AWS Organizations 的操作、资源和条件键 - 服务授权参考
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

AWS Organizations 的操作、资源和条件键

AWS Organizations(服务前缀:organizations)提供以下服务特定的资源、操作和条件上下文键以在 IAM 权限策略中使用。

参考:

AWS Organizations 定义的操作

您可以在 Action 策略语句的 IAM 元素中指定以下操作。可以使用策略授予在 AWS 中执行操作的权限。您在策略中使用一项操作时,通常使用相同的名称允许或拒绝对 API 操作或 CLI 命令的访问。但在某些情况下,单一动作可控制对多项操作的访问。还有某些操作需要多种不同的动作。

资源类型列指示每项操作是否支持资源级权限。如果该列没有任何值,您必须在策略语句的 Resource 元素中指定所有资源(“*”)。如果该列包含一种资源类型,则可以在含有该操作的语句中指定该类型的 ARN。必需资源在表中以星号 (*) 表示。如果在使用该操作的语句中指定资源级权限 ARN,则它必须属于该类型。某些操作支持多种资源类型。如果资源类型是可选的(未指示为必需),则可以选择使用一种类型而不使用其他类型。

有关下表中各列的详细信息,请参阅 操作表

操作 描述 访问级别 资源类型(* 为必需) 条件键 相关操作
AcceptHandshake 授予权限,向握手发起方发送响应,同意握手请求建议的操作。 写入

handshake*

AttachPolicy 授予权限,将策略附加到根、组织单位或单个账户。 写入

policy*

account

organizationalunit

root

organizations:PolicyType

CancelHandshake 授予权限,取消握手。 写入

handshake*

CreateAccount 授予权限,创建 AWS 账户,该账户可自动成为组织成员,具有发出请求的凭证。 写入

aws:RequestTag/${TagKey}

aws:TagKeys

CreateGovCloudAccount 授予权限以创建 AWS GovCloud (US) 账户。 写入

aws:RequestTag/${TagKey}

aws:TagKeys

CreateOrganization 授予创建组织的权限。账户如果具有自动调用 CreateOrganization 操作的凭证,则会成为新组织的管理账户。 写入
CreateOrganizationalUnit 授予权限,在根或父级组织单位 (OU) 中创建 OU。 写入

organizationalunit

root

aws:RequestTag/${TagKey}

aws:TagKeys

CreatePolicy 授予权限,创建可附加到根、组织单位 (OU) 或单个 AWS 账户的策略。 写入

organizations:PolicyType

aws:RequestTag/${TagKey}

aws:TagKeys

DeclineHandshake 授予拒绝握手请求的权限。它会将握手状态设为 DECLINED,有效地停用请求。 写入

handshake*

DeleteOrganization 授予删除组织的权限。 写入
DeleteOrganizationalUnit 授予权限,从根或另一 OU 删除组织单位。 写入

organizationalunit*

DeletePolicy 授予权限,删除您的组织的策略。 写入

policy*

organizations:PolicyType

DeregisterDelegatedAdministrator 授予权限以将指定成员 AWS 账户注销为 ServicePrincipal 指定的 AWS 服务的委派管理员。 写入

account*

organizations:ServicePrincipal

DescribeAccount 授予权限,检索特定账户与组织相关的详情。 Read

account*

DescribeCreateAccountStatus 授予权限,检索创建账户的异步请求的最新状态。 Read
DescribeEffectivePolicy 授予权限以检索账户的有效策略。 Read

account*

organizations:PolicyType

DescribeHandshake 授予权限,检索上次握手请求的详细信息。 Read

handshake*

DescribeOrganization 授予权限,检索调用凭证所属组织的详细信息。 Read
DescribeOrganizationalUnit 授予权限,检索组织单位 (OU) 的相关详情。 Read

organizationalunit*

DescribePolicy 授予权限,检索有关策略的详情。 Read

policy*

organizations:PolicyType

DetachPolicy 授予权限,将策略从目标根、组织单位或账户分离。 写入

policy*

account

organizationalunit

root

organizations:PolicyType

DisableAWSServiceAccess 授予权限,禁用 AWS 服务(由 ServicePrincipal 指定的服务)与 AWS Organizations 的集成。 写入

organizations:ServicePrincipal

DisablePolicyType 授予权限,禁用根中的组织策略类型。 写入

root*

organizations:PolicyType

EnableAWSServiceAccess 授予权限,启用 AWS 服务(由 ServicePrincipal 指定的服务)与 AWS Organizations 的集成。 写入

organizations:ServicePrincipal

EnableAllFeatures 授予权限,开始启用组织中所有功能的过程。升级仅支持整合账单功能的组织。 写入
EnablePolicyType 授予权限,启用根中的策略类型。 写入

root*

organizations:PolicyType

InviteAccountToOrganization 授予权限,向另一 AWS 账户发送邀请,要求它作为成员账户加入您的组织。 写入

account

aws:RequestTag/${TagKey}

aws:TagKeys

LeaveOrganization 授予权限,将成员账户从其父组织中移除。 写入
ListAWSServiceAccessForOrganization 授予权限,检索与您的组织启用集成的 AWS 服务列表。 List
ListAccounts 授予权限,列出组织中的所有账户。 List
ListAccountsForParent 授予权限,列出组织中包含于根或组织单位 (OU) 之中的账户列表。 List

organizationalunit

root

ListChildren 授予权限,列出父级 OU 或根中的所有 OU 或账户。 List

organizationalunit

root

ListCreateAccountStatus 授予权限,列出组织当前跟踪的账户创建异步请求。 List
ListDelegatedAdministrators 授予权限以列出此组织中指定为委派管理员的 AWS 账户。 List

organizations:ServicePrincipal

ListDelegatedServicesForAccount 授予权限以列出指定账户是此组织中的委派管理员的 AWS 服务。 List

account*

ListHandshakesForAccount 授予权限,列出与某一账户关联的所有握手。 List
ListHandshakesForOrganization 授予权限,列出与组织关联的握手。 List
ListOrganizationalUnitsForParent 授予权限,列出父级组织单位或根中的所有组织单位 (OU)。 List

organizationalunit

root

ListParents 授予权限,列出根或组织单位 (OU),它们作为子 OU 或账户的直接父级。 List

account

organizationalunit

ListPolicies 授予权限,列出组织中的所有策略。 List

organizations:PolicyType

ListPoliciesForTarget 授予权限,列出直接附加到根、组织单位 (OU) 或账户的所有策略。 List

account

organizationalunit

root

organizations:PolicyType

ListRoots 授予权限,列出组织中定义的所有根。 List
ListTagsForResource 授予权限以列出指定资源的所有标签。 List

account

organizationalunit

policy

root

ListTargetsForPolicy 授予权限,列出某一策略附加到的所有根、OU 和账户。 List

policy*

organizations:PolicyType

MoveAccount 授予权限,将账户从其当前的根或 OU 移动至另一父级根或 OU。 写入

account*

organizationalunit

root

RegisterDelegatedAdministrator 授予权限以注册指定成员账户,从而管理 ServicePrincipal 指定的 AWS 服务的“组织”功能。 写入

account*

organizations:ServicePrincipal

RemoveAccountFromOrganization 授予权限,从组织中移除指定账户。 写入

account*

TagResource 授予权限以将一个或多个标签添加到指定的资源中。 标记

account

organizationalunit

policy

root

aws:TagKeys

aws:RequestTag/${TagKey}

UntagResource 授予权限以从指定的资源中删除一个或多个标签。 标记

account

organizationalunit

policy

root

aws:TagKeys

UpdateOrganizationalUnit 授予权限,将组织单位 (OU) 重命名。 写入

organizationalunit*

UpdatePolicy 授予权限,使用新的名称、描述或内容更新现有策略。 写入

policy*

organizations:PolicyType

AWS Organizations 定义的资源类型

以下资源类型是由该服务定义的,可以在 IAM 权限策略语句的 Resource 元素中使用这些资源类型。操作表中的每个操作都标识了可以使用该操作指定的资源类型。您也可以在策略中包含条件键,从而定义资源类型。这些键显示在表的最后一列。有关下表中各列的详细信息,请参阅 资源类型表

资源类型 ARN 条件键
account arn:${Partition}:organizations::${MasterAccountId}:account/o-${OrganizationId}/${AccountId}

aws:ResourceTag/${TagKey}

handshake arn:${Partition}:organizations::${MasterAccountId}:handshake/o-${OrganizationId}/${HandshakeType}/h-${HandshakeId}
organization arn:${Partition}:organizations::${MasterAccountId}:organization/o-${OrganizationId}
organizationalunit arn:${Partition}:organizations::${MasterAccountId}:ou/o-${OrganizationId}/ou-${OrganizationalUnitId}

aws:ResourceTag/${TagKey}

policy arn:${Partition}:organizations::${MasterAccountId}:policy/o-${OrganizationId}/${PolicyType}/p-${PolicyId}

aws:ResourceTag/${TagKey}

awspolicy arn:${Partition}:organizations::aws:policy/${PolicyType}/p-${PolicyId}
root arn:${Partition}:organizations::${MasterAccountId}:root/o-${OrganizationId}/r-${RootId}

aws:ResourceTag/${TagKey}

AWS Organizations 的条件键

AWS Organizations 定义以下可以在 IAM 策略的 Condition 元素中使用的条件键。您可以使用这些键进一步细化应用策略语句的条件。有关下表中各列的详细信息,请参阅 条件键表

要查看适用于所有服务的全局条件键,请参阅可用的全局条件键

条件键 描述 类型
aws:RequestTag/${TagKey} 根据在请求中是否具有标签键值对以筛选操作 字符串
aws:ResourceTag/${TagKey} 根据附加到资源的标签键值对筛选操作 字符串
aws:TagKeys 根据在请求中是否具有标签键以筛选操作 字符串
organizations:PolicyType 支持筛选出仅针对指定策略类型名称的请求。 字符串
organizations:ServicePrincipal 支持筛选出仅针对特定服务委托人名称的请求。 字符串