Sélectionner vos préférences de cookies

Nous utilisons des cookies essentiels et des outils similaires qui sont nécessaires au fonctionnement de notre site et à la fourniture de nos services. Nous utilisons des cookies de performance pour collecter des statistiques anonymes afin de comprendre comment les clients utilisent notre site et d’apporter des améliorations. Les cookies essentiels ne peuvent pas être désactivés, mais vous pouvez cliquer sur « Personnaliser » ou « Refuser » pour refuser les cookies de performance.

Si vous êtes d’accord, AWS et les tiers approuvés utiliseront également des cookies pour fournir des fonctionnalités utiles au site, mémoriser vos préférences et afficher du contenu pertinent, y compris des publicités pertinentes. Pour accepter ou refuser tous les cookies non essentiels, cliquez sur « Accepter » ou « Refuser ». Pour effectuer des choix plus détaillés, cliquez sur « Personnaliser ».

Préférences
Contactez-nous
Commentaire
AWS Documentation
Créer un compte AWS

Exemples de politiques basées sur les ressources pour AWS Organizations

PDF
RSS
Mode de mise au point
Exemples de politiques basées sur les ressources pour AWS Organizations - AWS Organizations
Afficher l'organisation OUs, les comptes et les politiquesCréation, lecture, mise à jour et suppression de politiquesPolitiques de balisage et de débalisageAssocier des politiques à une seule unité d'organisation ou à un seul compteAutorisations consolidées pour gérer les politiques de sauvegarde d'une entreprise

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Les exemples de code suivant montrent comment vous pouvez utiliser les politiques de délégation basées sur les ressources. Pour de plus amples informations, veuillez consulter Administrateur délégué pour AWS Organizations.

Exemple : Afficher l'organisation OUs, les comptes et les politiques

Avant de déléguer la gestion des politiques, vous devez déléguer les autorisations nécessaires pour naviguer dans la structure d'une organisation et voir les unités organisationnelles (OUs), les comptes et les politiques qui leur sont associés.

Cet exemple montre comment vous pouvez inclure ces autorisations dans votre politique de délégation basée sur les ressources pour le compte membre. AccountId

Important

Il est conseillé de n'inclure des autorisations que pour les actions minimales requises, comme indiqué dans l'exemple, bien qu'il soit possible de déléguer n'importe quelle action en lecture seule Organizations à l'aide de cette politique.

Cet exemple de politique de délégation accorde les autorisations nécessaires pour effectuer des actions par programmation à partir de l' AWS API ou. AWS CLI Pour utiliser cette politique de délégation, remplacez le texte AWS réservé AccountId par vos propres informations. Ensuite, suivez les instructions dans Administrateur délégué pour AWS Organizations.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "DelegatingNecessaryDescribeListActions",
      "Effect": "Allow",
      "Principal": {
        "AWS": "arn:aws:iam::AccountId:root"
      },
      "Action": [
        "organizations:DescribeOrganization",
        "organizations:DescribeOrganizationalUnit",
        "organizations:DescribeAccount",
        "organizations:DescribePolicy",
        "organizations:DescribeEffectivePolicy",
        "organizations:ListRoots",
        "organizations:ListOrganizationalUnitsForParent",
        "organizations:ListParents",
        "organizations:ListChildren",
        "organizations:ListAccounts",
        "organizations:ListAccountsForParent",
        "organizations:ListPolicies",
        "organizations:ListPoliciesForTarget",
        "organizations:ListTargetsForPolicy",
        "organizations:ListTagsForResource"
      ],
      "Resource": "*"
    }
  ]
}

Exemple : créer, lire, mettre à jour et supprimer des politiques

Vous pouvez créer une politique de délégation basée sur les ressources qui permet au compte de gestion de déléguercreate, readupdate, et des delete actions pour n'importe quel type de stratégie. Cet exemple montre comment vous pouvez déléguer ces actions pour les politiques de contrôle des services au compte du membreMemberAccountId. Les deux ressources présentées dans l'exemple accordent l'accès aux politiques de contrôle des services gérés par le client et aux politiques de contrôle des services AWS gérés respectivement.

Important

Cette politique permet aux administrateurs délégués d'effectuer des actions spécifiques sur les politiques créées par n'importe quel compte de l'organisation, y compris le compte de gestion.

Il n'autorise pas les administrateurs délégués à joindre ou à détacher des politiques car il n'inclut pas les autorisations requises pour effectuer organizations:AttachPolicy des organizations:DetachPolicy actions.

Cet exemple de politique de délégation accorde les autorisations nécessaires pour effectuer des actions par programmation à partir de l' AWS API ou. AWS CLI AWS Remplacez le texte de remplacement pour MemberAccountIdManagementAccountId, et OrganizationId par vos propres informations. Ensuite, suivez les instructions dans Administrateur délégué pour AWS Organizations.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "DelegatingNecessaryDescribeListActions",
      "Effect": "Allow",
      "Principal": {
        "AWS": "arn:aws:iam::MemberAccountId:root"
      },
      "Action": [
        "organizations:DescribeOrganization",
        "organizations:DescribeOrganizationalUnit",
        "organizations:DescribeAccount",
        "organizations:DescribePolicy",
        "organizations:DescribeEffectivePolicy",
        "organizations:ListRoots",
        "organizations:ListOrganizationalUnitsForParent",
        "organizations:ListParents",
        "organizations:ListChildren",
        "organizations:ListAccounts",
        "organizations:ListAccountsForParent",
        "organizations:ListPolicies",
        "organizations:ListPoliciesForTarget",
        "organizations:ListTargetsForPolicy",
        "organizations:ListTagsForResource"
      ],
      "Resource": "*",
      "Condition": {
        "StringLikeIfExists": {
          "organizations:PolicyType": "SERVICE_CONTROL_POLICY"
        }
      }
    },
    {
      "Sid": "DelegatingMinimalActionsForSCPs",
      "Effect": "Allow",
      "Principal": {
        "AWS": "arn:aws:iam::MemberAccountId:root"
      },
      "Action": [
        "organizations:CreatePolicy",
        "organizations:DescribePolicy",
        "organizations:UpdatePolicy",
        "organizations:DeletePolicy"
      ],
      "Resource": [
        "arn:aws:organizations::ManagementAccountId:policy/o-OrganizationId/service_control_policy/*",
        "arn:aws:organizations::aws:policy/service_control_policy/*"
      ]
    }
  ]
}

Exemple : politiques de balisage et de débalisage

Cet exemple montre comment créer une politique de délégation basée sur les ressources qui permet aux administrateurs délégués de baliser ou de débaliser les politiques de sauvegarde. Il accorde les autorisations nécessaires pour effectuer des actions par programmation à partir de l' AWS API ou. AWS CLI

Pour utiliser cette politique de délégation, remplacez le texte AWS réservé pour MemberAccountIdManagementAccountId, et OrganizationId par vos propres informations. Ensuite, suivez les instructions dans Administrateur délégué pour AWS Organizations.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "DelegatingNecessaryDescribeListActions",
      "Effect": "Allow",
      "Principal": {
        "AWS": "arn:aws:iam::MemberAccountId:root"
      },
      "Action": [
        "organizations:DescribeOrganization",
        "organizations:DescribeOrganizationalUnit",
        "organizations:DescribeAccount",
        "organizations:DescribePolicy",
        "organizations:DescribeEffectivePolicy",
        "organizations:ListRoots",
        "organizations:ListOrganizationalUnitsForParent",
        "organizations:ListParents",
        "organizations:ListChildren",
        "organizations:ListAccounts",
        "organizations:ListAccountsForParent",
        "organizations:ListPolicies",
        "organizations:ListPoliciesForTarget",
        "organizations:ListTargetsForPolicy",
        "organizations:ListTagsForResource"
      ],
      "Resource": "*",
      "Condition": {
        "StringLikeIfExists": {
          "organizations:PolicyType": "BACKUP_POLICY"
        }
      }
    },
    {
      "Sid": "DelegatingTaggingBackupPolicies",
      "Effect": "Allow",
      "Principal": {
        "AWS": "arn:aws:iam::MemberAccountId:root"
      },
      "Action": [
        "organizations:TagResource",
        "organizations:UntagResource"
      ],
      "Resource": "arn:aws:organizations::ManagementAccountId:policy/o-OrganizationId/backup_policy/*"
    }
  ]
}

Exemple : associer des politiques à une seule unité d'organisation ou à un seul compte

Cet exemple montre comment vous pouvez créer une politique de délégation basée sur les ressources qui autorise les administrateurs à déléguer des politiques aux attach detach organisations ou à partir d'une unité organisationnelle (UO) ou d'un compte spécifique. Avant de déléguer ces actions, vous devez déléguer les autorisations nécessaires pour naviguer dans la structure d'une organisation et voir les comptes qui s'y trouvent. Pour plus d’informations, consultez Exemple : Afficher l'organisation OUs, les comptes et les politiques.

Important

  • Bien que cette politique permette d'associer ou de détacher des politiques à l'unité d'organisation ou au compte spécifié, elle exclut les comptes enfant OUs et les comptes sous-enfants OUs.

  • Cette politique permet aux administrateurs délégués d'effectuer les actions spécifiées sur les politiques créées par n'importe quel compte de l'organisation, y compris le compte de gestion.

Cet exemple de politique de délégation accorde les autorisations nécessaires pour effectuer des actions par programmation à partir de l' AWS API ou. AWS CLI Pour utiliser cette politique de délégation, remplacez le texte AWS réservé pourMemberAccountId, ManagementAccountIdOrganizationId, et TargetAccountId par vos propres informations. Ensuite, suivez les instructions dans Administrateur délégué pour AWS Organizations.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "DelegatingNecessaryDescribeListActions",
      "Effect": "Allow",
      "Principal": {
        "AWS": "arn:aws:iam::MemberAccountId:root"
      },
      "Action": [
        "organizations:DescribeOrganization",
        "organizations:DescribeOrganizationalUnit",
        "organizations:DescribeAccount",
        "organizations:DescribePolicy",
        "organizations:DescribeEffectivePolicy",
        "organizations:ListRoots",
        "organizations:ListOrganizationalUnitsForParent",
        "organizations:ListParents",
        "organizations:ListChildren",
        "organizations:ListAccounts",
        "organizations:ListAccountsForParent",
        "organizations:ListPolicies",
        "organizations:ListPoliciesForTarget",
        "organizations:ListTargetsForPolicy",
        "organizations:ListTagsForResource"
      ],
      "Resource": "*"
    },
    {
      "Sid": "AttachDetachPoliciesSpecifiedAccountOU",
      "Effect": "Allow",
      "Principal": {
        "AWS": "arn:aws:iam::MemberAccountId:root"
      },
      "Action": [
        "organizations:AttachPolicy",
        "organizations:DetachPolicy"
      ],
      "Resource": [
        "arn:aws:organizations::ManagementAccountId:ou/o-OrganizationId/ou-OUId",
        "arn:aws:organizations::ManagementAccountId:account/o-OrganizationId/TargetAccountId",
        "arn:aws:organizations::ManagementAccountId:policy/o-OrganizationId/backup_policy/*"
      ]
    }
  ]
}

Pour déléguer les politiques d'attachement et de détachement à n'importe quelle unité d'organisation ou compte au sein des organisations, remplacez la ressource de l'exemple précédent par les ressources suivantes :


"Resource": [
    "arn:aws:organizations::ManagementAccountId:ou/o-OrganizationId/*",
    "arn:aws:organizations::ManagementAccountId:account/o-OrganizationId/*",
    "arn:aws:organizations::ManagementAccountId:policy/o-OrganizationId/backup_policy/*"
]

Exemple : autorisations consolidées de gérer les politiques de sauvegarde d'une organisation

Cet exemple montre comment vous pouvez créer une politique de délégation basée sur les ressources qui permet au compte de gestion de déléguer toutes les autorisations nécessaires à la gestion des politiques de sauvegarde au sein de l'organisation, y compris les actions create, read, update et delete, ainsi que les actions de politique attach et detach.

Important

Cette politique permet aux administrateurs délégués d'effectuer les actions spécifiées sur les politiques créées par n'importe quel compte de l'organisation, y compris le compte de gestion.

Cet exemple de politique de délégation accorde les autorisations nécessaires pour effectuer des actions par programmation à partir de l' AWS API ou. AWS CLI Pour utiliser cette politique de délégation, remplacez le texte AWS réservé pourMemberAccountId, ManagementAccountIdOrganizationId, et RootId par vos propres informations. Ensuite, suivez les instructions dans Administrateur délégué pour AWS Organizations.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "DelegatingNecessaryDescribeListActions",
      "Effect": "Allow",
      "Principal": {
        "AWS": "arn:aws:iam::MemberAccountId:root"
      },
      "Action": [
            "organizations:DescribeOrganization",
            "organizations:DescribeOrganizationalUnit",
            "organizations:DescribeAccount",
            "organizations:ListRoots",
            "organizations:ListOrganizationalUnitsForParent",
            "organizations:ListParents",
            "organizations:ListChildren",
            "organizations:ListAccounts",
            "organizations:ListAccountsForParent",
            "organizations:ListTagsForResource"
        ],
      "Resource": "*"
    },
    {
      "Sid": "DelegatingNecessaryDescribeListActionsForSpecificPolicyType",
      "Effect": "Allow",
      "Principal": {
            "AWS": "arn:aws:iam::MemberAccountId:root"
      },
      "Action": [
            "organizations:DescribePolicy",
            "organizations:DescribeEffectivePolicy",
            "organizations:ListPolicies",
            "organizations:ListPoliciesForTarget",
            "organizations:ListTargetsForPolicy"
      ],
      "Resource": "*",
      "Condition": {
            "StringLikeIfExists": {
                "organizations:PolicyType": "BACKUP_POLICY"
            }
      }
    },
    {
      "Sid": "DelegatingAllActionsForBackupPolicies",
      "Effect": "Allow",
      "Principal": {
      "AWS": "arn:aws:iam::MemberAccountId:root"
    },
      "Action": [
            "organizations:CreatePolicy",
            "organizations:UpdatePolicy",
            "organizations:DeletePolicy",
            "organizations:AttachPolicy",
            "organizations:DetachPolicy",
            "organizations:EnablePolicyType",
            "organizations:DisablePolicyType"
      ],
      "Resource": [
            "arn:aws:organizations::ManagementAccountId:root/o-OrganizationId/r-RootId",
            "arn:aws:organizations::ManagementAccountId:ou/o-OrganizationId/*",
            "arn:aws:organizations::ManagementAccountId:account/o-OrganizationId/*",
            "arn:aws:organizations::ManagementAccountId:policy/o-OrganizationId/backup_policy/*"
      ],
      "Condition": {
            "StringLikeIfExists": {
                "organizations:PolicyType": "BACKUP_POLICY"
            }
      }
    }
  ]
}

Sur cette page

ConfidentialitéConditions d'utilisation du sitePréférences de cookies
© 2025, Amazon Web Services, Inc. ou ses affiliés. Tous droits réservés.