Seleziona le tue preferenze relative ai cookie

Utilizziamo cookie essenziali e strumenti simili necessari per fornire il nostro sito e i nostri servizi. Utilizziamo i cookie prestazionali per raccogliere statistiche anonime in modo da poter capire come i clienti utilizzano il nostro sito e apportare miglioramenti. I cookie essenziali non possono essere disattivati, ma puoi fare clic su \"Personalizza\" o \"Rifiuta\" per rifiutare i cookie prestazionali.

Se sei d'accordo, AWS e le terze parti approvate utilizzeranno i cookie anche per fornire utili funzionalità del sito, ricordare le tue preferenze e visualizzare contenuti pertinenti, inclusa la pubblicità pertinente. Per continuare senza accettare questi cookie, fai clic su \"Continua\" o \"Rifiuta\". Per effettuare scelte più dettagliate o saperne di più, fai clic su \"Personalizza\".

Preferenze
Contattaci
Feedback
AWS Documentation
Crea un Account AWS

Esempi di policy basate sulle risorse per AWS Organizations

PDF
RSS
Modalità Focus
Esempi di policy basate sulle risorse per AWS Organizations - AWS Organizations
Visualizza l'organizzazione OUs, gli account e le politicheCreare, leggere, aggiornare ed eliminare le politichePolitiche di etichettatura e rimozione di tagAllega le politiche a una singola unità organizzativa o accountAutorizzazioni consolidate per gestire le politiche di backup di un'organizzazione

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

I seguenti esempi di codice mostrano come è possibile utilizzare le policy di delega basate sulle risorse. Per ulteriori informazioni, consulta Amministratore delegato per AWS Organizations.

Esempio: visualizzare l'organizzazione OUs, gli account e le politiche

Prima di delegare la gestione delle politiche, è necessario delegare le autorizzazioni necessarie per navigare nella struttura di un'organizzazione e visualizzare le unità organizzative (OUs), gli account e le politiche ad essi associate.

Questo esempio mostra come è possibile includere queste autorizzazioni nella politica di delega basata sulle risorse per l'account membro,. AccountId

Importante

È consigliabile includere le autorizzazioni solo per le operazioni minime richieste, come mostrato nell'esempio, sebbene sia possibile delegare qualsiasi operazione di sola lettura di Organizations utilizzando questa policy.

Questo esempio di politica di delega concede le autorizzazioni necessarie per completare le azioni in modo programmatico dall'API o. AWS AWS CLI Per utilizzare questa politica di delega, sostituisci il testo AWS segnaposto con le tue informazioni. AccountId Quindi, segui le indicazioni in Amministratore delegato per AWS Organizations.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "DelegatingNecessaryDescribeListActions",
      "Effect": "Allow",
      "Principal": {
        "AWS": "arn:aws:iam::AccountId:root"
      },
      "Action": [
        "organizations:DescribeOrganization",
        "organizations:DescribeOrganizationalUnit",
        "organizations:DescribeAccount",
        "organizations:DescribePolicy",
        "organizations:DescribeEffectivePolicy",
        "organizations:ListRoots",
        "organizations:ListOrganizationalUnitsForParent",
        "organizations:ListParents",
        "organizations:ListChildren",
        "organizations:ListAccounts",
        "organizations:ListAccountsForParent",
        "organizations:ListPolicies",
        "organizations:ListPoliciesForTarget",
        "organizations:ListTargetsForPolicy",
        "organizations:ListTagsForResource"
      ],
      "Resource": "*"
    }
  ]
}

Esempio: creare, leggere, aggiornare ed eliminare le politiche

È possibile creare una politica di delega basata sulle risorse che consenta all'account di gestione di delegare create e azioni per qualsiasi tipo di politica. read update delete Questo esempio mostra come è possibile delegare queste azioni per le politiche di controllo del servizio all'account membro,. MemberAccountId Le due risorse mostrate nell'esempio concedono l'accesso rispettivamente alle politiche di controllo dei servizi gestite dai clienti e AWS gestite dai clienti.

Importante

Questa politica consente agli amministratori delegati di eseguire azioni specifiche sulle politiche create da qualsiasi account dell'organizzazione, incluso l'account di gestione.

Non consente agli amministratori delegati di allegare o scollegare le politiche perché non include le autorizzazioni necessarie per eseguire o eseguire azioni. organizations:AttachPolicy organizations:DetachPolicy

Questo esempio di politica di delega concede le autorizzazioni necessarie per completare le azioni in modo programmatico dall'API o. AWS AWS CLI Sostituisci il testo AWS segnaposto con e con MemberAccountId le tue informazioniManagementAccountId. OrganizationId Quindi, segui le indicazioni in Amministratore delegato per AWS Organizations.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "DelegatingNecessaryDescribeListActions",
      "Effect": "Allow",
      "Principal": {
        "AWS": "arn:aws:iam::MemberAccountId:root"
      },
      "Action": [
        "organizations:DescribeOrganization",
        "organizations:DescribeOrganizationalUnit",
        "organizations:DescribeAccount",
        "organizations:DescribePolicy",
        "organizations:DescribeEffectivePolicy",
        "organizations:ListRoots",
        "organizations:ListOrganizationalUnitsForParent",
        "organizations:ListParents",
        "organizations:ListChildren",
        "organizations:ListAccounts",
        "organizations:ListAccountsForParent",
        "organizations:ListPolicies",
        "organizations:ListPoliciesForTarget",
        "organizations:ListTargetsForPolicy",
        "organizations:ListTagsForResource"
      ],
      "Resource": "*",
      "Condition": {
        "StringLikeIfExists": {
          "organizations:PolicyType": "SERVICE_CONTROL_POLICY"
        }
      }
    },
    {
      "Sid": "DelegatingMinimalActionsForSCPs",
      "Effect": "Allow",
      "Principal": {
        "AWS": "arn:aws:iam::MemberAccountId:root"
      },
      "Action": [
        "organizations:CreatePolicy",
        "organizations:DescribePolicy",
        "organizations:UpdatePolicy",
        "organizations:DeletePolicy"
      ],
      "Resource": [
        "arn:aws:organizations::ManagementAccountId:policy/o-OrganizationId/service_control_policy/*",
        "arn:aws:organizations::aws:policy/service_control_policy/*"
      ]
    }
  ]
}

Esempio: politiche relative all'etichettatura e all'eliminazione dei tag

Questo esempio mostra come è possibile creare una politica di delega basata sulle risorse che consenta agli amministratori delegati di etichettare o rimuovere i tag dalle politiche di backup. Concede le autorizzazioni necessarie per completare le azioni in modo programmatico dall'API o. AWS AWS CLI

Per utilizzare questa politica di delega, sostituisci il testo AWS segnaposto con e con le MemberAccountId tue informazioniManagementAccountId. OrganizationId Quindi, segui le indicazioni in Amministratore delegato per AWS Organizations.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "DelegatingNecessaryDescribeListActions",
      "Effect": "Allow",
      "Principal": {
        "AWS": "arn:aws:iam::MemberAccountId:root"
      },
      "Action": [
        "organizations:DescribeOrganization",
        "organizations:DescribeOrganizationalUnit",
        "organizations:DescribeAccount",
        "organizations:DescribePolicy",
        "organizations:DescribeEffectivePolicy",
        "organizations:ListRoots",
        "organizations:ListOrganizationalUnitsForParent",
        "organizations:ListParents",
        "organizations:ListChildren",
        "organizations:ListAccounts",
        "organizations:ListAccountsForParent",
        "organizations:ListPolicies",
        "organizations:ListPoliciesForTarget",
        "organizations:ListTargetsForPolicy",
        "organizations:ListTagsForResource"
      ],
      "Resource": "*",
      "Condition": {
        "StringLikeIfExists": {
          "organizations:PolicyType": "BACKUP_POLICY"
        }
      }
    },
    {
      "Sid": "DelegatingTaggingBackupPolicies",
      "Effect": "Allow",
      "Principal": {
        "AWS": "arn:aws:iam::MemberAccountId:root"
      },
      "Action": [
        "organizations:TagResource",
        "organizations:UntagResource"
      ],
      "Resource": "arn:aws:organizations::ManagementAccountId:policy/o-OrganizationId/backup_policy/*"
    }
  ]
}

Esempio: allega le politiche a una singola unità organizzativa o a un account

Questo esempio mostra come è possibile creare una politica di delega basata sulle risorse che consenta agli amministratori delegati di accedere alle politiche detach Organizations da un'unità organizzativa (OU) specificata attach o da un account specifico. Prima di delegare queste azioni, è necessario delegare le autorizzazioni necessarie per navigare nella struttura di un'organizzazione e visualizzare gli account che la compongono. Per maggiori dettagli, consulta Esempio: visualizzare l'organizzazione OUs, gli account e le politiche.

Importante

  • Sebbene questa politica consenta di allegare o scollegare i criteri dall'unità organizzativa o dall'account specificati, esclude i bambini e gli account minori. OUs OUs

  • Questa policy consente agli amministratori delegati di eseguire le operazioni specificate sulle policy create da qualsiasi account dell'organizzazione, incluso l'account di gestione.

Questo esempio di politica di delega concede le autorizzazioni necessarie per completare le azioni in modo programmatico dall'API o. AWS AWS CLI Per utilizzare questa politica di delega, sostituisci il testo AWS segnaposto perMemberAccountId, ManagementAccountIdOrganizationId, e con le tue informazioni. TargetAccountId Quindi, segui le indicazioni in Amministratore delegato per AWS Organizations.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "DelegatingNecessaryDescribeListActions",
      "Effect": "Allow",
      "Principal": {
        "AWS": "arn:aws:iam::MemberAccountId:root"
      },
      "Action": [
        "organizations:DescribeOrganization",
        "organizations:DescribeOrganizationalUnit",
        "organizations:DescribeAccount",
        "organizations:DescribePolicy",
        "organizations:DescribeEffectivePolicy",
        "organizations:ListRoots",
        "organizations:ListOrganizationalUnitsForParent",
        "organizations:ListParents",
        "organizations:ListChildren",
        "organizations:ListAccounts",
        "organizations:ListAccountsForParent",
        "organizations:ListPolicies",
        "organizations:ListPoliciesForTarget",
        "organizations:ListTargetsForPolicy",
        "organizations:ListTagsForResource"
      ],
      "Resource": "*"
    },
    {
      "Sid": "AttachDetachPoliciesSpecifiedAccountOU",
      "Effect": "Allow",
      "Principal": {
        "AWS": "arn:aws:iam::MemberAccountId:root"
      },
      "Action": [
        "organizations:AttachPolicy",
        "organizations:DetachPolicy"
      ],
      "Resource": [
        "arn:aws:organizations::ManagementAccountId:ou/o-OrganizationId/ou-OUId",
        "arn:aws:organizations::ManagementAccountId:account/o-OrganizationId/TargetAccountId",
        "arn:aws:organizations::ManagementAccountId:policy/o-OrganizationId/backup_policy/*"
      ]
    }
  ]
}

Per delegare il collegamento e il distacco delle politiche a qualsiasi unità organizzativa o account delle organizzazioni, sostituisci la risorsa dell'esempio precedente con le seguenti risorse:


"Resource": [
    "arn:aws:organizations::ManagementAccountId:ou/o-OrganizationId/*",
    "arn:aws:organizations::ManagementAccountId:account/o-OrganizationId/*",
    "arn:aws:organizations::ManagementAccountId:policy/o-OrganizationId/backup_policy/*"
]

Esempio: autorizzazioni consolidate per gestire le policy di backup di un'organizzazione

Questo esempio mostra come è possibile creare una policy di delega basata sulle risorse che consenta all'account di gestione di delegare le autorizzazioni complete necessarie per gestire le policy di backup all'interno dell'organizzazione, tra cui le operazioni create, read, update e delete, così come le operazioni di policy attach e detach.

Importante

Questa policy consente agli amministratori delegati di eseguire le operazioni specificate sulle policy create da qualsiasi account dell'organizzazione, incluso l'account di gestione.

Questo esempio di politica di delega concede le autorizzazioni necessarie per completare le azioni in modo programmatico dall'API o. AWS AWS CLI Per utilizzare questa politica di delega, sostituisci il testo AWS segnaposto perMemberAccountId, ManagementAccountIdOrganizationId, e con le tue informazioni. RootId Quindi, segui le indicazioni in Amministratore delegato per AWS Organizations.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "DelegatingNecessaryDescribeListActions",
      "Effect": "Allow",
      "Principal": {
        "AWS": "arn:aws:iam::MemberAccountId:root"
      },
      "Action": [
            "organizations:DescribeOrganization",
            "organizations:DescribeOrganizationalUnit",
            "organizations:DescribeAccount",
            "organizations:ListRoots",
            "organizations:ListOrganizationalUnitsForParent",
            "organizations:ListParents",
            "organizations:ListChildren",
            "organizations:ListAccounts",
            "organizations:ListAccountsForParent",
            "organizations:ListTagsForResource"
        ],
      "Resource": "*"
    },
    {
      "Sid": "DelegatingNecessaryDescribeListActionsForSpecificPolicyType",
      "Effect": "Allow",
      "Principal": {
            "AWS": "arn:aws:iam::MemberAccountId:root"
      },
      "Action": [
            "organizations:DescribePolicy",
            "organizations:DescribeEffectivePolicy",
            "organizations:ListPolicies",
            "organizations:ListPoliciesForTarget",
            "organizations:ListTargetsForPolicy"
      ],
      "Resource": "*",
      "Condition": {
            "StringLikeIfExists": {
                "organizations:PolicyType": "BACKUP_POLICY"
            }
      }
    },
    {
      "Sid": "DelegatingAllActionsForBackupPolicies",
      "Effect": "Allow",
      "Principal": {
      "AWS": "arn:aws:iam::MemberAccountId:root"
    },
      "Action": [
            "organizations:CreatePolicy",
            "organizations:UpdatePolicy",
            "organizations:DeletePolicy",
            "organizations:AttachPolicy",
            "organizations:DetachPolicy",
            "organizations:EnablePolicyType",
            "organizations:DisablePolicyType"
      ],
      "Resource": [
            "arn:aws:organizations::ManagementAccountId:root/o-OrganizationId/r-RootId",
            "arn:aws:organizations::ManagementAccountId:ou/o-OrganizationId/*",
            "arn:aws:organizations::ManagementAccountId:account/o-OrganizationId/*",
            "arn:aws:organizations::ManagementAccountId:policy/o-OrganizationId/backup_policy/*"
      ],
      "Condition": {
            "StringLikeIfExists": {
                "organizations:PolicyType": "BACKUP_POLICY"
            }
      }
    }
  ]
}

In questa pagina

PrivacyCondizioni del sitoPreferenze cookie
© 2025, Amazon Web Services, Inc. o società affiliate. Tutti i diritti riservati.