Exemple : autorisations consolidées de gérer les politiques de sauvegarde d'une organisation - AWS Organizations

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Exemple : autorisations consolidées de gérer les politiques de sauvegarde d'une organisation

Cet exemple montre comment vous pouvez créer une politique de délégation basée sur les ressources qui permet au compte de gestion de déléguer toutes les autorisations nécessaires à la gestion des politiques de sauvegarde au sein de l'organisation, y compris les actions create, read, update et delete, ainsi que les actions de politique attach et detach. Pour comprendre la signification de chaque action, ressource et condition, voir Exemple de politiques de délégation basées sur les ressources.

Important

Cette politique permet aux administrateurs délégués d'effectuer les actions spécifiées sur les politiques créées par n'importe quel compte de l'organisation, y compris le compte de gestion.

Cet exemple de politique de délégation accorde les autorisations nécessaires pour effectuer des actions par programmation à partir de l' AWS API ou. AWS CLI Pour utiliser cette politique de délégation, remplacez le texte AWS réservé pour MemberAccountId, ManagementAccountIdOrganizationId, et RootIdpar vos propres informations. Ensuite, suivez les instructions dans Administrateur délégué pour AWS Organizations.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "DelegatingNecessaryDescribeListActions",
      "Effect": "Allow",
      "Principal": {
        "AWS": "arn:aws:iam::MemberAccountId:root"
      },
      "Action": [
        "organizations:DescribeOrganization",
        "organizations:DescribeOrganizationalUnit",
        "organizations:DescribeAccount",
        "organizations:DescribePolicy",
        "organizations:DescribeEffectivePolicy",
        "organizations:ListRoots",
        "organizations:ListOrganizationalUnitsForParent",
        "organizations:ListParents",
        "organizations:ListChildren",
        "organizations:ListAccounts",
        "organizations:ListAccountsForParent",
        "organizations:ListPolicies",
        "organizations:ListPoliciesForTarget",
        "organizations:ListTargetsForPolicy",
        "organizations:ListTagsForResource"
      ],
      "Resource": "*",
      "Condition": {
        "StringLikeIfExists": {
          "organizations:PolicyType": "BACKUP_POLICY"
        }
      }
    },
    {
      "Sid": "DelegatingAllActionsForBackupPolicies",
      "Effect": "Allow",
      "Principal": {
        "AWS": "arn:aws:iam::MemberAccountId:root"
      },
      "Action": [
        "organizations:CreatePolicy",
        "organizations:UpdatePolicy",
        "organizations:DeletePolicy",
        "organizations:AttachPolicy",
        "organizations:DetachPolicy",
        "organizations:EnablePolicyType",
        "organizations:DisablePolicyType"
      ],
      "Resource": [
        "arn:aws:organizations::ManagementAccountId:root/o-OrganizationId/r-RootId",
        "arn:aws:organizations::ManagementAccountId:ou/o-OrganizationId/*",
        "arn:aws:organizations::ManagementAccountId:account/o-OrganizationId/*",
        "arn:aws:organizations::ManagementAccountId:policy/o-OrganizationId/backup_policy/*"
      ]
    }
  ]
}