可用于 Amazon Organizations 的 Amazon 托管式策略 - Amazon Organizations
Amazon托管的 IAM 策略Amazon 托管服务控制策略
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

可用于 Amazon Organizations 的 Amazon 托管式策略

此部分介绍向您提供的、可用于管理您的组织的Amazon托管式策略。您无法修改或删除 Amazon 托管策略,但可以根据需要将其附加到组织中的实体或从这些实体上分离。

可用于 Amazon Identity and Access Management(IAM)的 Amazon Organizations 托管式策略

IAM 托管式策略由Amazon提供和维护。托管式策略为常见任务提供权限,您可以通过将托管式策略附加到相应的 IAM 用户或角色对象来为其分配权限。您无需自己编写该策略,当Amazon根据需要更新策略以支持新服务时,您将自动并且立即获得策略更新带来的好处。您可以在 IAM 控制台的 Policies (策略) 页面中查看Amazon托管式策略的列表。使用 Filter policies (筛选策略) 下拉菜单,选择 Amazon managed (亚马逊云科技托管)

您可以使用以下托管式策略向组织中的用户授予权限。

策略名称 描述 ARN
AWSOrganizationsFullAccess 提供创建和完全管理组织所需的所有权限。下面的代码段显示了此策略声明的内容:
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AWSOrganizationsFullAccess",
            "Effect": "Allow",
            "Action": "organizations:*",
            "Resource": "*"
        },
        {
            "Sid": "AWSOrganizationsFullAccessAccount",
            "Effect": "Allow",
            "Action": [
                "account:PutAlternateContact",
                "account:DeleteAlternateContact",
                "account:GetAlternateContact",
                "account:GetContactInformation",
                "account:PutContactInformation",
                "account:ListRegions",
                "account:EnableRegion",
                "account:DisableRegion"
            ],
            "Resource": "*"
        },
        {
            "Sid": "AWSOrganizationsFullAccessCreateSLR",
            "Effect": "Allow",
            "Action": "iam:CreateServiceLinkedRole",
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "iam:AWSServiceName": "organizations.amazonaws.com"
                }
            }
        }
    ]
}
 arn: aws: iam:: aws: policy/ AWSOrganizationsFullAccess
AWSOrganizationsReadOnlyAccess 提供对组织信息的只读访问权限。它不允许用户进行任何更改。下面的代码段显示了此策略声明的内容:
{
   "Version":"2012-10-17",
   "Statement":[
      {
         "Sid": "AWSOrganizationsReadOnly",
         "Effect":"Allow",
         "Action":[
            "organizations:Describe*",
            "organizations:List*"
         ],
         "Resource": "*"
      },
      {
         "Sid": "AWSOrganizationsReadOnlyAccount",
         "Effect":"Allow",
         "Action":[
            "account:GetAlternateContact",
            "account:GetContactInformation",
            "account:ListRegions"
         ],
         "Resource": "*"
      }
   ]
}
 arn: aws: iam:: aws: policy/ AWSOrganizationsReadOnlyAccess

更新 Organizations Amazon托管式策略

下表显示了Amazon托管式策略更新的详细信息(从该服务开始跟踪这些更改开始)。有关此页面更改的提示,请订阅 Amazon Organizations 文档历史记录页面上的 RSS 源。

更改 描述 日期

AWSOrganizationsFullAccess— 更新为包括描述政策声明的Sid元素。

Organizations 为AWSOrganizationsFullAccess托管策略添加了Sid元素。

2024年2月6日

AWSOrganizationsReadOnlyAccess— 更新为包括描述政策声明的Sid元素。

Organizations 为AWSOrganizationsReadOnlyAccess托管策略添加了Sid元素。

2024年2月6日

AWSOrganizationsFullAccess— 更新为允许Amazon Web Services 区域通过 Organizations 控制台启用或禁用所需的账户 API 权限。

Organizations 添加了针对策略的 account:ListRegionsaccount:EnableRegionaccount:DisableRegion 操作,以启用写入访问权限,来启用或禁用账户的区域。

2022 年 12 月 22 日

AWSOrganizationsReadOnlyAccess— 更新为允许Amazon Web Services 区域通过 Organizations 控制台发布所需的账户 API 权限。

Organizations 添加了针对策略的 account:ListRegions 操作,以启用查看账户区域的访问权限。

2022 年 12 月 22 日

AWSOrganizationsFullAccess— 更新为允许通过 Organizations 控制台添加或编辑账户联系人所需的账户 API 权限。

Organizations 添加了针对策略的 account:GetContactInformationaccount:PutContactInformation 操作,以启用用于修改账户联系人的写入访问权限。

2022 年 10 月 21 日

AWSOrganizationsReadOnlyAccess— 更新为允许通过 Organizations 控制台查看账户联系人所需的账户 API 权限。

Organizations 添加了针对策略的 account:GetContactInformation 操作,以启用用于查看账户联系人的访问权限。

2022 年 10 月 21 日

AWSOrganizationsFullAccess— 更新为允许创建组织。

Organizations 为策略添加了 CreateServiceLinkedRole 权限,以启用创建组织所需的服务相关角色创建权限。权限仅限于创建一个角色,该角色只能由 organizations.amazonaws.com 服务使用。

2022 年 8 月 24 日

AWSOrganizationsFullAccess— 更新为允许通过Organizations控制台添加、编辑或删除账户备用联系人所需的账户 API 权限。

Organizations 添加了针对策略的 account:GetAlternateContactaccount:DeleteAlternateContactaccount:PutAlternateContact 操作,以启用用于修改账户备用联系人的写访问权限。

2022 年 2 月 22 日

AWSOrganizationsReadOnlyAccess— 更新为允许通过 Organizations 控制台查看账户备用联系人所需的账户 API 权限。

Organizations 添加了针对策略的 account:GetAlternateContact 操作,以启用用于查看账户备用联系人的访问权限。

2022 年 2 月 22 日

Amazon Organizations 托管服务控制策略

服务控制策略(SCP)类似于 IAM 权限策略,但它是 Amazon Organizations 而非 IAM 的功能。可以使用 SCP 来指定受影响的实体的最大权限数。您可以将 SCP 附加到组织的根、组织单位 (OU) 或账户。您可以创建自己的策略,也可以使用 IAM 定义的策略。您可以在 Organizations 控制台的 Policies (策略) 页面上查看组织中的策略列表。

重要

每个根、OU 和账户必须始终附加有至少一个 SCP。

策略名称 描述 ARN
已满 AWSAccess 提供 Amazon Organizations 管理账户对成员账户的访问权。 arn: aws: organizations:: aws: policy/service_control_ AWSAccess