AWS 的托管策略 AWS Organizations - AWS Organizations
AWS 托管IAM策略AWS 托管服务控制策略

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

AWS 的托管策略 AWS Organizations

本节确定了 AWS-提供的托管策略供您用来管理您的组织。您无法修改或删除 AWS 托管策略,但您可以根据需要将它们附加到组织中的实体或将其分离。

AWS Organizations 用于的托管策略 AWS Identity and Access Management (IAM)

IAM托管策略由提供和维护 AWS。 托管策略提供常见任务的权限,您可以通过将托管策略附加到相应的用户或角色对象来分配给您的IAM用户。你不必自己写保单,也不必在什么时候写保单 AWS 根据需要更新政策以支持新服务,您可以自动立即从更新中受益。你可以看到清单 AWS IAM控制台上的 “策略” 页面中的托管策略。使用筛选策略下拉列表进行选择 AWS 管理

您可以使用以下托管式策略向组织中的用户授予权限。

策略名称 描述 ARN
AWSOrganizationsFullAccess

提供创建和完全管理组织所需的所有权限。

查看政策:AWSOrganizationsFullAccess.

 arn: aws: iam:: aws: policy/ AWSOrganizationsFullAccess
AWSOrganizationsReadOnlyAccess

提供对组织信息的只读访问权限。它不允许用户进行任何更改。

查看政策:AWSOrganizationsReadOnlyAccess.

 arn: aws: iam:: aws: policy/ AWSOrganizationsReadOnlyAccess

Organiations AWS 托管策略

下表详细说明了以下内容的更新 AWS 管理策略,因为该服务开始跟踪这些更改。要获得有关此页面变更的自动提醒,请订阅 RSS Feed AWS Organizations “文档历史记录” 页面

更改 描述 日期

AWSOrganizationsReadOnlyAccess— 更新为允许查看根用户电子邮件地址所需的账户API权限。

Org account:GetPrimaryEmail anizations 添加了允许查看组织中任何成员账户的根用户电子邮件地址的account:GetRegionOptStatus操作,以及允许访问组织中任何成员账户的已启用区域的操作。

2024 年 6 月 6 日

AWSOrganizationsFullAccess— 更新为包括描述政策声明的Sid元素。

Organizations 为AWSOrganizationsFullAccess托管策略添加了Sid元素。

2024年2月6日

AWSOrganizationsReadOnlyAccess— 更新为包括描述政策声明的Sid元素。

Organizations 为AWSOrganizationsReadOnlyAccess托管策略添加了Sid元素。

2024年2月6日

AWSOrganizationsFullAccess— 更新为允许启用或禁用所需的账户API权限 AWS 区域 通过 Organiations 控制台。

Organizations 添加了针对策略的 account:ListRegionsaccount:EnableRegionaccount:DisableRegion 操作,以启用写入访问权限,来启用或禁用账户的区域。

2022 年 12 月 22 日

AWSOrganizationsReadOnlyAccess— 更新为允许发布API商品所需的账户权限 AWS 区域 通过 Organiations 控制台。

Organizations 添加了针对策略的 account:ListRegions 操作,以启用查看账户区域的访问权限。

2022 年 12 月 22 日

AWSOrganizationsFullAccess— 更新为允许通过 Organizations 控制台添加或编辑账户联系人所需的账户API权限。

Organizations 添加了针对策略的 account:GetContactInformationaccount:PutContactInformation 操作,以启用用于修改账户联系人的写入访问权限。

2022 年 10 月 21 日

AWSOrganizationsReadOnlyAccess— 更新为允许通过 Organizations 控制台查看账户联系人所需的账户API权限。

Organizations 添加了针对策略的 account:GetContactInformation 操作,以启用用于查看账户联系人的访问权限。

2022 年 10 月 21 日

AWSOrganizationsFullAccess— 已更新以允许创建组织。

Organizations 为策略添加了 CreateServiceLinkedRole 权限,以启用创建组织所需的服务相关角色创建权限。权限仅限于创建一个角色,该角色只能由 organizations.amazonaws.com 服务使用。

2022 年 8 月 24 日

AWSOrganizationsFullAccess— 更新为允许通过 Organizations 控制台添加、编辑或删除账户备用联系人所需的账户API权限。

Organizations 添加了针对策略的 account:GetAlternateContactaccount:DeleteAlternateContactaccount:PutAlternateContact 操作,以启用用于修改账户备用联系人的写访问权限。

2022 年 2 月 7 日

AWSOrganizationsReadOnlyAccess— 更新为允许通过 Organizations 控制台查看账户备用联系人所需的账户API权限。

Organizations 添加了针对策略的 account:GetAlternateContact 操作,以启用用于查看账户备用联系人的访问权限。

2022 年 2 月 7 日

AWS Organizations 托管服务控制策略

服务控制策略 (SCPs) 与IAM权限策略类似,但它具有以下特性 AWS Organizations 而不是IAM。您可以使用指定SCPs受影响实体的最大权限。您可以附加SCPs到组织中的根目录、组织单位 (OUs) 或帐户。您可以创建自己的策略,也可以使用IAM定义的策略。您可以在 Organizations 控制台的 Policies (策略) 页面上查看组织中的策略列表。

重要

每个 root、OU 和账户必须始终至少SCP关联一个。

策略名称 描述 ARN
F ullAWSAccess 提供 AWS Organizations 管理账户对成员账户的访问权限。 arn: aws: 组织:: aws: policy/service_control_policy/P-F ullAWSAccess