Contoh: Izin terkonsolidasi untuk mengelola kebijakan cadangan organisasi - AWS Organizations

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Contoh: Izin terkonsolidasi untuk mengelola kebijakan cadangan organisasi

Contoh ini menunjukkan cara membuat kebijakan delegasi berbasis sumber daya yang memungkinkan akun manajemen mendelegasikan izin penuh yang diperlukan untuk mengelola kebijakan pencadangan dalam organisasi, termasuk,,, dan delete tindakan create readupdate, serta tindakan kebijakan. attach detach Untuk memahami pentingnya setiap tindakan, sumber daya, dan kondisi, lihatContoh kebijakan delegasi berbasis sumber daya.

penting

Kebijakan ini memungkinkan administrator yang didelegasikan untuk melakukan tindakan tertentu pada kebijakan yang dibuat oleh akun mana pun di organisasi, termasuk akun manajemen.

Contoh kebijakan delegasi ini memberikan izin yang diperlukan untuk menyelesaikan tindakan secara terprogram dari API atau. AWS AWS CLI Untuk menggunakan kebijakan delegasi ini, ganti teks AWS placeholder untuk MemberAccountId,, ManagementAccountIdOrganizationId, dan RootIddengan informasi Anda sendiri. Kemudian, ikuti petunjuk masukAdministrator yang didelegasikan untuk AWS Organizations.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "DelegatingNecessaryDescribeListActions",
      "Effect": "Allow",
      "Principal": {
        "AWS": "arn:aws:iam::MemberAccountId:root"
      },
      "Action": [
            "organizations:DescribeOrganization",
            "organizations:DescribeOrganizationalUnit",
            "organizations:DescribeAccount",
            "organizations:ListRoots",
            "organizations:ListOrganizationalUnitsForParent",
            "organizations:ListParents",
            "organizations:ListChildren",
            "organizations:ListAccounts",
            "organizations:ListAccountsForParent",
            "organizations:ListTagsForResource"
        ],
      "Resource": "*"
    },
    {
      "Sid": "DelegatingNecessaryDescribeListActionsForSpecificPolicyType",
      "Effect": "Allow",
      "Principal": {
            "AWS": "arn:aws:iam::MemberAccountId:root"
      },
      "Action": [
            "organizations:DescribePolicy",
            "organizations:DescribeEffectivePolicy",
            "organizations:ListPolicies",
            "organizations:ListPoliciesForTarget",
            "organizations:ListTargetsForPolicy"
      ],
      "Resource": "*",
      "Condition": {
            "StringLikeIfExists": {
                "organizations:PolicyType": "BACKUP_POLICY"
            }
      }
    },
    {
      "Sid": "DelegatingAllActionsForBackupPolicies",
      "Effect": "Allow",
      "Principal": {
      "AWS": "arn:aws:iam::MemberAccountId:root"
    },
      "Action": [
            "organizations:CreatePolicy",
            "organizations:UpdatePolicy",
            "organizations:DeletePolicy",
            "organizations:AttachPolicy",
            "organizations:DetachPolicy",
            "organizations:EnablePolicyType",
            "organizations:DisablePolicyType"
      ],
      "Resource": [
            "arn:aws:organizations::ManagementAccountId:root/o-OrganizationId/r-RootId",
            "arn:aws:organizations::ManagementAccountId:ou/o-OrganizationId/*",
            "arn:aws:organizations::ManagementAccountId:account/o-OrganizationId/*",
            "arn:aws:organizations::ManagementAccountId:policy/o-OrganizationId/backup_policy/*"
      ],
      "Condition": {
            "StringLikeIfExists": {
                "organizations:PolicyType": "BACKUP_POLICY"
            }
      }
    }
  ]
}