本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
使用创建或更新基于资源的委托策略 Amazon Organizations
在管理账户中,为您的组织创建或更新基于资源的委托策略,并添加一条语句,指定哪些成员账户可以对策略执行操作。您可以在策略中添加多个语句来表示成员账户的不同权限集。
最小权限
要创建或更新基于资源的委托策略,您需要运行以下操作的权限:
-
organizations:PutResourcePolicy
-
organizations:DescribeResourcePolicy
此外,您必须向委派管理员账户中的角色和用户授予执行所需操作的相应IAM权限。如果没有IAM权限,则假设调用方没有所需的管理权限 Amazon Organizations 政策。
支持的委托策略操作
委托策略支持以下操作:
-
AttachPolicy
-
CreatePolicy
-
DeletePolicy
-
DescribeAccount
-
DescribeCreateAccountStatus
-
DescribeEffectivePolicy
-
DescribeHandshake
-
DescribeOrganization
-
DescribeOrganizationalUnit
-
DescribePolicy
-
DescribeResourcePolicy
-
DetachPolicy
-
DisablePolicyType
-
EnablePolicyType
-
ListAccounts
-
ListAccountsForParent
-
ListAWSServiceAccessForOrganization
-
ListChildren
-
ListCreateAccountStatus
-
ListDelegatedAdministrators
-
ListDelegatedServicesForAccount
-
ListHandshakesForAccount
-
ListHandshakesForOrganization
-
ListOrganizationalUnitsForParent
-
ListParents
-
ListPolicies
-
ListPoliciesForTarget
-
ListRoots
-
ListTagsForResource
-
ListTargetsForPolicy
-
TagResource
-
UntagResource
-
UpdatePolicy
支持的条件键
仅支持条件键 Amazon Organizations 可用于委托策略。有关更多信息,请参阅条件键 Amazon Organizations在《服务授权参考》中。