Membuat atau memperbarui kebijakan delegasi berbasis sumber daya dengan AWS Organizations - AWS Organizations

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Membuat atau memperbarui kebijakan delegasi berbasis sumber daya dengan AWS Organizations

Dari akun manajemen, buat atau perbarui kebijakan delegasi berbasis sumber daya untuk organisasi Anda dan tambahkan pernyataan yang menentukan akun anggota mana yang dapat melakukan tindakan pada kebijakan. Anda dapat menambahkan beberapa pernyataan dalam kebijakan untuk menunjukkan kumpulan izin yang berbeda ke akun anggota.

Izin minimum

Untuk membuat atau memperbarui kebijakan delegasi berbasis sumber daya, Anda memerlukan izin untuk menjalankan tindakan berikut:

  • organizations:PutResourcePolicy

  • organizations:DescribeResourcePolicy

Selain itu, Anda harus memberikan peran dan pengguna di akun administrator yang didelegasikan IAM izin yang sesuai untuk tindakan yang diperlukan. Tanpa IAM izin, diasumsikan bahwa prinsipal panggilan tidak memiliki izin yang diperlukan untuk mengelola AWS Organizations kebijakan.

AWS Management Console

Menambahkan pernyataan ke kebijakan delegasi berbasis sumber daya di AWS Management Console menggunakan salah satu metode berikut:

  • JSONkebijakan — Tempelkan dan sesuaikan contoh kebijakan delegasi berbasis sumber daya untuk digunakan di akun Anda, atau ketik dokumen JSON kebijakan Anda sendiri di editor. JSON

  • Editor visual - Buat kebijakan delegasi baru di editor visual, yang memandu Anda dalam membuat kebijakan delegasi tanpa harus menulis sintaks. JSON

Menggunakan editor JSON kebijakan untuk membuat atau memperbarui kebijakan delegasi

  1. Masuk ke AWS Organizations konsol. Anda harus masuk sebagai IAM pengguna, IAM berperan, atau masuk sebagai pengguna root (tidak disarankan) di akun manajemen organisasi.

  2. Pilih Pengaturan.

  3. Di Administrator yang didelegasikan untuk AWS OrganizationsBagian, pilih Delegasi untuk membuat kebijakan delegasi Organizations. Untuk memperbarui kebijakan delegasi yang ada, pilih Edit.

  4. Ketik atau tempel dokumen JSON kebijakan. Untuk detail tentang bahasa IAM kebijakan, lihat referensi IAMJSONkebijakan.

  5. Selesaikan peringatan keamanan, kesalahan, atau peringatan umum yang dihasilkan selama validasi kebijakan, lalu pilih Buat kebijakan untuk menyimpan pekerjaan Anda.

Gunakan editor visual untuk membuat atau memperbarui kebijakan delegasi

  1. Masuk ke AWS Organizations konsol. Anda harus masuk sebagai IAM pengguna, IAM berperan, atau masuk sebagai pengguna root (tidak disarankan) di akun manajemen organisasi.

  2. Pilih Pengaturan.

  3. Di Administrator yang didelegasikan untuk AWS OrganizationsBagian, pilih Delegasi untuk membuat kebijakan delegasi Organizations. Untuk memperbarui kebijakan delegasi yang ada, pilih Edit.

  4. Pada halaman kebijakan Buat Delegasi, pilih Tambahkan pernyataan baru.

  5. Atur Efek keAllow.

  6. Tambahkan Principal untuk menentukan akun anggota yang ingin Anda delegasikan. Untuk detail tentang sintaks, lihat. Contoh kebijakan delegasi berbasis sumber daya

  7. Dari daftar Tindakan, pilih tindakan yang ingin Anda delegasikan. Anda dapat menggunakan tindakan Filter untuk mempersempit pilihan.

  8. Untuk menentukan apakah akun anggota yang didelegasikan dapat melampirkan kebijakan ke root organisasi atau unit organisasi (OUs), tetapkanResources. Anda juga harus memilih policy sebagai jenis sumber daya. Untuk detail tambahan, lihatContoh kebijakan delegasi berbasis sumber daya. Anda dapat menentukan sumber daya dengan cara berikut:

    • Pilih Tambahkan sumber daya dan buat Amazon Resource Name (ARN) dengan mengikuti petunjuk di kotak dialog.

    • Daftar sumber daya ARNs secara manual di editor. Untuk informasi selengkapnya tentang ARN sintaks, lihat Amazon Resource Name (ARN) di AWS Panduan Referensi Umum. Untuk informasi tentang penggunaan ARNs dalam elemen sumber daya kebijakan, lihat elemen IAM JSON kebijakan: Sumber daya.

  9. Pilih Tambahkan kondisi untuk menentukan kondisi lain, termasuk jenis kebijakan yang ingin Anda delegasikan. Pilih kondisi kondisi kunci, Tag key, Qualifier, dan Operator, dan kemudian ketik aValue. Untuk detail tambahan, lihat Contoh kebijakan delegasi berbasis sumber daya. Setelah selesai, pilih Tambahkan kondisi. Untuk informasi selengkapnya tentang elemen Kondisi, lihat elemen IAM JSON kebijakan: Kondisi dalam referensi IAM JSON kebijakan.

  10. Untuk menambahkan lebih banyak blok izin, pilih Tambahkan pernyataan baru. Untuk setiap blok, ulangi langkah 5 hingga 9.

  11. Selesaikan peringatan keamanan, kesalahan, atau peringatan umum yang dihasilkan selama validasi kebijakan, lalu pilih Buat kebijakan untuk menyimpan pekerjaan Anda.

AWS CLI & AWS SDKs
Membuat atau memperbarui kebijakan delegasi

Anda dapat menggunakan perintah berikut untuk membuat atau memperbarui kebijakan delegasi:

  • AWS CLI: put-resource-policy

    Contoh berikut membuat atau memperbarui kebijakan delegasi.

    $ aws organizations put-resource-policy --content
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "Fully_manage_backup_policies",
            "Effect": "Allow",
            "Principal": {
                "AWS": "135791357913"
            },
            "Action": [
                "organizations:DescribeOrganization",
                "organizations:ListAccounts",
                "organizations:CreatePolicy",
                "organizations:DescribePolicy",
                "organizations:UpdatePolicy",
                "organizations:DeletePolicy",
                "organizations:AttachPolicy",
                "organizations:DetachPolicy"
            ],
            "Resource": [
                "arn:aws:organizations::246802468024:root/o-abcdef/r-pqrstu",
                "arn:aws:organizations::246802468024:ou/o-abcdef/*",
                "arn:aws:organizations::246802468024:account/o-abcdef/*",
                "arn:aws:organizations::246802468024:organization/policy/backup_policy/*",
            ],
            "Condition": {
                "StringLikeIfExists": {
                    "organizations:PolicyType": [
                        "BACKUP_POLICY"
                    ]
                }
            }
        }
    ]
}
Tindakan kebijakan delegasi yang didukung

Tindakan berikut didukung untuk kebijakan delegasi:

  • AttachPolicy

  • CreatePolicy

  • DeletePolicy

  • DescribeAccount

  • DescribeCreateAccountStatus

  • DescribeEffectivePolicy

  • DescribeHandshake

  • DescribeOrganization

  • DescribeOrganizationalUnit

  • DescribePolicy

  • DescribeResourcePolicy

  • DetachPolicy

  • DisablePolicyType

  • EnablePolicyType

  • ListAccounts

  • ListAccountsForParent

  • ListAWSServiceAccessForOrganization

  • ListChildren

  • ListCreateAccountStatus

  • ListDelegatedAdministrators

  • ListDelegatedServicesForAccount

  • ListHandshakesForAccount

  • ListHandshakesForOrganization

  • ListOrganizationalUnitsForParent

  • ListParents

  • ListPolicies

  • ListPoliciesForTarget

  • ListRoots

  • ListTagsForResource

  • ListTargetsForPolicy

  • TagResource

  • UntagResource

  • UpdatePolicy

Kunci kondisi yang didukung

Hanya tombol kondisi yang didukung oleh AWS Organizations dapat digunakan untuk kebijakan delegasi. Untuk informasi selengkapnya, lihat Kunci kondisi untuk AWS Organizationsdalam Referensi Otorisasi Layanan.