Amazon Organizations 的操作、资源和条件键 - 服务授权参考
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

Amazon Organizations 的操作、资源和条件键

Amazon Organizations(服务前缀:organizations)提供以下服务特定的资源、操作和条件上下文键以在 IAM 权限策略中使用。

参考:

Amazon Organizations 定义的操作

您可以在 IAM policy 语句的 Action 元素中指定以下操作。可以使用策略授予在 Amazon 中执行操作的权限。您在策略中使用一项操作时,通常使用相同的名称允许或拒绝对 API 操作或 CLI 命令的访问。但在某些情况下,单一动作可控制对多项操作的访问。还有某些操作需要多种不同的动作。

操作表的资源类型列指示每项操作是否支持资源级权限。如果该列没有任何值,您必须在策略语句的 Resource 元素中指定策略应用的所有资源(“*”)。通过在 IAM policy 中使用条件来筛选访问权限,以控制是否可以在资源或请求中使用特定标签键。如果操作具有一个或多个必需资源,则调用方必须具有使用这些资源来使用该操作的权限。必需资源在表中以星号 (*) 表示。如果您在 IAM policy 中使用 Resource 元素限制资源访问权限,则必须为每种必需的资源类型添加 ARN 或模式。某些操作支持多种资源类型。如果资源类型是可选的(未指示为必需),则可以选择使用一种可选资源类型。

操作表的条件键列包括可以在策略语句的 Condition 元素中指定的键。有关与服务资源关联的条件键的更多信息,请参阅资源类型表的条件键列。

注意

资源条件键在资源类型表中列出。您可以在操作表的资源类型(* 为必需)列中找到应用于某项操作的资源类型的链接。资源类型表中的资源类型包括条件密钥列,这是应用于操作表中操作的资源条件键。

有关下表中各列的详细信息,请参阅操作表

操作 描述 访问级别 资源类型(* 为必需) 条件键 相关操作
AcceptHandshake 授予权限,向握手发起方发送响应,同意握手请求建议的操作 Write

handshake*

iam:CreateServiceLinkedRole

AttachPolicy 授予权限,将策略附加到根、组织单位或单个账户 Write

policy*

account

organizationalunit

root

organizations:PolicyType

CancelHandshake 授予权限,取消握手 Write

handshake*

CloseAccount 授予权限,关闭目前已成为 Organizations 一部分的 Amazon Web Services 账户,其在组织内创建或受邀请加入该组织 Write

account*

CreateAccount 授予权限以创建 Amazon Web Services 账户,该账户可自动成为组织成员,具有发出请求的凭证 Write

aws:RequestTag/${TagKey}

aws:TagKeys

CreateGovCloudAccount 授予权限以创建 Amazon GovCloud (US) 账户 Write

aws:RequestTag/${TagKey}

aws:TagKeys

CreateOrganization 授予创建组织的权限。账户如果具有自动调用 CreateOrganization 操作的凭证,则会成为新组织的管理账户 Write

iam:CreateServiceLinkedRole

CreateOrganizationalUnit 授予权限,在根或父级组织单位 (OU) 中创建 OU Write

organizationalunit

root

aws:RequestTag/${TagKey}

aws:TagKeys

CreatePolicy 授予权限以创建可附加到根、组织单位 (OU) 或单个 Amazon Web Services 账户 的策略 Write

organizations:PolicyType

aws:RequestTag/${TagKey}

aws:TagKeys

DeclineHandshake 授予拒绝握手请求的权限。它会将握手状态设为 DECLINED,有效地停用请求 Write

handshake*

DeleteOrganization 授予删除组织的权限 Write
DeleteOrganizationalUnit 授予权限,从根或另一 OU 删除组织单位 Write

organizationalunit*

DeletePolicy 授予权限,删除您的组织的策略 Write

policy*

organizations:PolicyType

DeleteResourcePolicy 授予删除您的组织的资源策略的权限 Write
DeregisterDelegatedAdministrator 授予权限以将指定成员 Amazon Web Services 账户 注销为 ServicePrincipal 指定的 Amazon 服务的委派管理员 Write

account*

organizations:ServicePrincipal

DescribeAccount 授予权限,检索特定账户与企业相关的详情 Read

account*

DescribeCreateAccountStatus 授予权限,检索创建账户的异步请求的最新状态 Read
DescribeEffectivePolicy 授予权限以检索账户的有效策略 Read

account*

organizations:PolicyType

DescribeHandshake 授予权限,检索上次握手请求的详细信息 Read

handshake*

DescribeOrganization 授予权限,检索调用凭证所属组织的详细信息 Read
DescribeOrganizationalUnit 授予权限,检索组织单位 (OU) 的相关详情 Read

organizationalunit*

DescribePolicy 授予权限,检索有关策略的详情 Read

policy*

organizations:PolicyType

DescribeResourcePolicy 授予检索资源策略信息的权限 Read
DetachPolicy 授予权限,将策略从目标根、组织单位或账户分离 Write

policy*

account

organizationalunit

root

organizations:PolicyType

DisableAWSServiceAccess 授予权限,禁用 Amazon 服务(由 ServicePrincipal 指定的服务)与 Amazon Organizations 的集成 Write

organizations:ServicePrincipal

DisablePolicyType 授予权限,禁用根中的组织策略类型 Write

root*

organizations:PolicyType

EnableAWSServiceAccess 授予权限,启用 Amazon 服务(由 ServicePrincipal 指定的服务)与 Amazon Organizations 的集成 Write

organizations:ServicePrincipal

EnableAllFeatures 授予权限,开始启用组织中所有功能的过程。升级仅支持整合账单功能的组织 Write
EnablePolicyType 授予权限,启用根中的策略类型 Write

root*

organizations:PolicyType

InviteAccountToOrganization 授予权限以向另一Amazon Web Services 账户发送邀请,要求它作为成员账户加入您的组织 Write

account

aws:RequestTag/${TagKey}

aws:TagKeys

LeaveOrganization 授予权限,将成员账户从其父组织中移除 Write
ListAWSServiceAccessForOrganization 授予权限,检索与您的组织启用集成的 Amazon 服务列表 List
ListAccounts 授予权限,列出组织中的所有账户 List
ListAccountsForParent 授予权限,列出组织中包含于根或组织单位 (OU) 之中的账户列表 List

organizationalunit

root

ListChildren 授予权限,列出父级 OU 或根中的所有 OU 或账户 List

organizationalunit

root

ListCreateAccountStatus 授予权限,列出组织当前跟踪的账户创建异步请求 List
ListDelegatedAdministrators 授予权限以列出此组织中指定为委派管理员的 Amazon 账户 List

organizations:ServicePrincipal

ListDelegatedServicesForAccount 授予权限以列出指定账户是此组织中的委派管理员的 Amazon 服务 List

account*

ListHandshakesForAccount 授予权限,列出与某一账户关联的所有握手 List
ListHandshakesForOrganization 授予权限,列出与组织关联的握手 List
ListOrganizationalUnitsForParent 授予权限,列出父级组织单位或根中的所有组织单位 (OU) List

organizationalunit

root

ListParents 授予权限,列出根或组织单位 (OU),它们作为子 OU 或账户的直接父级 List

account

organizationalunit

ListPolicies 授予权限,列出组织中的所有策略 List

organizations:PolicyType

ListPoliciesForTarget 授予权限,列出直接附加到根、组织单位 (OU) 或账户的所有策略 List

account

organizationalunit

root

organizations:PolicyType

ListRoots 授予权限,列出组织中定义的所有根 List
ListTagsForResource 授予权限以列出指定资源的所有标签 List

account

organizationalunit

policy

resourcepolicy

root

ListTargetsForPolicy 授予权限,列出某一策略附加到的所有根、OU 和账户 List

policy*

organizations:PolicyType

MoveAccount 授予权限,将账户从其当前的根或 OU 移动至另一父级根或 OU Write

account*

organizationalunit

root

PutResourcePolicy 授予权限以创建或更新资源策略 Write

resourcepolicy*

aws:RequestTag/${TagKey}

aws:TagKeys

RegisterDelegatedAdministrator 授予权限以注册指定成员账户,从而管理 ServicePrincipal 指定的 Amazon 服务的 Organizations 功能 Write

account*

organizations:ServicePrincipal

RemoveAccountFromOrganization 授予权限,从组织中移除指定账户 Write

account*

TagResource 授予将一个或多个标签添加到指定资源的权限 Tagging

account

organizationalunit

policy

resourcepolicy

root

aws:TagKeys

aws:RequestTag/${TagKey}

UntagResource 授予从指定资源中删除一个或多个标签的权限 Tagging

account

organizationalunit

policy

resourcepolicy

root

aws:TagKeys

UpdateOrganizationalUnit 授予权限,将组织单位 (OU) 重命名 Write

organizationalunit*

UpdatePolicy 授予权限,使用新的名称、描述或内容更新现有策略 Write

policy*

organizations:PolicyType

Amazon Organizations 定义的资源类型

以下资源类型是由该服务定义的,可以在 IAM 权限策略语句的 Resource 元素中使用这些资源类型。操作表中的每个操作指定了可以使用该操作指定的资源类型。您也可以在策略中包含条件键,从而定义资源类型。这些键显示在资源类型表的最后一列。有关下表中各列的详细信息,请参阅资源类型表

资源类型 ARN 条件键
account arn:${Partition}:organizations::${Account}:account/o-${OrganizationId}/${AccountId}

aws:ResourceTag/${TagKey}

handshake arn:${Partition}:organizations::${Account}:handshake/o-${OrganizationId}/${HandshakeType}/h-${HandshakeId}
organization arn:${Partition}:organizations::${Account}:organization/o-${OrganizationId}
organizationalunit arn:${Partition}:organizations::${Account}:ou/o-${OrganizationId}/ou-${OrganizationalUnitId}

aws:ResourceTag/${TagKey}

policy arn:${Partition}:organizations::${Account}:policy/o-${OrganizationId}/${PolicyType}/p-${PolicyId}

aws:ResourceTag/${TagKey}

resourcepolicy arn:${Partition}:organizations::${Account}:resourcepolicy/o-${OrganizationId}/rp-${ResourcePolicyId}

aws:ResourceTag/${TagKey}

awspolicy arn:${Partition}:organizations::aws:policy/${PolicyType}/p-${PolicyId}
root arn:${Partition}:organizations::${Account}:root/o-${OrganizationId}/r-${RootId}

aws:ResourceTag/${TagKey}

Amazon Organizations 的条件键

Amazon Organizations 定义以下可以在 IAM policy 的 Condition 元素中使用的条件键。您可以使用这些键进一步细化应用策略语句的条件。有关下表中各列的详细信息,请参阅条件键表

要查看适用于所有服务的全局条件键,请参阅可用的全局条件键

条件键 描述 类型
aws:RequestTag/${TagKey} 按请求中传递的标签筛选访问权限 字符串
aws:ResourceTag/${TagKey} 按与资源关联的标签筛选访问权限 字符串
aws:TagKeys 按请求中传递的标签键筛选访问权限 字符串数组
organizations:PolicyType 按指定的策略类型名称筛选访问 字符串
organizations:ServicePrincipal 按指定的服务主体名称筛选访问 字符串