Políticas gerenciadas da AWS disponíveis para uso com o AWS Organizations - AWS Organizations

Políticas gerenciadas da AWS disponíveis para uso com o AWS Organizations

Esta seção identifica as políticas gerenciadas pela AWS, são fornecidas para você gerenciar sua organização. Você não pode modificar nem excluir uma política gerenciada da AWS, mas pode anexá-las ou separá-las para entidades de sua organização, conforme a necessidade.

Políticas gerenciadas pela AWS Organizations para uso com o AWS Identity and Access Management (IAM)

Uma política gerenciada do IAM é fornecida e mantida pela AWS. Uma política gerenciada fornece permissões para tarefas comuns que você pode atribuir aos usuários anexando a política gerenciada ao usuário ou objeto de função apropriado do IAM. Você não precisa escrever a política você mesmo e, quando a AWS atualiza a política, conforme apropriado, para oferecer suporte a novos serviços, você obtém automaticamente e imediatamente o benefício da atualização. Você pode ver a lista de políticas gerenciadas pela AWS na página Policies (Políticas) no console do IAM. Use a lista suspensa Filter policies (Filtrar políticas) para selecionar AWS managed (Gerenciadas pela AWS).

Você pode usar as seguintes políticas gerenciadas para conceder permissões a usuários da sua organização.

Nome da política Descrição ARN
AWSOrganizationsFullAccess Fornece todas as permissões necessárias para criar e administrar totalmente uma organização. O conteúdo desta declaração de política é mostrado no seguinte trecho:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "organizations:*", "Resource": "*" }, { "Effect": "Allow", "Action": [ "account:PutAlternateContact", "account:DeleteAlternateContact", "account:GetAlternateContact" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "account:GetContactInformation", "account:PutContactInformation" ], "Resource": "*" }, { "Effect": "Allow", "Action": "iam:CreateServiceLinkedRole", "Resource": "*", "Condition": { "StringEquals": { "iam:AWSServiceName": "organizations.amazonaws.com" } } } ] }
arn:aws:iam::aws:policy/AWSOrganizationsFullAccess
AWSOrganizationsReadOnlyAccess Fornece acesso somente de leitura a informações sobre a organização. Não permite que o usuário faça nenhuma alteração. O conteúdo desta declaração de política é mostrado no seguinte trecho:
{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Action":[ "organizations:Describe*", "organizations:List*" ], "Resource":"*" }, { "Effect":"Allow", "Action":[ "account:GetAlternateContact" ], "Resource":"*" }, { "Effect":"Allow", "Action":[ "account:GetContactInformation" ], "Resource":"*" } ] }
arn:aws:iam::aws:policy/AWSOrganizationsReadOnlyAccess

Atualizações em políticas gerenciadas pela AWS do Organizations

A tabela a seguir detalha as atualizações em políticas gerenciadas pela AWS desde que esse serviço começou a rastrear essas alterações. Para receber alertas automáticos sobre alterações feitas nesta página, inscreva-se no feed RSS na página AWS Organizations Document History (Histórico de documentos do AWS Organizations).

Alteração Descrição Data

AWSOrganizationsFullAccess: atualizado para conceder as permissões de API de conta necessárias para adicionar ou editar contatos da conta por meio do console do Organizations.

O Organizations adicionou as ações account:GetContactInformation e account:PutContactInformation à política para habilitar acesso de gravação a fim de modificar contatos de uma conta.

21 de outubro de 2022

AWSOrganizationsReadOnlyAccess: atualizado para conceder as permissões de API de conta necessárias para exibir contatos da conta usando o console do Organizations.

O Organizations adicionou a ação account:GetContactInformation à política para habilitar acesso de visualização de contatos de uma conta.

21 de outubro de 2022

AWSOrganizationsFullAccess – atualizado para permitir a criação de uma organização.

O Organizations adicionou a permissão CreateServiceLinkedRole à política para habilitar a criação da função vinculada ao serviço, necessária para criar uma organização. A permissão é restrita à criação de uma função que pode ser usada somente pelo serviço organizations.amazonaws.com.

24 de agosto de 2022

AWSOrganizationsFullAccess: atualizado para conceder as permissões de API de conta necessárias para adicionar, editar ou excluir contatos alternativos da conta por meio do console do Organizations.

O Organizations adicionou as ações account:GetAlternateContact, account:DeleteAlternateContact e account:PutAlternateContact à política para habilitar acesso de gravação para modificar contatos alternativos de uma conta.

7 de fevereiro de 2022

AWSOrganizationsReadOnlyAccess: atualizado para conceder as permissões de API de conta necessárias para exibir contatos alternativos da conta via console do Organizations.

O Organizations adicionou a ação account:GetAlternateContact à política para habilitar acesso de visualização de contatos alternativos de uma conta.

7 de fevereiro de 2022

Políticas de controle de serviço gerenciadas pelo AWS Organizations

Políticas de controle de serviço (SCPs) são semelhantes às políticas de permissão do IAM, mas são um recurso do AWS Organizations, e não do IAM. Você usa SCPs para especificar o número máximo de permissões para entidades afetadas. Você pode anexar SCPs a raízes, unidades organizacionais (UOs) ou contas de sua organização. Você pode criar suas próprias ou usar as políticas definidas pelo IAM. Você pode ver a lista de políticas de sua organização na página Policies (Políticas) no console do Organizations.

Importante

Cada raiz, UO e conta devem ter pelo menos uma SCP anexada durante todo o tempo.

Nome da política Descrição ARN
FullAWSAccess Fornece à conta de gerenciamento do AWS Organizations acesso às contas-membro. arn:aws:organizations::aws:policy/service_control_policy/p-FullAWSAccess