Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅
中国的 Amazon Web Services 服务入门
(PDF)。
本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
Amazon Organizations 的委托管理员
我们建议您将 Amazon Organizations 管理账户及其用户和角色仅用于必须由该账户执行的任务。此外,我们还建议您将所有的 Amazon 资源存储在组织的其他成员账户中,而非保存在管理账户中。这是因为,Organizations 服务控制策略(SCP)等安全功能不会限制管理账户中的用户或角色。
您可以从组织的管理账户中,将 Organizations 的策略管理委托给指定的成员账户,来执行默认情况下仅管理账户才可执行的策略操作。
创建或更新基于资源的委托策略
在管理账户中,为您的组织创建或更新基于资源的委托策略,并添加一条语句,指定哪些成员账户可以对策略执行操作。您可以在策略中添加多个语句来表示成员账户的不同权限集。
要创建或更新基于资源的委托策略,您需要运行以下操作的权限:
此外,您必须向委托管理员账户中的角色和用户授予相应的 IAM 权限,以执行所需操作。如果没有 IAM 权限,则假定调用主体没有管理 Amazon Organizations 策略所需的权限。
- Amazon Web Services Management Console
-
使用下列方法之一在Amazon Web Services Management Console中向基于资源的委托策略中添加语句:
使用 JSON 策略编辑器创建或更新委托策略
-
登录到 Amazon Organizations 控制台。您必须以 IAM 用户的身份登录,担任 IAM 角色;或在组织的管理账户中以根用户的身份登录(不推荐)。
-
选择 Settings。
-
在 Amazon Organizations 的委托管理员部分中,选择委托以创建 Organizations 委托策略。要更新现有的委托策略,请选择 Edit(编辑)。
-
键入或粘贴一个 JSON 策略文档。有关 IAM policy 语言的详细信息,请参阅 IAM JSON 策略参考。
-
解决策略验证过程中生成的任何安全警告、错误或常规警告,然后选择 Create policy(创建策略)以保存工作。
使用可视化编辑器创建或更新委托策略
-
登录到 Amazon Organizations 控制台。您必须以 IAM 用户的身份登录,担任 IAM 角色;或在组织的管理账户中以根用户的身份登录(不推荐)。
-
选择 Settings。
-
在 Amazon Organizations 的委托管理员部分中,选择委托以创建 Organizations 委托策略。要更新现有的委托策略,请选择 Edit(编辑)。
-
在 Create Delegation policy(创建委托策略)页面上,选择 Add new statement(添加新语句)。
-
将 Effect 设置为 Allow
。
-
添加 Principal
以定义要委托的成员账户。有关语法的详细信息,请参阅 基于资源的委托策略示例。
-
从 Actions(操作)列表中选择要委托的操作。您可使用 Filter actions(筛选操作)缩小所选内容的范围。
-
要指定委托成员账户是否可以将策略附加到组织根或组织单元(OU),请设置 Resources
。您还必须选择 policy
作为资源类型。有关其他详细信息,请参阅 基于资源的委托策略示例。您可以通过以下方式指定资源:
-
选择 Add a condition(添加条件)以指定其他条件,包括要委托的策略类型。选择条件的 Condition key(条件键)、Tag key(标签键)、Qualifier(限定词)和 Operator(运算符),然后键入 Value
。有关其他详细信息,请参阅 基于资源的委托策略示例。完成后,选择 Add condition(添加条件)。有关 Condition 元素的更多信息,请参阅 IAM JSON 策略参考中的 IAM JSON 策略元素:Condition。
-
要添加更多权限块,请选择 Add new statement(添加新语句)。对于每个块,重复步骤 5 到步骤 9。
-
解决策略验证过程中生成的任何安全警告、错误或常规警告,然后选择 Create policy(创建策略)以保存工作。
- Amazon CLI & Amazon SDKs
-
创建或更新委托策略
可以使用以下命令创建或更新委托策略:
-
Amazon CLI:put-resource-policy
以下为创建或更新委托策略的示例。
$
aws organizations put-resource-policy --content
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "Fully_manage_backup_policies",
"Effect": "Allow",
"Principal": {
"AWS": "135791357913
"
}
"Action": [
"organizations:DescribeOrganization",
"organizations:ListAccounts",
"organizations:CreatePolicy",
"organizations:DescribePolicy",
"organizations:UpdatePolicy",
"organizations:DeletePolicy",
"organizations:AttachPolicy",
"organizations:DetachPolicy"
],
"Resource": [
"arn:aws:organizations::246802468024
:root/o-abcdef
/r-pqrstu
",
"arn:aws:organizations::246802468024
:ou/o-abcdef
/*",
"arn:aws:organizations::246802468024
:account/o-abcdef
/*",
"arn:aws:organizations::246802468024
:organization/policy/backup_policy/*",
],
"Condition": {
"StringLikeIfExists": {
"organizations:PolicyType": [
"BACKUP_POLICY"
]
}
}
}
]
}
支持的委托策略操作
委托策略支持以下操作:
AttachPolicy
CreatePolicy
DeletePolicy
DescribeAccount
DescribeCreateAccountStatus
DescribeEffectivePolicy
DescribeHandshake
DescribeOrganization
DescribeOrganizationalUnit
DescribePolicy
DescribeResourcePolicy
DetachPolicy
DisablePolicyType
EnablePolicyType
ListAccounts
ListAccountsForParent
ListAWSServiceAccessForOrganization
ListChildren
ListCreateAccountStatus
ListDelegatedAdministrators
ListDelegatedServicesForAccount
ListHandshakesForAccount
ListHandshakesForOrganization
ListOrganizationalUnitsForParent
ListParents
ListPolicies
ListPoliciesForTarget
ListRoots
ListTagsForResource
ListTargetsForPolicy
TagResource
UntagResource
UpdatePolicy
查看基于资源的委托策略
在管理账户中,查看贵组织基于资源的委托策略,以了解哪些委托管理员有权管理哪些策略类型。
要查看基于资源的委托策略,您需要运行以下操作的权限:organizations:DescribeResourcePolicy
。
- Amazon Web Services Management Console
-
查看委托策略
-
登录到 Amazon Organizations 控制台。您必须以 IAM 用户的身份登录,担任 IAM 角色;或在组织的管理账户中以根用户的身份登录(不推荐)。
-
选择 Settings。
-
在 Amazon Organizations 的委托管理员部分中,滚动查看完整的委托策略。
- Amazon CLI & Amazon SDKs
-
查看委托策略
可以使用以下命令查看委托策略:
删除基于资源的委托策略
当您不再需要委托组织中的策略管理时,可以从组织的管理账户中删除基于资源的委托策略。
要删除基于资源的委托策略,您需要运行以下操作的权限:organizations:DeleteResourcePolicy
。
- Amazon Web Services Management Console
-
删除委托策略
-
登录到 Amazon Organizations 控制台。您必须以 IAM 用户的身份登录,担任 IAM 角色;或在组织的管理账户中以根用户的身份登录(不推荐)。
-
选择 Settings。
-
在 Amazon Organizations 的委托管理员部分中,选择删除。
-
在 Delete policy(删除策略)确认对话框中,键入 delete
。然后,选择 Delete policy(删除策略)。
- Amazon CLI & Amazon SDKs
-
删除委托策略
可以使用以下命令删除委托策略: