Administrator yang didelegasikan untuk AWS Organizations

Kami menyarankan Anda menggunakan akun AWS Organizations manajemen dan penggunanya dan perannya hanya untuk tugas-tugas yang harus dilakukan oleh akun itu. Kami juga menyarankan agar Anda menyimpan AWS sumber daya Anda di akun anggota lain di organisasi dan menjauhkannya dari akun manajemen. Ini karena fitur keamanan seperti Organizations Service Control Policies (SCPs) tidak membatasi pengguna atau peran dalam akun manajemen.

Dari akun manajemen organisasi, Anda dapat mendelegasikan manajemen kebijakan untuk Organizations ke akun anggota tertentu untuk melakukan tindakan kebijakan yang secara default hanya tersedia untuk akun manajemen.

Membuat atau memperbarui kebijakan delegasi berbasis sumber daya

Dari akun manajemen, buat atau perbarui kebijakan delegasi berbasis sumber daya untuk organisasi Anda dan tambahkan pernyataan yang menentukan akun anggota mana yang dapat melakukan tindakan pada kebijakan. Anda dapat menambahkan beberapa pernyataan dalam kebijakan untuk menunjukkan kumpulan izin yang berbeda ke akun anggota.

Izin minimum

Untuk membuat atau memperbarui kebijakan delegasi berbasis sumber daya, Anda memerlukan izin untuk menjalankan tindakan berikut:

• organizations:PutResourcePolicy

• organizations:DescribeResourcePolicy

Selain itu, Anda harus memberikan peran dan pengguna di akun administrator yang didelegasikan izin IAM yang sesuai untuk tindakan yang diperlukan. Tanpa izin IAM, diasumsikan bahwa prinsipal panggilan tidak memiliki izin yang diperlukan untuk mengelola kebijakan. AWS Organizations

AWS Management Console

Tambahkan pernyataan ke kebijakan delegasi berbasis sumber daya dalam AWS Management Console menggunakan salah satu metode berikut:

• Kebijakan JSON — Tempelkan dan sesuaikan contoh kebijakan delegasi berbasis sumber daya untuk digunakan di akun Anda, atau ketik dokumen kebijakan JSON Anda sendiri di editor JSON.

• Editor visual - Buat kebijakan delegasi baru di editor visual, yang memandu Anda dalam membuat kebijakan delegasi tanpa harus menulis sintaks JSON.

Menggunakan editor kebijakan JSON untuk membuat atau memperbarui kebijakan delegasi

1. Masuk ke konsol AWS Organizations. Anda harus masuk sebagai pengguna IAM, mengambil IAM role, atau masuk sebagai pengguna akar (tidak Disarankan) di akun pengelolaan organisasi.

2. Pilih Pengaturan.

3. Di AWS Organizations bagian Administrator yang didelegasikan, pilih Delegasi untuk membuat kebijakan delegasi Organizations. Untuk memperbarui kebijakan delegasi yang ada, pilih Edit.

4. Ketik atau tempel dokumen kebijakan JSON. Untuk detail bahasa kebijakan IAM, lihat Referensi kebijakan JSON IAM.

5. Selesaikan peringatan keamanan, kesalahan, atau peringatan umum yang dihasilkan selama validasi kebijakan, lalu pilih Buat kebijakan untuk menyimpan pekerjaan Anda.

Gunakan editor visual untuk membuat atau memperbarui kebijakan delegasi

1. Masuk ke konsol AWS Organizations. Anda harus masuk sebagai pengguna IAM, mengambil IAM role, atau masuk sebagai pengguna akar (tidak Disarankan) di akun pengelolaan organisasi.

2. Pilih Pengaturan.

3. Di AWS Organizations bagian Administrator yang didelegasikan, pilih Delegasi untuk membuat kebijakan delegasi Organizations. Untuk memperbarui kebijakan delegasi yang ada, pilih Edit.

4. Pada halaman kebijakan Buat Delegasi, pilih Tambahkan pernyataan baru.

5. Atur Efek keAllow.

6. Tambahkan Principal untuk menentukan akun anggota yang ingin Anda delegasikan. Untuk detail tentang sintaks, lihat. Contoh kebijakan delegasi berbasis sumber daya

7. Dari daftar Tindakan, pilih tindakan yang ingin Anda delegasikan. Anda dapat menggunakan tindakan Filter untuk mempersempit pilihan.

8. Untuk menentukan apakah akun anggota yang didelegasikan dapat melampirkan kebijakan ke root organisasi atau unit organisasi (OU), tetapkanResources. Anda juga harus memilih policy sebagai jenis sumber daya. Untuk detail tambahan, lihatContoh kebijakan delegasi berbasis sumber daya. Anda dapat menentukan sumber daya dengan cara berikut:

   • Pilih Tambahkan sumber daya dan buat Nama Sumber Daya Amazon (ARN) dengan mengikuti petunjuk di kotak dialog.

   • Daftar ARN sumber daya secara manual di editor. Untuk informasi selengkapnya tentang sintaks ARN, lihat Amazon Resource Name (ARN) di Panduan Referensi Umum. AWS Untuk informasi tentang penggunaan ARN dalam elemen sumber daya kebijakan, lihat elemen kebijakan IAM JSON: Resource.

9. Pilih Tambahkan kondisi untuk menentukan kondisi lain, termasuk jenis kebijakan yang ingin Anda delegasikan. Pilih kondisi kondisi kunci, Tag key, Qualifier, dan Operator, dan kemudian ketik aValue. Untuk detail tambahan, lihat Contoh kebijakan delegasi berbasis sumber daya. Setelah selesai, pilih Tambahkan kondisi. Untuk informasi selengkapnya tentang elemen Kondisi, lihat elemen kebijakan IAM JSON: Kondisi dalam referensi kebijakan IAM JSON.

10. Untuk menambahkan lebih banyak blok izin, pilih Tambahkan pernyataan baru. Untuk setiap blok, ulangi langkah 5 hingga 9.

11. Selesaikan peringatan keamanan, kesalahan, atau peringatan umum yang dihasilkan selama validasi kebijakan, lalu pilih Buat kebijakan untuk menyimpan pekerjaan Anda.

AWS CLI & AWS SDKs

Membuat atau memperbarui kebijakan delegasi

Anda dapat menggunakan perintah berikut untuk membuat atau memperbarui kebijakan delegasi:

• AWS CLI: put-resource-policy

  Contoh berikut membuat atau memperbarui kebijakan delegasi.

  $ aws organizations put-resource-policy --content
  {
      "Version": "2012-10-17",
      "Statement": [
          {
              "Sid": "Fully_manage_backup_policies",
              "Effect": "Allow",
              "Principal": {
                  "AWS": "135791357913"
              }
              "Action": [
                  "organizations:DescribeOrganization",
                  "organizations:ListAccounts",
                  "organizations:CreatePolicy",
                  "organizations:DescribePolicy",
                  "organizations:UpdatePolicy",
                  "organizations:DeletePolicy",
                  "organizations:AttachPolicy",
                  "organizations:DetachPolicy"
              ],
              "Resource": [
                  "arn:aws:organizations::246802468024:root/o-abcdef/r-pqrstu",
                  "arn:aws:organizations::246802468024:ou/o-abcdef/*",
                  "arn:aws:organizations::246802468024:account/o-abcdef/*",
                  "arn:aws:organizations::246802468024:organization/policy/backup_policy/*",
              ],
              "Condition": {
                  "StringLikeIfExists": {
                      "organizations:PolicyType": [
                          "BACKUP_POLICY"
                      ]
                  }
              }
          }
      ]
  }

• AWS SDK: PutResourcePolicy

Tindakan kebijakan delegasi yang didukung

Tindakan berikut didukung untuk kebijakan delegasi:

• AttachPolicy

• CreatePolicy

• DeletePolicy

• DescribeAccount

• DescribeCreateAccountStatus

• DescribeEffectivePolicy

• DescribeHandshake

• DescribeOrganization

• DescribeOrganizationalUnit

• DescribePolicy

• DescribeResourcePolicy

• DetachPolicy

• DisablePolicyType

• EnablePolicyType

• ListAccounts

• ListAccountsForParent

• ListAWSServiceAccessForOrganization

• ListChildren

• ListCreateAccountStatus

• ListDelegatedAdministrators

• ListDelegatedServicesForAccount

• ListHandshakesForAccount

• ListHandshakesForOrganization

• ListOrganizationalUnitsForParent

• ListParents

• ListPolicies

• ListPoliciesForTarget

• ListRoots

• ListTagsForResource

• ListTargetsForPolicy

• TagResource

• UntagResource

• UpdatePolicy

Kunci kondisi yang didukung

Hanya kunci kondisi yang didukung oleh yang AWS Organizations dapat digunakan untuk kebijakan delegasi. Untuk informasi selengkapnya, lihat Kunci kondisi untuk AWS Organizations Referensi Otorisasi Layanan.

Melihat kebijakan delegasi berbasis sumber daya

Dari akun manajemen, lihat kebijakan delegasi berbasis sumber daya organisasi Anda untuk memahami administrator yang didelegasikan yang memiliki akses untuk mengelola jenis kebijakan mana.

Izin minimum

Untuk melihat kebijakan delegasi berbasis sumber daya, Anda memerlukan izin untuk menjalankan tindakan berikut:. organizations:DescribeResourcePolicy

AWS Management Console

Untuk melihat kebijakan delegasi

1. Masuk ke konsol AWS Organizations. Anda harus masuk sebagai pengguna IAM, mengambil IAM role, atau masuk sebagai pengguna akar (tidak Disarankan) di akun pengelolaan organisasi.

2. Pilih Pengaturan.

3. Di AWS Organizations bagian Administrator yang didelegasikan, gulir untuk melihat kebijakan delegasi lengkap.

AWS CLI & AWS SDKs

Melihat kebijakan delegasi

Anda dapat menggunakan perintah berikut untuk melihat kebijakan delegasi:

• AWS CLI: describe-resource-policy

  Contoh berikut mengambil kebijakan.

  $ aws organizations describe-resource-policy

• AWS SDK: DescribeResourcePolicy

Menghapus kebijakan delegasi berbasis sumber daya

Jika Anda tidak perlu lagi mendelegasikan pengelolaan kebijakan di organisasi, Anda dapat menghapus kebijakan delegasi berbasis sumber daya dari akun manajemen organisasi.

penting

Jika Anda menghapus kebijakan delegasi berbasis sumber daya, Anda tidak dapat memulihkannya.

Izin minimum

Untuk menghapus kebijakan delegasi berbasis sumber daya, Anda memerlukan izin untuk menjalankan tindakan berikut:. organizations:DeleteResourcePolicy

AWS Management Console

Untuk menghapus kebijakan delegasi

1. Masuk ke konsol AWS Organizations. Anda harus masuk sebagai pengguna IAM, mengambil IAM role, atau masuk sebagai pengguna akar (tidak Disarankan) di akun pengelolaan organisasi.

2. Pilih Pengaturan.

3. Di AWS Organizations bagian Administrator yang didelegasikan untuk, pilih Hapus.

4. Di kotak dialog Hapus konfirmasi kebijakan, ketikdelete. Kemudian, pilih Hapus kebijakan.

AWS CLI & AWS SDKs

Menghapus kebijakan delegasi

Anda dapat menggunakan perintah berikut untuk menghapus kebijakan delegasi:

• AWS CLI: delete-resource-policy

  Contoh berikut menghapus kebijakan.

  $ aws organizations delete-resource-policy

• AWS SDK: DeleteResourcePolicy