委派的管理員 AWS Organizations

建議您僅將 AWS Organizations 管理帳戶及其使用者和角色用於必須由該帳戶執行的工作。我們也建議您將 AWS 資源存放在組織內其他成員帳戶中，且將其保存在管理帳戶之外。這是因為安全性功能 (例如 Organizations 服務控制政策 (SCP)) 不會限制管理帳戶中的使用者或角色。

從組織的管理帳戶，您可以將 Organizations 的政策管理委派給指定的成員帳戶，以執行預設僅適用於管理帳戶的政策動作。

建立或更新以資源為基礎的委派政策

從管理帳戶中，為組織建立或更新以資源為基礎的委派政策，並新增可指定哪些成員帳戶可對政策執行動作的陳述式。您可以在政策中新增多個陳述式，以表示成員帳戶的不同許可集。

最低許可

若要建立或更新以資源為基礎的委派政策，您需要具有下列動作的執行許可：

• organizations:PutResourcePolicy

• organizations:DescribeResourcePolicy

此外，您必須授與委派管理員帳戶中的角色和使用者對應的 IAM 許可，以執行必要動作。如果沒有 IAM 許可，則假設呼叫主體沒有管理 AWS Organizations 政策的必要許可。

AWS Management Console

使用以下其中一個方法，在 AWS Management Console 中將陳述式新增至以資源為基礎的委派政策：

• JSON 政策 – 貼上並自訂要在帳戶中使用的以資源為基礎的委派政策範例，或在 JSON 編輯器中輸入您自己的 JSON 政策文件。

• 視覺化編輯器 – 在視覺化編輯器中建構新的委派政策，此政策會引導您建立委派政策，而不需要撰寫 JSON 語法。

使用 JSON 政策編輯器來建立或更新委派政策

1. 登入 AWS Organizations 主控台。您必須以 IAM 使用者登入、擔任 IAM 角色，或是以組織管理帳戶中的根使用者 (不建議) 身分登入。

2. 選擇設定。

3. 在 AWS Organizations的委派管理員區段中，選擇委派以建立 Organizations 委派政策。若要更新現有的委派政策，請選擇 Edit (編輯)。

4. 輸入或貼上 JSON 政策文件。如需有關 IAM 政策語言的詳細資訊，請參閱 IAM JSON 政策參考。

5. 解決政策驗證期間產生的任何安全性警告、錯誤或一般性警告，然後選擇 Create policy (建立政策) 以儲存工作。

使用視覺化編輯器來建立或更新委派政策

1. 登入 AWS Organizations 主控台。您必須以 IAM 使用者登入、擔任 IAM 角色，或是以組織管理帳戶中的根使用者 (不建議) 身分登入。

2. 選擇設定。

3. 在 AWS Organizations的委派管理員區段中，選擇委派以建立 Organizations 委派政策。若要更新現有的委派政策，請選擇 Edit (編輯)。

4. 在 Create Delegation policy (建立委派政策) 頁面上，選擇 Add new statement (新增陳述式)。

5. 將 Effect (效果) 設定為 Allow。

6. 新增 Principal 以定義您要委派的成員帳戶。如需有關語法的詳細資訊，請參閱 以資源為基礎的委派政策範例。

7. 從 Actions (動作) 清單中，選擇您要委派的動作。您可使用 Filter actions (篩選動作)，以縮減選項。

8. 若要指定委派的成員帳戶是否可將政策連接至組織根目錄或組織單位 (OU)，請設定 Resources。您也必須選取 policy 作為資源類型。如需其他詳細資訊，請參閱 以資源為基礎的委派政策範例。您可採用以下方式來指定資源：

   • 選擇 Add a resource (新增資源)，並按照對話方塊中的提示建構 Amazon Resource Name (ARN)。

   • 在編輯器中手動列出資源 ARN。如需 ARN 語法的詳細資訊，請參閱《 AWS 一般參考指南》中的 Amazon 資源名稱 (ARN)。如需有關在政策資源元素中使用 ARN 的詳細資訊，請參閱 IAM JSON 政策元素：Resource。

9. 選擇 Add a condition (新增條件) 以指定其他條件，包括您要委派的政策類型。選擇條件的 Condition key (條件索引鍵)、Tag key (標籤索引鍵)、Qualifier (修飾詞) 以及 Operator (運算子)，然後輸入 Value。如需其他詳細資訊，請參閱以資源為基礎的委派政策範例。完成時，請選擇 Add condition (新增條件)。如需有關 Condition (條件) 元素的詳細資訊，請參閱 IAM JSON 政策參考中的 IAM JSON 政策元素：Condition。

10. 若要新增更多許可區塊，請選擇 Add new statement (新增陳述式)。針對每個區塊皆重複步驟 5 到 9。

11. 解決政策驗證期間產生的任何安全性警告、錯誤或一般性警告，然後選擇 Create policy (建立政策) 以儲存工作。

AWS CLI & AWS SDKs

建立或更新委派政策

您可以使用下列命令來建立或更新委派政策：

• AWS CLI: put-resource-policy

  以下範例會建立或更新委派政策。

  $ aws organizations put-resource-policy --content
  {
      "Version": "2012-10-17",
      "Statement": [
          {
              "Sid": "Fully_manage_backup_policies",
              "Effect": "Allow",
              "Principal": {
                  "AWS": "135791357913"
              }
              "Action": [
                  "organizations:DescribeOrganization",
                  "organizations:ListAccounts",
                  "organizations:CreatePolicy",
                  "organizations:DescribePolicy",
                  "organizations:UpdatePolicy",
                  "organizations:DeletePolicy",
                  "organizations:AttachPolicy",
                  "organizations:DetachPolicy"
              ],
              "Resource": [
                  "arn:aws:organizations::246802468024:root/o-abcdef/r-pqrstu",
                  "arn:aws:organizations::246802468024:ou/o-abcdef/*",
                  "arn:aws:organizations::246802468024:account/o-abcdef/*",
                  "arn:aws:organizations::246802468024:organization/policy/backup_policy/*",
              ],
              "Condition": {
                  "StringLikeIfExists": {
                      "organizations:PolicyType": [
                          "BACKUP_POLICY"
                      ]
                  }
              }
          }
      ]
  }

• AWS 開發套件：PutResourcePolicy

支援的委派政策動作

委派政策支援下列動作：

• AttachPolicy

• CreatePolicy

• DeletePolicy

• DescribeAccount

• DescribeCreateAccountStatus

• DescribeEffectivePolicy

• DescribeHandshake

• DescribeOrganization

• DescribeOrganizationalUnit

• DescribePolicy

• DescribeResourcePolicy

• DetachPolicy

• DisablePolicyType

• EnablePolicyType

• ListAccounts

• ListAccountsForParent

• ListAWSServiceAccessForOrganization

• ListChildren

• ListCreateAccountStatus

• ListDelegatedAdministrators

• ListDelegatedServicesForAccount

• ListHandshakesForAccount

• ListHandshakesForOrganization

• ListOrganizationalUnitsForParent

• ListParents

• ListPolicies

• ListPoliciesForTarget

• ListRoots

• ListTagsForResource

• ListTargetsForPolicy

• TagResource

• UntagResource

• UpdatePolicy

支援的條件鍵

只有受支援的條件金鑰 AWS Organizations 可用於委派原則。如需詳細資訊，請參閱服務授權參考 AWS Organizations中的條件金鑰。

檢視以資源為基礎的委派政策

在管理帳戶中，檢視組織的以資源為基礎的委派政策，以了解哪些委派管理員有存取權，可管理哪些政策類型。

最低許可

若要檢視以資源為基礎的委派政策，您需要具有下列動作的執行許可：organizations:DescribeResourcePolicy。

AWS Management Console

檢視委派政策

1. 登入 AWS Organizations 主控台。您必須以 IAM 使用者登入、擔任 IAM 角色，或是以組織管理帳戶中的根使用者 (不建議) 身分登入。

2. 選擇設定。

3. 在 AWS Organizations的委派管理員區段中，捲動以檢視完整的委派政策。

AWS CLI & AWS SDKs

檢視委派政策

您可以使用下列命令來檢視委派政策：

• AWS CLI: describe-resource-policy

  以下範例會擷取政策。

  $ aws organizations describe-resource-policy

• AWS 開發套件：DescribeResourcePolicy

刪除以資源為基礎的委派政策

當您不再需要委派組織中的政策管理時，可以從組織的管理帳戶中刪除以資源為基礎的委派政策。

重要

如果刪除以資源為基礎的委派政策，則無法將其復原。

最低許可

若要刪除以資源為基礎的委派政策，您需要具有下列動作的執行許可：organizations:DeleteResourcePolicy。

AWS Management Console

刪除委派政策

1. 登入 AWS Organizations 主控台。您必須以 IAM 使用者登入、擔任 IAM 角色，或是以組織管理帳戶中的根使用者 (不建議) 身分登入。

2. 選擇設定。

3. 在 AWS Organizations的委派管理員區段，選擇刪除。

4. 在 Delete policy (刪除政策) 確認對話方塊中，輸入 delete。然後，選擇 Delete policy (刪除政策)。

AWS CLI & AWS SDKs

刪除委派政策

您可以使用下列項命令來刪除委派政策：

• AWS CLI: delete-resource-policy

  以下範例會刪除政策。

  $ aws organizations delete-resource-policy

• AWS 開發套件：DeleteResourcePolicy