AWS IAMpolitiques gérées AWS politiques de contrôle des services gérés

AWS politiques gérées pour AWS Organizations

Cette section identifie les AWS-des politiques gérées mises à votre disposition pour gérer votre organisation. Vous ne pouvez pas modifier ou supprimer un AWS politique gérée, mais vous pouvez les associer ou les détacher aux entités de votre organisation selon vos besoins.

AWS Organizations politiques gérées à utiliser avec AWS Identity and Access Management (IAM)

Une politique IAM gérée est fournie et maintenue par AWS. Une stratégie gérée fournit des autorisations pour les tâches courantes que vous pouvez attribuer à vos utilisateurs en attachant la politique gérée à l'IAMutilisateur ou à l'objet de rôle approprié. Vous n'êtes pas obligé de rédiger vous-même la politique, et quand AWS met à jour la politique le cas échéant pour prendre en charge les nouveaux services, vous bénéficiez automatiquement et immédiatement de la mise à jour. Vous pouvez consulter la liste des AWS politiques gérées dans la page Politiques de la IAM console. Utilisez le menu déroulant Politiques de filtrage pour sélectionner AWS géré.

Vous pouvez utiliser les politiques gérées suivantes pour accorder des autorisations aux utilisateurs de votre organisation.

Nom de la politique Description ARN

Nom de la politique	Description	ARN
AWSOrganizationsFullAccess	Fournit toutes les autorisations nécessaires à la création et à l'administration complète d'une organisation. Consultez la politique : `AWSOrganizationsFullAccess`.	arn:aws:iam : :aws:policy/ AWSOrganizationsFullAccess
AWSOrganizationsReadOnlyAccess	Fournit un accès en lecture seule aux informations relatives à l'organisation. Elle ne permet pas à l'utilisateur d'apporter des modifications. Consultez la politique : `AWSOrganizationsReadOnlyAccess`.	arn:aws:iam : :aws:policy/ AWSOrganizationsReadOnlyAccess

AWSOrganizationsFullAccess

Fournit toutes les autorisations nécessaires à la création et à l'administration complète d'une organisation.

Consultez la politique : AWSOrganizationsFullAccess.

arn:aws:iam : :aws:policy/ AWSOrganizationsFullAccess

AWSOrganizationsReadOnlyAccess

Fournit un accès en lecture seule aux informations relatives à l'organisation. Elle ne permet pas à l'utilisateur d'apporter des modifications.

Consultez la politique : AWSOrganizationsReadOnlyAccess.

arn:aws:iam : :aws:policy/ AWSOrganizationsReadOnlyAccess

Mises à jour pour les Organisations AWS stratégies gérées

Le tableau suivant détaille les mises à jour apportées à AWS politiques gérées depuis que ce service a commencé à suivre ces modifications. Pour recevoir des alertes automatiques concernant les modifications apportées à cette page, abonnez-vous au RSS fil d'actualité sur AWS Organizations Page d'historique du document.

Modification	Description	Date
AWSOrganizationsReadOnlyAccess— mis à jour pour autoriser API les autorisations de compte requises pour consulter l'adresse e-mail d'un utilisateur root.	Organizations a ajouté l'`account:GetPrimaryEmail`action permettant d'accéder à l'adresse e-mail de l'utilisateur root pour n'importe quel compte membre d'une organisation et l'`account:GetRegionOptStatus`action permettant d'autoriser l'accès à l'affichage des régions activées pour n'importe quel compte membre d'une organisation.	6 juin 2024
AWSOrganizationsFullAccess— mis à jour pour inclure `Sid` des éléments décrivant la déclaration de politique.	Organisations ont ajouté `Sid` des éléments `AWSOrganizationsFullAccess` à la politique gérée.	6 février 2024
AWSOrganizationsReadOnlyAccess— mis à jour pour inclure `Sid` des éléments décrivant la déclaration de politique.	Organisations ont ajouté `Sid` des éléments `AWSOrganizationsReadOnlyAccess` à la politique gérée.	6 février 2024
AWSOrganizationsFullAccess— mis à jour pour autoriser API les autorisations de compte requises pour activer ou désactiver Régions AWS via la console Organizations.	Organizations a ajouté l'action `account:ListRegions`, `account:EnableRegion` et `account:DisableRegion` à la politique pour permettre l'accès en écriture afin d'activer ou de désactiver les régions d'un compte.	22 décembre 2022
AWSOrganizationsReadOnlyAccess— mis à jour pour autoriser les API autorisations de compte requises pour la mise en vente Régions AWS via la console Organizations.	Organizations a ajouté l'action `account:ListRegions` à la politique pour permettre l'accès à l'affichage des régions d'un compte.	22 décembre 2022
AWSOrganizationsFullAccess— mis à jour pour autoriser API les autorisations de compte requises pour ajouter ou modifier des contacts via la console Organizations.	Organizations a ajouté les actions `account:GetContactInformation` et `account:PutContactInformation` à la politique pour permettre l'accès en écriture afin de modifier des contacts pour un compte.	21 octobre 2022
AWSOrganizationsReadOnlyAccess— mis à jour pour autoriser API les autorisations de compte requises pour consulter les contacts du compte via la console Organizations.	Organizations a ajouté l'action `account:GetContactInformation` à la politique pour permettre l'accès aux contacts pour un compte.	21 octobre 2022
AWSOrganizationsFullAccess— mis à jour pour permettre la création d'une organisation.	Organizations a ajouté l'autorisation `CreateServiceLinkedRole` à la politique pour permettre la création du rôle lié au service nécessaire pour créer une organisation. L'autorisation est limitée à la création d'un rôle qui ne peut être utilisé que par le service `organizations.amazonaws.com`.	24 août 2022
AWSOrganizationsFullAccess— mis à jour pour autoriser API les autorisations de compte requises pour ajouter, modifier ou supprimer des contacts alternatifs via la console Organizations.	Organizations a ajouté les actions `account:GetAlternateContact`,`account:DeleteAlternateContact`,`account:PutAlternateContact` à la politique pour permettre l'accès en écriture afin de modifier d'autres contacts pour un compte.	7 février 2022
AWSOrganizationsReadOnlyAccess— mis à jour pour autoriser API les autorisations de compte requises pour consulter les contacts alternatifs du compte via la console Organizations.	Organizations a ajouté l'action `account:GetAlternateContact` à la politique pour permettre l'accès à d'autres contacts pour un compte.	7 février 2022

AWS Organizations politiques de contrôle des services gérés

Les politiques de contrôle des services (SCPs) sont similaires aux politiques d'IAMautorisation, mais constituent une fonctionnalité de AWS Organizations plutôt queIAM. Vous l'utilisez SCPs pour spécifier les autorisations maximales pour les entités concernées. Vous pouvez les attacher SCPs à des racines, à des unités organisationnelles (OUs) ou à des comptes au sein de votre organisation. Vous pouvez créer les vôtres ou utiliser les politiques qui les IAM définissent. Vous pouvez consulter la liste des politiques de votre organisation sur la page Politiques de la console Organizations.

Important

Chaque root, unité d'organisation et compte doit en avoir au moins un SCP attaché à tout moment.

Nom de la politique	Description	ARN
F ullAWSAccess	Fournit AWS Organizations accès aux comptes de gestion aux comptes des membres.	arn:aws:organizations : :aws:policy/Service_Control_Policy/P-F ullAWSAccess

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Exemples de politiques basées sur l’identité

Contrôle d'accès basé sur les attributs avec des balises