Ações, recursos e chaves de condição do AWS Organizations - Referência de autorização do serviço

Ações, recursos e chaves de condição do AWS Organizations

O AWS Organizations (prefixo de serviço: organizations) fornece os seguintes recursos, ações e chaves de contexto de condição específicos do serviço para uso em políticas de permissão do IAM.

Referências:

Ações definidas pelo AWS Organizations

Você pode especificar as seguintes ações no elemento Action de uma declaração de política do IAM. Use políticas para conceder permissões para executar uma operação na AWS. Quando usa uma ação em uma política, você geralmente permite ou nega acesso à operação da API ou ao comando da CLI com o mesmo nome. No entanto, em alguns casos, uma única ação controla o acesso a mais de uma operação. Como alternativa, algumas operações exigem várias ações diferentes.

A coluna Resource types (Tipos de recursos) indica se cada ação é compatível com permissões no nível do recurso. Se não houver valor para essa coluna, você deverá especificar todos os recursos ("*") no elemento Resource de sua declaração de política. Se a coluna incluir um tipo de recurso, você poderá especificar um ARN desse tipo em uma declaração com essa ação. Os recursos obrigatórios são indicados na tabela com um asterisco (*). Se você especificar um ARN de permissão no nível do recurso em uma instrução que esteja usando essa ação, ele deverá ser desse tipo. Algumas ações oferecem suporte a vários tipos de recursos. Se o tipo de recurso for opcional (não indicado como obrigatório), você poderá optar por usar um, mas não o outro.

Para obter detalhes sobre as colunas na tabela a seguir, consulte Tabela de ações.

Ações Descrição Nível de acesso Tipos de recursos (*necessários) Chaves de condição Ações dependentes
AcceptHandshake Concede permissão para enviar uma resposta ao originador de um handshake concordando com a ação proposta pela solicitação de handshake Write

handshake*

AttachPolicy Concede permissão para anexar uma política a uma raiz, a uma unidade organizacional ou a uma conta individual Write

policy*

account

organizationalunit

root

organizations:PolicyType

CancelHandshake Concede permissão para cancelar um handshake Write

handshake*

CloseAccount Concede permissão para fechar uma Conta da AWS que agora faz parte de uma Organization, quer tenha sido criada dentro da organização ou convidada a ingressar na organização Write

account*

CreateAccount Concede permissão para criar uma Conta da AWS que é automaticamente um membro da organização com as credenciais que fizeram a solicitação Write

aws:RequestTag/${TagKey}

aws:TagKeys

CreateGovCloudAccount Concede permissão para criar uma conta do AWS GovCloud (EUA) Write

aws:RequestTag/${TagKey}

aws:TagKeys

CreateOrganization Concede permissão para criar uma organização. A conta com as credenciais que chama a operação CreateOrganization torna-se automaticamente a conta de gerenciamento da nova organização Write
CreateOrganizationalUnit Concede permissão para criar uma unidade organizacional (UO) em uma UO raiz ou pai Write

organizationalunit

root

aws:RequestTag/${TagKey}

aws:TagKeys

CreatePolicy Concede permissão para criar uma política que você pode anexar a uma raiz, a uma unidade organizacional (UO) ou a uma Conta da AWS individual Write

organizations:PolicyType

aws:RequestTag/${TagKey}

aws:TagKeys

DeclineHandshake Concede permissão para recusar uma solicitação de handshake. Isso define o estado do handshake como DECLINED (RECUSADO) e desativa efetivamente a solicitação Write

handshake*

DeleteOrganization Concede permissão para excluir a organização Write
DeleteOrganizationalUnit Concede permissão para excluir uma unidade organizacional de uma raiz ou de outra UO Write

organizationalunit*

DeletePolicy Concede permissão para excluir uma política de sua organização Write

policy*

organizations:PolicyType

DeregisterDelegatedAdministrator Concede permissão para cancelar o registro do membro da Conta da AWS especificado como um administrador delegado para o serviço da AWS especificado pelo ServicePrincipal Write

account*

organizations:ServicePrincipal

DescribeAccount Concede permissão para recuperar os detalhes relacionados a organizações sobre a conta especificada Read

account*

DescribeCreateAccountStatus Concede permissão para recuperar o status atual de uma solicitação assíncrona para criar uma conta Read
DescribeEffectivePolicy Concede permissão para recuperar a política efetiva de uma conta Read

account*

organizations:PolicyType

DescribeHandshake Concede permissão para recuperar detalhes sobre um handshake solicitado anteriormente Read

handshake*

DescribeOrganization Concede permissão para recuperar detalhes sobre a organização à qual as credenciais de chamada pertencem Read
DescribeOrganizationalUnit Concede permissão para recuperar detalhes sobre uma unidade organizacional (UO) Read

organizationalunit*

DescribePolicy Concede permissão para recuperar detalhes sobre uma política Read

policy*

organizations:PolicyType

DetachPolicy Concede permissão para desvincular uma política de uma raiz, de uma unidade organizacional ou de uma conta de destino Write

policy*

account

organizationalunit

root

organizations:PolicyType

DisableAWSServiceAccess Concede permissão para desabilitar a integração de um serviço da AWS (o serviço especificado pelo ServicePrincipal) com o AWS Organizations Write

organizations:ServicePrincipal

DisablePolicyType Concede permissão para desabilitar um tipo de política da organização em uma raiz Write

root*

organizations:PolicyType

EnableAWSServiceAccess Concede permissão para habilitar a integração de um serviço da AWS (o serviço especificado pelo ServicePrincipal) com o AWS Organizations Write

organizations:ServicePrincipal

EnableAllFeatures Concede permissão para iniciar o processo de habilitação de todos os recursos de uma organização, atualizando-a de apenas compatibilidade com recursos de faturamento consolidado Write
EnablePolicyType Concede permissão para habilitar um tipo de política em uma raiz Write

root*

organizations:PolicyType

InviteAccountToOrganization Concede permissão para enviar um convite a outra Conta da AWS, solicitando que ingresse em sua organização como uma conta-membro Write

account

aws:RequestTag/${TagKey}

aws:TagKeys

LeaveOrganization Concede permissão para remover uma conta-membro de sua organização-pai Write
ListAWSServiceAccessForOrganization Concede permissão para recuperar a lista de serviços da AWS para os quais você habilitou a integração com sua organização List
ListAccounts Concede permissão para listar todas as contas da organização List
ListAccountsForParent Concede permissão para listar as contas de uma organização que são contidas por uma raiz ou unidade organizacional (UO) List

organizationalunit

root

ListChildren Concede permissão para listar todas as UOs ou contas que estão contidas em uma UO pai ou raiz List

organizationalunit

root

ListCreateAccountStatus Concede permissão para listar as solicitações de criação de contas assíncronas que estão sendo controladas para a organização List
ListDelegatedAdministrators Concede permissão para listar as contas da AWS designadas como administradores delegados nesta organização List

organizations:ServicePrincipal

ListDelegatedServicesForAccount Concede permissão para listar os serviços da AWS para os quais a conta especificada é um administrador delegado nesta organização List

account*

ListHandshakesForAccount Concede permissão para listar todos os handshakes que estão associados a uma conta List
ListHandshakesForOrganization Concede permissão para listar os handshakes que estão associados à organização List
ListOrganizationalUnitsForParent Concede permissão para listar todas as unidades organizacionais (UOs) em uma unidade organizacional pai ou raiz List

organizationalunit

root

ListParents Concede permissão para listar a raiz ou as unidades organizacionais (UOs) que funcionam como o pai imediato de uma UO filho ou de uma conta List

account

organizationalunit

ListPolicies Concede permissão para listar todas as políticas de uma organização List

organizations:PolicyType

ListPoliciesForTarget Concede permissão para listar todas as políticas que estão anexadas diretamente a uma raiz, unidade organizacional (UO) ou uma conta List

account

organizationalunit

root

organizations:PolicyType

ListRoots Concede permissão para listar todas as raízes definidas da organização List
ListTagsForResource Concede permissão para listar todas as etiquetas do recurso especificado List

account

organizationalunit

policy

root

ListTargetsForPolicy Concede permissão para listar todas as raízes, UOs e contas às quais uma política está anexada List

policy*

organizations:PolicyType

MoveAccount Concede permissão para mover uma conta de sua atual raiz ou UO para outra raiz pai ou UO Write

account*

organizationalunit

root

RegisterDelegatedAdministrator Concede permissão para registrar a conta-membro especificada para administrar os recursos do Organizations do serviço da AWS especificados pelo ServicePrincipal Write

account*

organizations:ServicePrincipal

RemoveAccountFromOrganization Concede permissão para remover a conta especificada da organização Write

account*

TagResource Concede permissão para adicionar uma ou mais etiquetas ao recurso especificado Marcação

account

organizationalunit

policy

root

aws:TagKeys

aws:RequestTag/${TagKey}

UntagResource Concede permissão para remover uma ou mais etiquetas do recurso especificado Marcação

account

organizationalunit

policy

root

aws:TagKeys

UpdateOrganizationalUnit Concede permissão para renomear uma unidade organizacional (UO) Write

organizationalunit*

UpdatePolicy Concede permissão para atualizar uma política existente com um novo nome, descrição ou conteúdo Write

policy*

organizations:PolicyType

Tipos de recursos definidos pelo AWS Organizations

Os seguintes tipos de recursos são definidos por este serviço e podem ser usados no elemento Resource de declarações de políticas de permissão do IAM. Cada ação na Tabela de ações identifica os tipos de recursos que podem ser especificados com essa ação. Um tipo de recurso também pode definir quais chaves de condição você pode incluir em uma política. Essas chaves são exibidas na última coluna da tabela. Para obter detalhes sobre as colunas na tabela a seguir, consulte Tabela de tipos de recursos.

Tipos de recursos ARN Chaves de condição
account arn:${Partition}:organizations::${MasterAccountId}:account/o-${OrganizationId}/${AccountId}

aws:ResourceTag/${TagKey}

handshake arn:${Partition}:organizations::${MasterAccountId}:handshake/o-${OrganizationId}/${HandshakeType}/h-${HandshakeId}
organization arn:${Partition}:organizations::${MasterAccountId}:organization/o-${OrganizationId}
organizationalunit arn:${Partition}:organizations::${MasterAccountId}:ou/o-${OrganizationId}/ou-${OrganizationalUnitId}

aws:ResourceTag/${TagKey}

policy arn:${Partition}:organizations::${MasterAccountId}:policy/o-${OrganizationId}/${PolicyType}/p-${PolicyId}

aws:ResourceTag/${TagKey}

awspolicy arn:${Partition}:organizations::aws:policy/${PolicyType}/p-${PolicyId}
root arn:${Partition}:organizations::${MasterAccountId}:root/o-${OrganizationId}/r-${RootId}

aws:ResourceTag/${TagKey}

Chaves de condição do AWS Organizations

O AWS Organizations define as seguintes chaves de condição que podem ser usadas no elemento Condition de uma política do IAM. É possível usar essas chaves para refinar ainda mais as condições sob as quais a declaração de política se aplica. Para obter detalhes sobre as colunas na tabela a seguir, consulte Tabela de chaves de condição.

Para visualizar as chaves de condição globais disponíveis para todos os serviços, consulte Chaves de condição globais disponíveis.

Chaves de condição Descrição Type
aws:RequestTag/${TagKey} Filtra o acesso pelas etiquetas que são transmitidas na solicitação String
aws:ResourceTag/${TagKey} Filtra o acesso pelas etiquetas associadas ao recurso String
aws:TagKeys Filtra o acesso pelas chaves da etiqueta que são transmitidas na solicitação ArrayOfString
organizations:PolicyType Filtra o acesso pelos nomes de tipo de política especificado String
organizations:ServicePrincipal Filtra o acesso pelos nomes de entidade principal de serviço especificada String