition, voir Éléments IAM JSON de stratégie : Condition dans la référence IAM JSON de stratégie.

  10. Pour ajouter d'autres blocs d'autorisation, choisissez Add new statement (Ajouter une nouvelle déclaration). Pour chaque bloc, répétez les étapes 5 à 9.

  11. Résolvez les avertissements de sécurité, les erreurs ou les avertissements généraux générés durant la validation de la politique, puis sélectionnez Create policy (Créer une politique) pour enregistrer votre travail.

AWS CLI & AWS SDKs
Création d'une politique de délégation

Vous pouvez utiliser la commande suivante pour créer une politique de délégation :

  • AWS CLI: put-resource-policy

    L'exemple suivant crée une politique de délégation.

    $ aws organizations put-resource-policy --content { "Version": "2012-10-17", "Statement": [ { "Sid": "Fully_manage_backup_policies", "Effect": "Allow", "Principal": { "AWS": "135791357913" }, "Action": [ "organizations:DescribeOrganization", "organizations:ListAccounts", "organizations:CreatePolicy", "organizations:DescribePolicy", "organizations:UpdatePolicy", "organizations:DeletePolicy", "organizations:AttachPolicy", "organizations:DetachPolicy" ], "Resource": [ "arn:aws:organizations::246802468024:root/o-abcdef/r-pqrstu", "arn:aws:organizations::246802468024:ou/o-abcdef/*", "arn:aws:organizations::246802468024:account/o-abcdef/*", "arn:aws:organizations::246802468024:organization/policy/backup_policy/*", ], "Condition": { "StringLikeIfExists": { "organizations:PolicyType": [ "BACKUP_POLICY" ] } } } ] }
Actions de politique de délégation prises en charge

Les actions suivantes sont prises en charge pour la politique de délégation :

  • AttachPolicy

  • CreatePolicy

  • DeletePolicy

  • DescribeAccount

  • DescribeCreateAccountStatus

  • DescribeEffectivePolicy

  • DescribeHandshake

  • DescribeOrganization

  • DescribeOrganizationalUnit

  • DescribePolicy

  • DescribeResourcePolicy

  • DetachPolicy

  • DisablePolicyType

  • EnablePolicyType

  • ListAccounts

  • ListAccountsForParent

  • ListAWSServiceAccessForOrganization

  • ListChildren

  • ListCreateAccountStatus

  • ListDelegatedAdministrators

  • ListDelegatedServicesForAccount

  • ListHandshakesForAccount

  • ListHandshakesForOrganization

  • ListOrganizationalUnitsForParent

  • ListParents

  • ListPolicies

  • ListPoliciesForTarget

  • ListRoots

  • ListTagsForResource

  • ListTargetsForPolicy

  • TagResource

  • UntagResource

  • UpdatePolicy

Clés de condition prises en charge

Seules les clés de condition prises en charge par AWS Organizations peuvent être utilisées pour la politique de délégation. Pour plus d'informations, consultez la section Clés de condition pour AWS Organizations la référence d'autorisation de service.