本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
委派的管理員 AWS Organizations
建議您僅將 AWS Organizations 管理帳戶及其使用者和角色用於必須由該帳戶執行的工作。我們也建議您將 AWS 資源存放在組織內其他成員帳戶中,且將其保存在管理帳戶之外。這是因為安全性功能 (例如 Organizations 服務控制政策 (SCP)) 不會限制管理帳戶中的使用者或角色。
從組織的管理帳戶,您可以將 Organizations 的政策管理委派給指定的成員帳戶,以執行預設僅適用於管理帳戶的政策動作。
建立或更新以資源為基礎的委派政策
從管理帳戶中,為組織建立或更新以資源為基礎的委派政策,並新增可指定哪些成員帳戶可對政策執行動作的陳述式。您可以在政策中新增多個陳述式,以表示成員帳戶的不同許可集。
最低許可
若要建立或更新以資源為基礎的委派政策,您需要具有下列動作的執行許可:
-
organizations:PutResourcePolicy
-
organizations:DescribeResourcePolicy
此外,您必須授與委派管理員帳戶中的角色和使用者對應的 IAM 許可,以執行必要動作。如果沒有 IAM 許可,則假設呼叫主體沒有管理 AWS Organizations 政策的必要許可。
支援的委派政策動作
委派政策支援下列動作:
-
AttachPolicy
-
CreatePolicy
-
DeletePolicy
-
DescribeAccount
-
DescribeCreateAccountStatus
-
DescribeEffectivePolicy
-
DescribeHandshake
-
DescribeOrganization
-
DescribeOrganizationalUnit
-
DescribePolicy
-
DescribeResourcePolicy
-
DetachPolicy
-
DisablePolicyType
-
EnablePolicyType
-
ListAccounts
-
ListAccountsForParent
-
ListAWSServiceAccessForOrganization
-
ListChildren
-
ListCreateAccountStatus
-
ListDelegatedAdministrators
-
ListDelegatedServicesForAccount
-
ListHandshakesForAccount
-
ListHandshakesForOrganization
-
ListOrganizationalUnitsForParent
-
ListParents
-
ListPolicies
-
ListPoliciesForTarget
-
ListRoots
-
ListTagsForResource
-
ListTargetsForPolicy
-
TagResource
-
UntagResource
-
UpdatePolicy
支援的條件鍵
只有受支援的條件金鑰 AWS Organizations 可用於委派原則。如需詳細資訊,請參閱服務授權參考 AWS Organizations中的條件金鑰。
檢視以資源為基礎的委派政策
在管理帳戶中,檢視組織的以資源為基礎的委派政策,以了解哪些委派管理員有存取權,可管理哪些政策類型。
最低許可
若要檢視以資源為基礎的委派政策,您需要具有下列動作的執行許可:organizations:DescribeResourcePolicy
。
刪除以資源為基礎的委派政策
當您不再需要委派組織中的政策管理時,可以從組織的管理帳戶中刪除以資源為基礎的委派政策。
重要
如果刪除以資源為基礎的委派政策,則無法將其復原。
最低許可
若要刪除以資源為基礎的委派政策,您需要具有下列動作的執行許可:organizations:DeleteResourcePolicy
。