Crea una politica di delega basata sulle risorse con AWS Organizations - AWS Organizations

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Crea una politica di delega basata sulle risorse con AWS Organizations

Dall'account di gestione, crea una politica di delega basata sulle risorse per la tua organizzazione e aggiungi una dichiarazione che specifichi quali account membri possono eseguire azioni sulle politiche. Puoi aggiungere più istruzioni nella policy per indicare un diverso set di autorizzazioni per gli account membri.

Autorizzazioni minime

Per creare la politica di delega basata sulle risorse, sono necessarie le autorizzazioni per eseguire le seguenti azioni:

  • organizations:PutResourcePolicy

  • organizations:DescribeResourcePolicy

Inoltre, è necessario concedere ai ruoli e agli utenti dell'account amministratore delegato le IAM autorizzazioni corrispondenti alle azioni richieste. Senza IAM autorizzazioni, si presume che il principale chiamante non disponga delle autorizzazioni necessarie per gestire le politiche. AWS Organizations

AWS Management Console

Aggiungi le istruzioni alla policy di delega basata sulle risorsa nella AWS Management Console utilizzando uno dei seguenti metodi:

  • JSONpolicy: incolla e personalizza un esempio di politica di delega basata sulle risorse da utilizzare nel tuo account oppure digita il tuo documento di JSON policy nell'editor. JSON

  • Editor visivo: crea una nuova politica di delega nell'editor visivo, che ti guida nella creazione di una politica di delega senza dover scrivere la sintassi. JSON

Utilizza l'editor delle JSON politiche per creare una politica di delega

  1. Accedere alla console AWS Organizations. È necessario accedere come IAM utente, assumere un IAM ruolo o accedere come utente root (scelta non consigliata) nell'account di gestione dell'organizzazione.

  2. Seleziona Impostazioni.

  3. Nella sezione Amministratore delegato per AWS Organizations, scegli Delega per creare la policy di delega di Organizations.

  4. Inserisci un documento JSON di policy. Per i dettagli sulla lingua delle IAM politiche, consulta il riferimento alle IAMJSONpolitiche.

  5. Risolvi eventuali avvisi di sicurezza, errori o avvisi generali generati durante la convalida delle policy, quindi scegli Create policy (Crea policy) per salvare il lavoro.

Usa l'editor visivo per creare una politica di delega

  1. Accedere alla console AWS Organizations. È necessario accedere come IAM utente, assumere un IAM ruolo o accedere come utente root (scelta non consigliata) nell'account di gestione dell'organizzazione.

  2. Seleziona Impostazioni.

  3. Nella sezione Amministratore delegato per AWS Organizations, scegli Delega per creare la policy di delega di Organizations.

  4. Nella pagina Create Delegation policy (Crea politica di delega), scegli Add new statement (Aggiungi nuova istruzione).

  5. Imposta Effect (Effetto) su Allow.

  6. Aggiungi Principal per definire gli account dei membri a cui desideri delegare.

  7. Dall'elenco di operazioni, scegli le operazioni che desideri delegare. Puoi utilizzare il campo Filter actions (Filtra operazioni) per limitare le scelte.

  8. Per specificare se l'account membro delegato può allegare politiche alla radice o alle unità organizzative dell'organizzazione (OUs), impostareResources. Dovrai inoltre selezionare policy come tipo di risorsa. È possibile specificare le risorse nei seguenti modi:

    • Scegli Aggiungi una risorsa e crea Amazon Resource Name (ARN) seguendo le istruzioni nella finestra di dialogo.

    • Elenca le risorse ARNs manualmente nell'editor. Per ulteriori informazioni sulla ARN sintassi, consulta Amazon Resource Name (ARN) nella AWS General Reference Guide. Per informazioni sull'utilizzo ARNs dell'elemento risorsa di una policy, consulta IAMJSONPolicy elements: Resource.

  9. Scegli Add a condition (Aggiungi una condizione) per specificare altre condizioni, incluso il tipo di policy che desideri delegare. Scegli la chiave di condizione, la chiave di tag, il qualificatore e l'operatore, quindi digita un Value. Una volta terminato, scegli Add condition (Aggiungi condizione). Per ulteriori informazioni sull'elemento Condizione, vedere Elementi IAM JSON della politica: Condizione nel riferimento alla IAM JSON politica.

  10. Per aggiungere più blocchi di autorizzazioni, consulta Add new statement (Aggiungi nuova istruzione). Per ogni blocco, ripetere i passaggi da 5 a 9.

  11. Risolvi eventuali avvisi di sicurezza, errori o avvisi generali generati durante la convalida delle policy, quindi scegli Create policy (Crea policy) per salvare il lavoro.

AWS CLI & AWS SDKs
Creare una politica di delega

È possibile utilizzare il seguente comando per creare una politica di delega:

  • AWS CLI: put-resource-policy

    L'esempio seguente crea una politica di delega.

    $ aws organizations put-resource-policy --content
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "Fully_manage_backup_policies",
            "Effect": "Allow",
            "Principal": {
                "AWS": "135791357913"
            },
            "Action": [
                "organizations:DescribeOrganization",
                "organizations:ListAccounts",
                "organizations:CreatePolicy",
                "organizations:DescribePolicy",
                "organizations:UpdatePolicy",
                "organizations:DeletePolicy",
                "organizations:AttachPolicy",
                "organizations:DetachPolicy"
            ],
            "Resource": [
                "arn:aws:organizations::246802468024:root/o-abcdef/r-pqrstu",
                "arn:aws:organizations::246802468024:ou/o-abcdef/*",
                "arn:aws:organizations::246802468024:account/o-abcdef/*",
                "arn:aws:organizations::246802468024:organization/policy/backup_policy/*",
            ],
            "Condition": {
                "StringLikeIfExists": {
                    "organizations:PolicyType": [
                        "BACKUP_POLICY"
                    ]
                }
            }
        }
    ]
}
Operazioni di policy di delega supportate

Le seguenti operazioni sono supportate per la policy di delega:

  • AttachPolicy

  • CreatePolicy

  • DeletePolicy

  • DescribeAccount

  • DescribeCreateAccountStatus

  • DescribeEffectivePolicy

  • DescribeHandshake

  • DescribeOrganization

  • DescribeOrganizationalUnit

  • DescribePolicy

  • DescribeResourcePolicy

  • DetachPolicy

  • DisablePolicyType

  • EnablePolicyType

  • ListAccounts

  • ListAccountsForParent

  • ListAWSServiceAccessForOrganization

  • ListChildren

  • ListCreateAccountStatus

  • ListDelegatedAdministrators

  • ListDelegatedServicesForAccount

  • ListHandshakesForAccount

  • ListHandshakesForOrganization

  • ListOrganizationalUnitsForParent

  • ListParents

  • ListPolicies

  • ListPoliciesForTarget

  • ListRoots

  • ListTagsForResource

  • ListTargetsForPolicy

  • TagResource

  • UntagResource

  • UpdatePolicy

Chiavi di condizione supportate

Solo le chiavi condizionali supportate da AWS Organizations possono essere utilizzate per la politica di delega. Per ulteriori informazioni, vedere Condition keys for AWS Organizations nel Service Authorization Reference.