Administrateur délégué pour AWS Organizations

Nous vous recommandons d'utiliser le compte AWS Organizations de gestion, ses utilisateurs et ses rôles uniquement pour les tâches qui doivent être effectuées par ce compte. Nous vous recommandons également de stocker vos ressources AWS dans d'autres comptes membres de l'organisation et de les garder en dehors du compte de gestion. En effet, les fonctionnalités de sécurité telles que les politiques de contrôle des services (SCP) de l'organisation ne restreignent pas les utilisateurs ou les rôles dans le compte de gestion.

À partir du compte de gestion de l'organisation, vous pouvez déléguer la gestion des politiques pour les organisations à des comptes membres spécifiques afin d'effectuer des actions de politique qui ne sont par défaut disponibles que pour le compte de gestion.

Création ou mise à jour d'une politique de délégation basée sur les ressources

À partir du compte de gestion, créez ou mettez à jour une politique de délégation basée sur les ressources pour votre organisation et ajoutez une déclaration indiquant quels comptes membres peuvent effectuer des actions sur les politiques. Vous pouvez ajouter plusieurs déclarations dans la politique pour indiquer un ensemble d'autorisations différent pour les comptes membres.

Autorisations minimales

Pour créer ou mettre à jour la politique de délégation basée sur les ressources, vous devez posséder l'autorisation d'exécuter les actions suivantes :

• organizations:PutResourcePolicy

• organizations:DescribeResourcePolicy

En outre, vous devez accorder aux rôles et aux utilisateurs du compte administrateur délégué les autorisations IAM correspondant aux actions requises. Sans autorisations IAM, on suppose que le principal appelant ne dispose pas des autorisations requises pour gérer les AWS Organizations politiques.

AWS Management Console

Ajoutez des instructions à la politique de délégation basée sur les ressources dans la AWS Management Console à l'aide de l'une des méthodes suivantes :

• Politique JSON : collez et personnalisez un exemple de politique de délégation basée sur les ressources à utiliser dans votre compte, ou saisissez votre propre document de politique JSON dans l'éditeur JSON.

• Éditeur visuel : créez une nouvelle politique de délégation dans l'éditeur visuel, qui vous guide dans la création d'une politique de délégation sans avoir à écrire de syntaxe JSON.

Utilisez l'éditeur de politique JSON afin de créer ou mettre à jour une politique de délégation

1. Connectez-vous à la console AWS Organizations. Vous devez vous connecter en tant qu'utilisateur IAM, assumer un rôle IAM ou vous connecter en tant qu'utilisateur racine (non recommandé) dans le compte de gestion de l'organisation.

2. Sélectionnez Settings (Paramètres).

3. Dans la section Administrateur délégué pour AWS Organizations, choisissez Delegate (Déléguer) pour créer la politique de délégation Organizations. Pour mettre à jour une politique de délégation existante, choisissez Edit (Modifier).

4. Composez ou collez un document de politique JSON. Pour de plus amples informations sur le langage de la stratégie IAM, consultez la référence de politique JSON IAM.

5. Résolvez les avertissements de sécurité, les erreurs ou les avertissements généraux générés durant la validation de la politique, puis sélectionnez Create policy (Créer une politique).

Utilisez l'éditeur visuel pour créer ou mettre à jour une politique de délégation

1. Connectez-vous à la console AWS Organizations. Vous devez vous connecter en tant qu'utilisateur IAM, assumer un rôle IAM ou vous connecter en tant qu'utilisateur racine (non recommandé) dans le compte de gestion de l'organisation.

2. Sélectionnez Settings (Paramètres).

3. Dans la section Administrateur délégué pour AWS Organizations, choisissez Delegate (Déléguer) pour créer la politique de délégation Organizations. Pour mettre à jour une politique de délégation existante, choisissez Edit (Modifier).

4. Sur la page Create Delegation policy (Créer une politique de délégation), choisissez Add new statement (Ajouter une nouvelle déclaration).

5. Réglez l'effet sur Allow.

6. Ajoutez Principal pour définir les comptes membres auxquels vous souhaitez déléguer. Pour de plus amples informations sur la syntaxe, consultez Exemple de politiques de délégation basées sur les ressources.

7. Dans la liste des actions, choisissez les actions que vous souhaitez déléguer. Vous pouvez utiliser les actions de filtrage pour affiner les choix.

8. Pour spécifier si le compte membre délégué peut attacher des politiques à la racine de l'organisation ou aux unités d'organisation, veuillez définir les Resources. Vous devez également sélectionner policy comme type de ressource. Pour plus de détails, veuillez consulter Exemple de politiques de délégation basées sur les ressources. Vous pouvez spécifier des ressources de la manière suivante :

   • Choisissez Add a resource (Ajouter une ressource) et créez l'ARN (Amazon Resource Name) en suivant les instructions de la boîte de dialogue.

   • Répertoriez les ARN des ressources manuellement dans l'éditeur. Pour plus d'informations sur la syntaxe de l'ARN, consultez Amazon Resource Name (ARN) dans le Guide de référence AWS général. Pour de plus amples informations sur l'utilisation des ARN dans l'élément ressource d'une politique, consultez Éléments de politique JSON IAM : Resource.

9. Choisissez Add a condition (Ajouter une condition) pour spécifier d'autres conditions, notamment le type de politique que vous souhaitez déléguer. Choisissez la clé de condition, la clé de balise, le qualificateur et l'opérateur de la condition, puis saisissez une Value. Pour plus de détails, veuillez consulter Exemple de politiques de délégation basées sur les ressources. Lorsque vous avez terminé, choisissez Add condition (Ajouter une condition). Pour plus d'informations sur l'élément Condition, consultez Éléments de politique JSON IAM : Condition dans la référence de politique JSON IAM.

10. Pour ajouter d'autres blocs d'autorisation, choisissez Add new statement (Ajouter une nouvelle déclaration). Pour chaque bloc, répétez les étapes 5 à 9.

11. Résolvez les avertissements de sécurité, les erreurs ou les avertissements généraux générés durant la validation de la politique, puis sélectionnez Create policy (Créer une politique) pour enregistrer votre travail.

AWS CLI & AWS SDKs

Création ou mise à jour d'une politique de délégation

Vous pouvez utiliser les commandes suivantes pour mettre à jour une politique de délégation :

• AWS CLI: put-resource-policy

  L'exemple suivant crée ou met à jour la politique de délégation.

  $ aws organizations put-resource-policy --content
  {
      "Version": "2012-10-17",
      "Statement": [
          {
              "Sid": "Fully_manage_backup_policies",
              "Effect": "Allow",
              "Principal": {
                  "AWS": "135791357913"
              }
              "Action": [
                  "organizations:DescribeOrganization",
                  "organizations:ListAccounts",
                  "organizations:CreatePolicy",
                  "organizations:DescribePolicy",
                  "organizations:UpdatePolicy",
                  "organizations:DeletePolicy",
                  "organizations:AttachPolicy",
                  "organizations:DetachPolicy"
              ],
              "Resource": [
                  "arn:aws:organizations::246802468024:root/o-abcdef/r-pqrstu",
                  "arn:aws:organizations::246802468024:ou/o-abcdef/*",
                  "arn:aws:organizations::246802468024:account/o-abcdef/*",
                  "arn:aws:organizations::246802468024:organization/policy/backup_policy/*",
              ],
              "Condition": {
                  "StringLikeIfExists": {
                      "organizations:PolicyType": [
                          "BACKUP_POLICY"
                      ]
                  }
              }
          }
      ]
  }

• AWS SDK : PutResourcePolicy

Actions de politique de délégation prises en charge

Les actions suivantes sont prises en charge pour la politique de délégation :

• AttachPolicy

• CreatePolicy

• DeletePolicy

• DescribeAccount

• DescribeCreateAccountStatus

• DescribeEffectivePolicy

• DescribeHandshake

• DescribeOrganization

• DescribeOrganizationalUnit

• DescribePolicy

• DescribeResourcePolicy

• DetachPolicy

• DisablePolicyType

• EnablePolicyType

• ListAccounts

• ListAccountsForParent

• ListAWSServiceAccessForOrganization

• ListChildren

• ListCreateAccountStatus

• ListDelegatedAdministrators

• ListDelegatedServicesForAccount

• ListHandshakesForAccount

• ListHandshakesForOrganization

• ListOrganizationalUnitsForParent

• ListParents

• ListPolicies

• ListPoliciesForTarget

• ListRoots

• ListTagsForResource

• ListTargetsForPolicy

• TagResource

• UntagResource

• UpdatePolicy

Clés de condition prises en charge

Seules les clés de condition prises en charge par AWS Organizations peuvent être utilisées pour la politique de délégation. Pour plus d'informations, consultez la section Clés de condition pour AWS Organizations la référence d'autorisation de service.

Afficher une politique de délégation basée sur les ressources

À partir du compte de gestion, consultez la politique de délégation basée sur les ressources de votre organisation pour comprendre quels administrateurs délégués ont accès à la gestion de quels types de politiques.

Autorisations minimales

Pour créer ou mettre à jour la politique de délégation basée sur les ressources, vous devez disposer de l'autorisation d'exécuter les actions suivantes : organizations:DescribeResourcePolicy.

AWS Management Console

Pour afficher une politique de délégation

1. Connectez-vous à la console AWS Organizations. Vous devez vous connecter en tant qu'utilisateur IAM, assumer un rôle IAM ou vous connecter en tant qu'utilisateur racine (non recommandé) dans le compte de gestion de l'organisation.

2. Sélectionnez Settings (Paramètres).

3. Dans la section Administrateur délégué pour AWS Organizations, faites défiler la page pour afficher la politique de délégation complète.

AWS CLI & AWS SDKs

Afficher une politique de délégation

Vous pouvez utiliser la commande suivante pour supprimer une politique de délégation :

• AWS CLI: describe-resource-policy

  L'exemple suivant extrait la politique.

  $ aws organizations describe-resource-policy

• AWS SDK : DescribeResourcePolicy

Supprimer une politique de délégation basée sur les ressources

Lorsque vous n'avez plus besoin de déléguer la gestion des politiques dans votre organisation, vous pouvez supprimer la stratégie de délégation basée sur les ressources du compte de gestion de l'organisation.

Important

Si vous supprimez votre politique de délégation basée sur les ressources, vous ne pouvez pas la récupérer.

Autorisations minimales

Pour supprimer la politique de délégation basée sur les ressources, vous devez disposer de l'autorisation d'exécuter les actions suivantes : organizations:DeleteResourcePolicy.

AWS Management Console

Pour supprimer une politique de délégation

1. Connectez-vous à la console AWS Organizations. Vous devez vous connecter en tant qu'utilisateur IAM, assumer un rôle IAM ou vous connecter en tant qu'utilisateur racine (non recommandé) dans le compte de gestion de l'organisation.

2. Sélectionnez Settings (Paramètres).

3. Dans la section Administrateur délégué pour AWS Organizations, choisissez Supprimer.

4. Dans la boîte de dialogue de confirmation Delete Policy (Supprimer la politique), tapez delete. Choisissez Delete policy (Supprimer la politique).

AWS CLI & AWS SDKs

Supprimer une politique de délégation

Vous pouvez utiliser la commande suivante pour supprimer une politique de délégation :

• AWS CLI: delete-resource-policy

  L'exemple suivant supprime la politique.

  $ aws organizations delete-resource-policy

• AWS SDK : DeleteResourcePolicy