Crea una politica di delega basata sulle risorse con AWS Organizations - AWS Organizations

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Crea una politica di delega basata sulle risorse con AWS Organizations

Dall'account di gestione, crea una politica di delega basata sulle risorse per la tua organizzazione e aggiungi una dichiarazione che specifichi quali account membri possono eseguire azioni sulle politiche. Puoi aggiungere più istruzioni nella policy per indicare un diverso set di autorizzazioni per gli account membri.

Autorizzazioni minime

Per creare la politica di delega basata sulle risorse, sono necessarie le autorizzazioni per eseguire le seguenti azioni:

  • organizations:PutResourcePolicy

  • organizations:DescribeResourcePolicy

Inoltre, devi concedere ai ruoli e agli utenti nell'account amministratore delegato le autorizzazioni IAM corrispondenti alle azioni richieste. Senza le autorizzazioni IAM, si presume che il principale chiamante non disponga delle autorizzazioni necessarie per gestire le policy. AWS Organizations

AWS Management Console

Aggiungi le istruzioni alla policy di delega basata sulle risorsa nella AWS Management Console utilizzando uno dei seguenti metodi:

  • Politica JSON: incolla e personalizza un esempio di politica di delega basata sulle risorse da utilizzare nel tuo account oppure digita il tuo documento di policy JSON nell'editor JSON.

  • Editor visivo: crea una nuova policy di delega nell'editor visivo che ti guidi nella creazione di una policy di delega senza dover scrivere una sintassi JSON.

Usa l'editor di policy JSON per creare una politica di delega

  1. Accedere alla console AWS Organizations. È necessario accedere come utente IAM, assumere un ruolo IAM o accedere come utente root (non consigliato) nell'account di gestione dell'organizzazione.

  2. Seleziona Impostazioni.

  3. Nella sezione Amministratore delegato per AWS Organizations, scegli Delega per creare la policy di delega di Organizations.

  4. Specificare un documento della policy JSON. Per dettagli sul linguaggio della policy IAM, consulta la Documentazione di riferimento delle policy JSON IAM.

  5. Risolvi eventuali avvisi di sicurezza, errori o avvisi generali generati durante la convalida delle policy, quindi scegli Create policy (Crea policy) per salvare il lavoro.

Usa l'editor visivo per creare una politica di delega

  1. Accedere alla console AWS Organizations. È necessario accedere come utente IAM, assumere un ruolo IAM o accedere come utente root (non consigliato) nell'account di gestione dell'organizzazione.

  2. Seleziona Impostazioni.

  3. Nella sezione Amministratore delegato per AWS Organizations, scegli Delega per creare la policy di delega di Organizations.

  4. Nella pagina Create Delegation policy (Crea politica di delega), scegli Add new statement (Aggiungi nuova istruzione).

  5. Imposta Effect (Effetto) su Allow.

  6. Aggiungi Principal per definire gli account dei membri a cui desideri delegare.

  7. Dall'elenco di operazioni, scegli le operazioni che desideri delegare. Puoi utilizzare il campo Filter actions (Filtra operazioni) per limitare le scelte.

  8. Per specificare se l'account membro delegato può allegare politiche alla radice o alle unità organizzative dell'organizzazione (OUs), impostaResources. Dovrai inoltre selezionare policy come tipo di risorsa. È possibile specificare le risorse nei seguenti modi:

    • Scegli Add a resource (Aggiungi una risorsa) e crea il nome della risorsa Amazon (ARN) seguendo le istruzioni nella finestra di dialogo.

    • Elenca le risorse ARNs manualmente nell'editor. Per ulteriori informazioni sulla sintassi ARN, consulta Amazon Resource Name (ARN) nella General Reference Guide. AWS Per informazioni sull'utilizzo ARNs dell'elemento risorsa di una policy, consulta IAM JSON policy elements: Resource.

  9. Scegli Add a condition (Aggiungi una condizione) per specificare altre condizioni, incluso il tipo di policy che desideri delegare. Scegli la chiave di condizione, la chiave di tag, il qualificatore e l'operatore, quindi digita un Value. Una volta terminato, scegli Add condition (Aggiungi condizione). Per ulteriori informazioni sull'elemento Condition, consulta Elementi della policy JSON IAM: Condition nella Documentazione di riferimento delle policy JSON IAM.

  10. Per aggiungere più blocchi di autorizzazioni, consulta Add new statement (Aggiungi nuova istruzione). Per ogni blocco, ripetere i passaggi da 5 a 9.

  11. Risolvi eventuali avvisi di sicurezza, errori o avvisi generali generati durante la convalida delle policy, quindi scegli Create policy (Crea policy) per salvare il lavoro.

AWS CLI & AWS SDKs
Crea una politica di delega

È possibile utilizzare il seguente comando per creare una politica di delega:

  • AWS CLI: put-resource-policy

    L'esempio seguente crea una politica di delega.

    $ aws organizations put-resource-policy --content
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "Fully_manage_backup_policies",
            "Effect": "Allow",
            "Principal": {
                "AWS": "135791357913"
            },
            "Action": [
                "organizations:DescribeOrganization",
                "organizations:ListAccounts",
                "organizations:CreatePolicy",
                "organizations:DescribePolicy",
                "organizations:UpdatePolicy",
                "organizations:DeletePolicy",
                "organizations:AttachPolicy",
                "organizations:DetachPolicy"
            ],
            "Resource": [
                "arn:aws:organizations::246802468024:root/o-abcdef/r-pqrstu",
                "arn:aws:organizations::246802468024:ou/o-abcdef/*",
                "arn:aws:organizations::246802468024:account/o-abcdef/*",
                "arn:aws:organizations::246802468024:organization/policy/backup_policy/*",
            ],
            "Condition": {
                "StringLikeIfExists": {
                    "organizations:PolicyType": [
                        "BACKUP_POLICY"
                    ]
                }
            }
        }
    ]
}
Operazioni di policy di delega supportate

Le seguenti operazioni sono supportate per la policy di delega:

  • AttachPolicy

  • CreatePolicy

  • DeletePolicy

  • DescribeAccount

  • DescribeCreateAccountStatus

  • DescribeEffectivePolicy

  • DescribeHandshake

  • DescribeOrganization

  • DescribeOrganizationalUnit

  • DescribePolicy

  • DescribeResourcePolicy

  • DetachPolicy

  • DisablePolicyType

  • EnablePolicyType

  • ListAccounts

  • ListAccountsForParent

  • ListAWSServiceAccessForOrganization

  • ListChildren

  • ListCreateAccountStatus

  • ListDelegatedAdministrators

  • ListDelegatedServicesForAccount

  • ListHandshakesForAccount

  • ListHandshakesForOrganization

  • ListOrganizationalUnitsForParent

  • ListParents

  • ListPolicies

  • ListPoliciesForTarget

  • ListRoots

  • ListTagsForResource

  • ListTargetsForPolicy

  • TagResource

  • UntagResource

  • UpdatePolicy

Chiavi di condizione supportate

Solo le chiavi condizionali supportate da AWS Organizations possono essere utilizzate per la politica di delega. Per ulteriori informazioni, vedere Condition keys for AWS Organizations nel Service Authorization Reference.