Amministratore delegato per AWS Organizations

Ti consigliamo di utilizzare l'account di AWS Organizations gestione e i relativi utenti e ruoli solo per le attività che devono essere eseguite da quell'account. Consigliamo anche di archiviare tutte le risorse AWS in altri account membro nell'organizzazione ed escluderle dall'account di gestione. Questo perché le funzionalità di sicurezza come le policy di controllo dei servizi (SCP) di Organizations non limitano gli utenti o i ruoli nell'account di gestione.

Dall'account di gestione dell'organizzazione, puoi delegare la gestione delle policy di Organizations per gli account membro specificati in modo da eseguire operazioni di policy che sono disponibili per impostazione predefinita solo per l'account di gestione.

Creazione o aggiornamento di una policy di delega basata sulle risorse

Dall'account di gestione, crea o aggiorna una policy di delega basata sulle risorse per la tua organizzazione e aggiungi una istruzione che specifichi quali account membri possono eseguire azioni sulle policy. Puoi aggiungere più istruzioni nella policy per indicare un diverso set di autorizzazioni per gli account membri.

Autorizzazioni minime

Per creare la policy di delega basata sulle risorse, sono necessarie le autorizzazioni per completare le seguenti operazioni:

• organizations:PutResourcePolicy

• organizations:DescribeResourcePolicy

Inoltre, devi concedere ai ruoli e agli utenti nell'account amministratore delegato le autorizzazioni IAM corrispondenti alle azioni richieste. Senza le autorizzazioni IAM, si presume che il principale chiamante non disponga delle autorizzazioni necessarie per gestire AWS Organizations le policy.

AWS Management Console

Aggiungi le istruzioni alla policy di delega basata sulle risorsa nella AWS Management Console utilizzando uno dei seguenti metodi:

• Policy JSON: incolla e personalizza un esempio di policy di delega basata sulle risorse da utilizzare nel tuo account o digita il tuo documento di policy JSON nell'editor JSON.

• Editor visivo: crea una nuova policy di delega nell'editor visivo che ti guidi nella creazione di una policy di delega senza dover scrivere una sintassi JSON.

Utilizzo dell'editor di policy JSON per creare o aggiornare una policy di delega

1. Accedi alla console AWS Organizations. È necessario accedere come utente IAM, assumere un ruolo IAM o accedere come utente root (non consigliato) nell'account di gestione dell'organizzazione.

2. Seleziona Impostazioni.

3. Nella sezione Amministratore delegato per AWS Organizations, scegli Delega per creare la policy di delega di Organizations. Per aggiornare una policy di delega esistente, scegli Edit (Modifica).

4. Digitare o incollare un documento di policy JSON. Per dettagli sul linguaggio della policy IAM, consulta la Documentazione di riferimento delle policy JSON IAM.

5. Risolvi eventuali avvisi di sicurezza, errori o avvisi generali generati durante la convalida delle policy, quindi scegli Create policy (Crea policy) per salvare il lavoro.

Utilizzo dell'editor visivo per creare o aggiornare una policy di delega

1. Accedi alla console AWS Organizations. È necessario accedere come utente IAM, assumere un ruolo IAM o accedere come utente root (non consigliato) nell'account di gestione dell'organizzazione.

2. Seleziona Impostazioni.

3. Nella sezione Amministratore delegato per AWS Organizations, scegli Delega per creare la policy di delega di Organizations. Per aggiornare una policy di delega esistente, scegli Edit (Modifica).

4. Nella pagina Create Delegation policy (Crea politica di delega), scegli Add new statement (Aggiungi nuova istruzione).

5. Imposta Effect (Effetto) su Allow.

6. Aggiungi Principal per definire gli account dei membri a cui desideri delegare. Per informazioni dettagliate sulla sintassi, consulta gli Policy di delega basate sulle risorse di esempio.

7. Dall'elenco di operazioni, scegli le operazioni che desideri delegare. Puoi utilizzare il campo Filter actions (Filtra operazioni) per limitare le scelte.

8. Per specificare se l'account del membro delegato può collegare policy alla root dell'organizzazione o alle unità organizzative (UO), imposta Resources. Dovrai inoltre selezionare policy come tipo di risorsa. Per ulteriori dettagli, consulta gli Policy di delega basate sulle risorse di esempio. È possibile specificare le risorse nei seguenti modi:

   • Scegli Add a resource (Aggiungi una risorsa) e crea il nome della risorsa Amazon (ARN) seguendo le istruzioni nella finestra di dialogo.

   • Elenca gli ARN delle risorse manualmente nell'editor. Per ulteriori informazioni sulla sintassi ARN, consulta Amazon Resource Name (ARN) nella General Reference Guide. AWS Per informazioni sull'utilizzo di ARN nell'elemento di risorse di una policy, consulta Elementi di policy JSON di IAM: risorsa.

9. Scegli Add a condition (Aggiungi una condizione) per specificare altre condizioni, incluso il tipo di policy che desideri delegare. Scegli la chiave di condizione, la chiave di tag, il qualificatore e l'operatore, quindi digita un Value. Per ulteriori dettagli, consulta Policy di delega basate sulle risorse di esempio. Una volta terminato, scegli Add condition (Aggiungi condizione). Per ulteriori informazioni sull'elemento Condition, consulta Elementi della policy JSON IAM: Condition nella Documentazione di riferimento delle policy JSON IAM.

10. Per aggiungere più blocchi di autorizzazioni, consulta Add new statement (Aggiungi nuova istruzione). Per ogni blocco, ripetere i passaggi da 5 a 9.

11. Risolvi eventuali avvisi di sicurezza, errori o avvisi generali generati durante la convalida delle policy, quindi scegli Create policy (Crea policy) per salvare il lavoro.

AWS CLI & AWS SDKs

Creazione o aggiornamento di una policy di delega

Per creare o aggiornare una policy di delega, puoi utilizzare il seguente comando:

• AWS CLI: put-resource-policy

  Nell'esempio seguente viene creata o aggiornata la policy di delega.

  $ aws organizations put-resource-policy --content
  {
      "Version": "2012-10-17",
      "Statement": [
          {
              "Sid": "Fully_manage_backup_policies",
              "Effect": "Allow",
              "Principal": {
                  "AWS": "135791357913"
              }
              "Action": [
                  "organizations:DescribeOrganization",
                  "organizations:ListAccounts",
                  "organizations:CreatePolicy",
                  "organizations:DescribePolicy",
                  "organizations:UpdatePolicy",
                  "organizations:DeletePolicy",
                  "organizations:AttachPolicy",
                  "organizations:DetachPolicy"
              ],
              "Resource": [
                  "arn:aws:organizations::246802468024:root/o-abcdef/r-pqrstu",
                  "arn:aws:organizations::246802468024:ou/o-abcdef/*",
                  "arn:aws:organizations::246802468024:account/o-abcdef/*",
                  "arn:aws:organizations::246802468024:organization/policy/backup_policy/*",
              ],
              "Condition": {
                  "StringLikeIfExists": {
                      "organizations:PolicyType": [
                          "BACKUP_POLICY"
                      ]
                  }
              }
          }
      ]
  }

• AWS SDK: PutResourcePolicy

Operazioni di policy di delega supportate

Le seguenti operazioni sono supportate per la policy di delega:

• AttachPolicy

• CreatePolicy

• DeletePolicy

• DescribeAccount

• DescribeCreateAccountStatus

• DescribeEffectivePolicy

• DescribeHandshake

• DescribeOrganization

• DescribeOrganizationalUnit

• DescribePolicy

• DescribeResourcePolicy

• DetachPolicy

• DisablePolicyType

• EnablePolicyType

• ListAccounts

• ListAccountsForParent

• ListAWSServiceAccessForOrganization

• ListChildren

• ListCreateAccountStatus

• ListDelegatedAdministrators

• ListDelegatedServicesForAccount

• ListHandshakesForAccount

• ListHandshakesForOrganization

• ListOrganizationalUnitsForParent

• ListParents

• ListPolicies

• ListPoliciesForTarget

• ListRoots

• ListTagsForResource

• ListTargetsForPolicy

• TagResource

• UntagResource

• UpdatePolicy

Chiavi di condizione supportate

Solo le chiavi condizionali supportate da AWS Organizations possono essere utilizzate per la politica di delega. Per ulteriori informazioni, vedere Condition keys for AWS Organizations nel Service Authorization Reference.

Visualizzazione di una policy di delega basata sulle risorse

Dall'account di gestione, visualizza la policy di delega basata sulle risorse dell'organizzazione per capire quali amministratori delegati hanno accesso per gestire quali tipi di policy.

Autorizzazioni minime

Per visualizzare la policy di delega basata sulle risorse, sono necessarie le autorizzazioni per eseguire l'operazione seguente: organizations:DescribeResourcePolicy.

AWS Management Console

Visualizzazione di una policy di delega

1. Accedi alla console AWS Organizations. È necessario accedere come utente IAM, assumere un ruolo IAM o accedere come utente root (non consigliato) nell'account di gestione dell'organizzazione.

2. Seleziona Impostazioni.

3. Nella sezione Amministratore delegato per AWS Organizations, scorri per visualizzare la policy di delega completa.

AWS CLI & AWS SDKs

Visualizzazione di una policy di delega

Per visualizzare una policy di delega, puoi utilizzare il seguente comando:

• AWS CLI: describe-resource-policy

  Nell'esempio seguente viene richiamata la policy.

  $ aws organizations describe-resource-policy

• AWS SDK: DescribeResourcePolicy

Eliminazione di una policy di delega basata sulle risorse

Quando non è più necessario delegare la gestione delle policy nell'organizzazione, è possibile eliminare la policy di delega basata sulle risorse dall'account di gestione dell'organizzazione.

Importante

Se elimini una policy di delega basata sulle risorse, non potrai più ripristinarla.

Autorizzazioni minime

Per eliminare la policy di delega basata sulle risorse, sono necessarie le autorizzazioni per eseguire l'operazione seguente: organizations:DeleteResourcePolicy.

AWS Management Console

Eliminazione di una policy di delega

1. Accedi alla console AWS Organizations. È necessario accedere come utente IAM, assumere un ruolo IAM o accedere come utente root (non consigliato) nell'account di gestione dell'organizzazione.

2. Seleziona Impostazioni.

3. Nella sezione Amministratore delegato per AWS Organizations, scegli Elimina.

4. Nella finestra di dialogo di conferma Delete policy, digita delete. Quindi, scegli Delete policy (Elimina policy).

AWS CLI & AWS SDKs

Eliminazione di una policy di delega

Per eliminare una policy di delega, puoi utilizzare il seguente comando:

• AWS CLI: delete-resource-policy

  Nell'esempio seguente la policy viene eliminata.

  $ aws organizations delete-resource-policy

• AWS SDK: DeleteResourcePolicy