Selecione suas preferências de cookies

Usamos cookies essenciais e ferramentas semelhantes que são necessárias para fornecer nosso site e serviços. Usamos cookies de desempenho para coletar estatísticas anônimas, para que possamos entender como os clientes usam nosso site e fazer as devidas melhorias. Cookies essenciais não podem ser desativados, mas você pode clicar em “Personalizar” ou “Recusar” para recusar cookies de desempenho.

Se você concordar, a AWS e terceiros aprovados também usarão cookies para fornecer recursos úteis do site, lembrar suas preferências e exibir conteúdo relevante, incluindo publicidade relevante. Para aceitar ou recusar todos os cookies não essenciais, clique em “Aceitar” ou “Recusar”. Para fazer escolhas mais detalhadas, clique em “Personalizar”.

Preferências
Entre em contato conosco
Feedback
AWS Documentation
Crie uma conta da AWS

Exemplos de políticas baseadas em recursos para AWS Organizations

PDF
RSS
Modo de foco
Exemplos de políticas baseadas em recursos para AWS Organizations - AWS Organizations
Veja a organização OUs, as contas e as políticasCriar, ler, atualizar e excluir políticasPolíticas de marcar e desmarcarVincular políticas a uma única OU ou contaPermissões consolidadas para gerenciar as políticas de backup de uma organização

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Os exemplos de código a seguir mostram como é possível usar políticas de delegação baseadas em recursos. Para obter mais informações, consulte Administrador delegado para AWS Organizations.

Exemplo: Exibir organização OUs, contas e políticas

Antes de delegar o gerenciamento de políticas, você deve delegar as permissões para navegar na estrutura de uma organização e ver as unidades organizacionais (OUs), as contas e as políticas anexadas a elas.

Este exemplo mostra como você pode incluir essas permissões em sua política de delegação baseada em recursos para a conta do membro,. AccountId

Importante

É recomendável incluir permissões somente para as ações necessárias mínimas, conforme mostrado no exemplo, embora seja possível delegar qualquer ação somente leitura do Organizations usando esta política.

Este exemplo de política de delegação concede as permissões necessárias para concluir ações programaticamente a partir da AWS API ou. AWS CLI Para usar essa política de delegação, substitua o texto AWS do espaço AccountId reservado por suas próprias informações. Em seguida, siga as instruções em Administrador delegado para AWS Organizations.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "DelegatingNecessaryDescribeListActions",
      "Effect": "Allow",
      "Principal": {
        "AWS": "arn:aws:iam::AccountId:root"
      },
      "Action": [
        "organizations:DescribeOrganization",
        "organizations:DescribeOrganizationalUnit",
        "organizations:DescribeAccount",
        "organizations:DescribePolicy",
        "organizations:DescribeEffectivePolicy",
        "organizations:ListRoots",
        "organizations:ListOrganizationalUnitsForParent",
        "organizations:ListParents",
        "organizations:ListChildren",
        "organizations:ListAccounts",
        "organizations:ListAccountsForParent",
        "organizations:ListPolicies",
        "organizations:ListPoliciesForTarget",
        "organizations:ListTargetsForPolicy",
        "organizations:ListTagsForResource"
      ],
      "Resource": "*"
    }
  ]
}

Exemplo: criar, ler, atualizar e excluir políticas

Você pode criar uma política de delegação baseada em recursos que permita que a conta de gerenciamento delegue ações de create, read, update e delete para qualquer tipo de política. Este exemplo mostra como você pode delegar essas ações para políticas de controle de serviço à conta do membro,MemberAccountId. Os dois recursos mostrados no exemplo concedem acesso às políticas de controle de serviços AWS gerenciados e gerenciados pelo cliente, respectivamente.

Importante

Esta política permite que os administradores delegados executem as ações especificadas nas políticas criadas por qualquer conta na organização, incluindo a conta de gerenciamento.

Ela não permite que administradores delegados vinculem ou desvinculem políticas porque não inclui as permissões necessárias para realizar e realizar ações de organizations:AttachPolicy e organizations:DetachPolicy.

Este exemplo de política de delegação concede as permissões necessárias para concluir ações programaticamente a partir da AWS API ou. AWS CLI Substitua o texto AWS do espaço reservado para MemberAccountIdManagementAccountId, e OrganizationId por suas próprias informações. Em seguida, siga as instruções em Administrador delegado para AWS Organizations.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "DelegatingNecessaryDescribeListActions",
      "Effect": "Allow",
      "Principal": {
        "AWS": "arn:aws:iam::MemberAccountId:root"
      },
      "Action": [
        "organizations:DescribeOrganization",
        "organizations:DescribeOrganizationalUnit",
        "organizations:DescribeAccount",
        "organizations:DescribePolicy",
        "organizations:DescribeEffectivePolicy",
        "organizations:ListRoots",
        "organizations:ListOrganizationalUnitsForParent",
        "organizations:ListParents",
        "organizations:ListChildren",
        "organizations:ListAccounts",
        "organizations:ListAccountsForParent",
        "organizations:ListPolicies",
        "organizations:ListPoliciesForTarget",
        "organizations:ListTargetsForPolicy",
        "organizations:ListTagsForResource"
      ],
      "Resource": "*",
      "Condition": {
        "StringLikeIfExists": {
          "organizations:PolicyType": "SERVICE_CONTROL_POLICY"
        }
      }
    },
    {
      "Sid": "DelegatingMinimalActionsForSCPs",
      "Effect": "Allow",
      "Principal": {
        "AWS": "arn:aws:iam::MemberAccountId:root"
      },
      "Action": [
        "organizations:CreatePolicy",
        "organizations:DescribePolicy",
        "organizations:UpdatePolicy",
        "organizations:DeletePolicy"
      ],
      "Resource": [
        "arn:aws:organizations::ManagementAccountId:policy/o-OrganizationId/service_control_policy/*",
        "arn:aws:organizations::aws:policy/service_control_policy/*"
      ]
    }
  ]
}

Exemplo: políticas de marcar e desmarcar

Este exemplo mostra como criar uma política de delegação baseada em recursos que permita que administradores delegados marquem ou desmarquem as políticas de backup. Ele concede as permissões necessárias para concluir ações programaticamente a partir da AWS API ou. AWS CLI

Para usar essa política de delegação, substitua o texto AWS do espaço reservado para MemberAccountIdManagementAccountId, e OrganizationId por suas próprias informações. Em seguida, siga as instruções em Administrador delegado para AWS Organizations.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "DelegatingNecessaryDescribeListActions",
      "Effect": "Allow",
      "Principal": {
        "AWS": "arn:aws:iam::MemberAccountId:root"
      },
      "Action": [
        "organizations:DescribeOrganization",
        "organizations:DescribeOrganizationalUnit",
        "organizations:DescribeAccount",
        "organizations:DescribePolicy",
        "organizations:DescribeEffectivePolicy",
        "organizations:ListRoots",
        "organizations:ListOrganizationalUnitsForParent",
        "organizations:ListParents",
        "organizations:ListChildren",
        "organizations:ListAccounts",
        "organizations:ListAccountsForParent",
        "organizations:ListPolicies",
        "organizations:ListPoliciesForTarget",
        "organizations:ListTargetsForPolicy",
        "organizations:ListTagsForResource"
      ],
      "Resource": "*",
      "Condition": {
        "StringLikeIfExists": {
          "organizations:PolicyType": "BACKUP_POLICY"
        }
      }
    },
    {
      "Sid": "DelegatingTaggingBackupPolicies",
      "Effect": "Allow",
      "Principal": {
        "AWS": "arn:aws:iam::MemberAccountId:root"
      },
      "Action": [
        "organizations:TagResource",
        "organizations:UntagResource"
      ],
      "Resource": "arn:aws:organizations::ManagementAccountId:policy/o-OrganizationId/backup_policy/*"
    }
  ]
}

Exemplo: vincular políticas a uma única OU ou conta

Este exemplo mostra como você pode criar uma política de delegação baseada em recursos que permita que administradores delegados attach ou detach políticas do Organizations de uma unidade organizacional (OU) especificada ou de uma conta específica. Antes de delegar essas ações, você deve delegar as permissões para navegar na estrutura de uma organização e visualizar as contas abaixo dela. Para obter detalhes, consulte Exemplo: Exibir organização OUs, contas e políticas

Importante

  • Embora essa política permita anexar ou desanexar políticas da OU ou conta especificada, ela exclui crianças OUs e contas menores de idade. OUs

  • Essa política permite que os administradores delegados executem as ações especificadas nas políticas criadas por qualquer conta na organização, incluindo a conta de gerenciamento.

Este exemplo de política de delegação concede as permissões necessárias para concluir ações programaticamente a partir da AWS API ou. AWS CLI Para usar essa política de delegação, substitua o texto AWS do espaço reservado para MemberAccountIdManagementAccountId,OrganizationId, e TargetAccountId por suas próprias informações. Em seguida, siga as instruções em Administrador delegado para AWS Organizations.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "DelegatingNecessaryDescribeListActions",
      "Effect": "Allow",
      "Principal": {
        "AWS": "arn:aws:iam::MemberAccountId:root"
      },
      "Action": [
        "organizations:DescribeOrganization",
        "organizations:DescribeOrganizationalUnit",
        "organizations:DescribeAccount",
        "organizations:DescribePolicy",
        "organizations:DescribeEffectivePolicy",
        "organizations:ListRoots",
        "organizations:ListOrganizationalUnitsForParent",
        "organizations:ListParents",
        "organizations:ListChildren",
        "organizations:ListAccounts",
        "organizations:ListAccountsForParent",
        "organizations:ListPolicies",
        "organizations:ListPoliciesForTarget",
        "organizations:ListTargetsForPolicy",
        "organizations:ListTagsForResource"
      ],
      "Resource": "*"
    },
    {
      "Sid": "AttachDetachPoliciesSpecifiedAccountOU",
      "Effect": "Allow",
      "Principal": {
        "AWS": "arn:aws:iam::MemberAccountId:root"
      },
      "Action": [
        "organizations:AttachPolicy",
        "organizations:DetachPolicy"
      ],
      "Resource": [
        "arn:aws:organizations::ManagementAccountId:ou/o-OrganizationId/ou-OUId",
        "arn:aws:organizations::ManagementAccountId:account/o-OrganizationId/TargetAccountId",
        "arn:aws:organizations::ManagementAccountId:policy/o-OrganizationId/backup_policy/*"
      ]
    }
  ]
}

Para delegar a vinculação ou desvinculação de políticas a qualquer OU ou conta nas organizações, substitua o recurso no exemplo anterior pelos seguintes recursos:


"Resource": [
    "arn:aws:organizations::ManagementAccountId:ou/o-OrganizationId/*",
    "arn:aws:organizations::ManagementAccountId:account/o-OrganizationId/*",
    "arn:aws:organizations::ManagementAccountId:policy/o-OrganizationId/backup_policy/*"
]

Exemplo: permissões consolidadas para gerenciar as políticas de backup de uma organização

Este exemplo mostra como você pode criar uma política de delegação baseada em recursos que permite que a conta de gerenciamento delegue todas as permissões necessárias para gerenciar políticas de backup dentro da organização, incluindo as ações create, read, update e delete, bem como as ações da política attach e detach.

Importante

Essa política permite que os administradores delegados executem as ações especificadas nas políticas criadas por qualquer conta na organização, incluindo a conta de gerenciamento.

Este exemplo de política de delegação concede as permissões necessárias para concluir ações programaticamente a partir da AWS API ou. AWS CLI Para usar essa política de delegação, substitua o texto AWS do espaço reservado para MemberAccountIdManagementAccountId,OrganizationId, e RootId por suas próprias informações. Em seguida, siga as instruções em Administrador delegado para AWS Organizations.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "DelegatingNecessaryDescribeListActions",
      "Effect": "Allow",
      "Principal": {
        "AWS": "arn:aws:iam::MemberAccountId:root"
      },
      "Action": [
            "organizations:DescribeOrganization",
            "organizations:DescribeOrganizationalUnit",
            "organizations:DescribeAccount",
            "organizations:ListRoots",
            "organizations:ListOrganizationalUnitsForParent",
            "organizations:ListParents",
            "organizations:ListChildren",
            "organizations:ListAccounts",
            "organizations:ListAccountsForParent",
            "organizations:ListTagsForResource"
        ],
      "Resource": "*"
    },
    {
      "Sid": "DelegatingNecessaryDescribeListActionsForSpecificPolicyType",
      "Effect": "Allow",
      "Principal": {
            "AWS": "arn:aws:iam::MemberAccountId:root"
      },
      "Action": [
            "organizations:DescribePolicy",
            "organizations:DescribeEffectivePolicy",
            "organizations:ListPolicies",
            "organizations:ListPoliciesForTarget",
            "organizations:ListTargetsForPolicy"
      ],
      "Resource": "*",
      "Condition": {
            "StringLikeIfExists": {
                "organizations:PolicyType": "BACKUP_POLICY"
            }
      }
    },
    {
      "Sid": "DelegatingAllActionsForBackupPolicies",
      "Effect": "Allow",
      "Principal": {
      "AWS": "arn:aws:iam::MemberAccountId:root"
    },
      "Action": [
            "organizations:CreatePolicy",
            "organizations:UpdatePolicy",
            "organizations:DeletePolicy",
            "organizations:AttachPolicy",
            "organizations:DetachPolicy",
            "organizations:EnablePolicyType",
            "organizations:DisablePolicyType"
      ],
      "Resource": [
            "arn:aws:organizations::ManagementAccountId:root/o-OrganizationId/r-RootId",
            "arn:aws:organizations::ManagementAccountId:ou/o-OrganizationId/*",
            "arn:aws:organizations::ManagementAccountId:account/o-OrganizationId/*",
            "arn:aws:organizations::ManagementAccountId:policy/o-OrganizationId/backup_policy/*"
      ],
      "Condition": {
            "StringLikeIfExists": {
                "organizations:PolicyType": "BACKUP_POLICY"
            }
      }
    }
  ]
}

Nesta página

PrivacidadeTermos do sitePreferências de cookies
© 2025, Amazon Web Services, Inc. ou suas afiliadas. Todos os direitos reservados.