了解 API 操作模式 - AWS 帳戶管理
授與更新帳號屬性的權限

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

了解 API 操作模式

與一起使用的 API 操作AWS 帳戶的屬性始終在兩種操作模式之一下工作:

  • 獨立內容— 當帳號中的使用者或角色存取或變更中的帳號屬性時,會使用此模式相同帳戶。獨立前後關聯模式會在您時自動使用Don't (不)包括AccountId當您調用其中一個帳戶管理時的參數AWS CLI或者AWS開發套件作業。

  • Organizations 內容— 當組織中某個帳號的使用者或角色存取或變更同一組織中不同成員帳戶中的帳號屬性時,會使用此模式。當您時,會自動使用組織前後關聯模式包括AccountId當您調用其中一個帳戶管理時的參數AWS CLI或者AWS開發套件作業。您只能從組織的管理帳戶或帳戶管理的委派管理員帳戶呼叫此模式下的作業。

所以此AWS CLI和AWSSDK 操作可以在獨立或組織內容中工作。

  • 如果您Don't (不)包括AccountId參數,則作業會在獨立內容中執行,並自動將要求套用至您用來提出要求的帳戶。無論帳戶是否為組織的成員,都是如此。

  • 如果您確實包含AccountId參數,則作業會在 Organizations 前後關聯中執行,而作業會在指定的「組織」帳戶上運作。

    • 如果呼叫作業的帳戶是帳戶管理服務的管理帳戶或委派管理員帳戶,則您可以在AccountId參數以更新指定帳戶。

    • 組織中唯一可呼叫其中一個替代聯絡人作業,並在AccountId參數是指定為委派管理員帳戶用於帳戶管理服務。任何其他帳戶,包括管理帳戶,都會收到AccessDenied例外狀況。

  • 如果您以獨立模式執行作業,則必須允許您使用包含Resource任一元素"*"允許所有資源,或使用獨立帳戶語法的 ARN

  • 如果您在組織模式下執行作業,則必須允許您使用包含Resource任一元素"*"允許所有資源,或ARN,使用組織的成員帳戶的語法

授與更新帳號屬性的權限

與大多數人一樣AWS作業時,您授與新增、更新或刪除帳號屬性的權限AWS 帳戶通過使用IAM 許可政策。將 IAM 許可政策附加到 IAM 主體 (使用者或角色) 時,您可以指定主體在何種條件下對哪些資源執行哪些動作。

以下是建立權限原則時的一些帳戶管理特定考量事項。

的 Amazon Resource ource ource ource ource ource ource ource ource ourceAWS 帳戶

  • 所以此Amazon Resource Name (ARN)對於一個AWS 帳戶您可以包含在resource根據您要參考的科目是獨立科目還是組織中的科目,建構政策陳述式的要素會有所不同。請參閱上一節:了解 API 操作模式

    • 獨立帳戶的帳戶 ARN:

      arn:aws:account::{AccountId}:account

      在獨立模式下執行帳號屬性作業時,必須使用此格式,但不包括AccountID參數。

    • 組織的成員帳戶的帳戶 ARN:

      arn:aws:account::{ManagementAccountId}:account/o-{OrganizationId}/{AccountId}

      當您以組織模式執行帳號屬性作業時,必須使用此格式,方法是包含AccountID參數。

IAM 政策的上下文金鑰

帳戶管理服務還提供了幾種帳戶管理服務特定的條件金鑰提供對您授予權限的精細控制。

account:AccountResourceOrgPaths

上下文鍵account:AccountResourceOrgPaths可讓您指定通過組織階層到特定組織單位 (OU) 的路徑。只有該 OU 所包含的成員帳戶符合條件。下列範例程式碼片段限制策略僅套用至位於兩個指定 OU 中任何一個的帳戶。

由於account:AccountResourceOrgPaths是多值字串類型,您必須使用ForAnyValue或者ForAllValues多值字串運算子。另外,請注意,條件鍵上的前綴是account,即使您正在參考組織中 OU 的路徑。

"Condition": {
    "ForAnyValue:StringLike": {
        "account:AccountResourceOrgPaths": [
            "o-aa111bb222/r-a1b2/ou-a1b2-f6g7h111/*", 
            "o-aa111bb222/r-a1b2/ou-a1b2-f6g7h222/*"
        ]
    }
}

account:AccountResourceOrgTags

上下文鍵account:AccountResourceOrgTags可讓您參考可附加至組織中帳號的標籤。標籤是索引鍵/值字串配對,可用來對帳戶中的資源進行分類和標記。如需標記的詳細資訊,請參閱Tag Editor中的AWS Resource Groups使用者指南。如需有關使用標籤作為屬性型存取控制策略的一部分的資訊,請參閱的 ABAC 是什麼AWS中的IAM User Guide。下列範例程式碼片段限制策略僅套用至組織中具有金鑰標籤的帳號project和任何一個blue或者red

由於account:AccountResourceOrgTags是多值字串類型,您必須使用ForAnyValue或者ForAllValues多值字串運算子。另外,請注意,條件鍵上的前綴是account,即使您在組織的成員帳戶上引用了標籤。

"Condition": {
    "ForAnyValue:StringLike": {
        "account:AccountResourceOrgTags/project": [
            "blue", 
            "red"
        ]
    }
}
注意

您只能將標籤附加至組織中的帳戶。您無法將標籤附加到獨立AWS 帳戶。