Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés. # Actualice una política de delegación basada en los recursos con AWS Organizations Desde la cuenta de administración, actualice una política de delegación basada en recursos para su organización y agregue una declaración que especifique qué cuenta de miembro puede llevar a cabo las acciones en las políticas. Puede agregar varias declaraciones en la política para denotar distintos conjuntos de permisos para las cuentas de los miembros. **Permisos mínimos** Para actualizar una política de delegación basada en recursos, necesita permisos para poner en marcha las siguientes acciones: `organizations:PutResourcePolicy` `organizations:DescribeResourcePolicy` Además, debe conceder a los roles y usuarios de la cuenta de administrador delegado los permisos de IAM correspondientes a las acciones requeridas. Sin los permisos de IAM, se supone que la persona principal que realiza la llamada no tiene los permisos necesarios para gestionar las políticas. AWS Organizations ------ #### [ Consola de administración de AWS ] Agregue declaraciones a la política de delegación basada en recursos en la Consola de administración de AWS utilizando uno de los siguientes métodos: + **Política JSON**: pegue y personalice una política de delegación basada en recursos de ejemplo para usarla en su cuenta, o escriba su propio documento de política de JSON en el editor de JSON. + **Editor visual**: cree una nueva política de delegación en el editor visual, que le guiará en la creación de una política de delegación sin tener que escribir la sintaxis JSON. **Uso del editor de políticas JSON para actualizar una política de delegación** 1. Inicie sesión en la [consola de AWS Organizations](https://console.aws.amazon.com/organizations/v2). Debe iniciar sesión como usuario de IAM, asumir un rol de IAM; o iniciar sesión como usuario raíz ([no se recomienda](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials)) en la cuenta de administración de la organización. 1. Seleccione **Configuración**. 1. En la sección **Administrador delegado para  AWS Organizations**, elija **Editar** para actualizar la política de delegación de Organizations. 1. Especifique un documento de política JSON. Para obtener más información sobre el lenguaje de la política de IAM, consulte Referencia de [políticas JSON de IAM](https://docs.aws.amazon.com//IAM/latest/UserGuide/reference_policies.html). 1. Resuelva las [advertencias de seguridad, errores o advertencias generales](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_policy-validator.html) generadas durante la validación de la política y luego elija **Crear política**. **Uso del editor visual para actualizar una política de delegación** 1. Inicie sesión en la [consola de AWS Organizations](https://console.aws.amazon.com/organizations/v2). Debe iniciar sesión como usuario de IAM, asumir un rol de IAM; o iniciar sesión como usuario raíz ([no se recomienda](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials)) en la cuenta de administración de la organización. 1. Seleccione **Configuración**. 1. En la sección **Administrador delegado para  AWS Organizations**, elija **Editar** para actualizar la política de delegación de Organizations. 1. En la página **Crear política de delegación**, elija **Add new statement** (Agregar nueva declaración). 1. Establezca **Effect** (Efecto) en `Allow`. 1. Agregue `Principal` para definir las cuentas de miembros en las que desea delegar. 1. En la lista de **Acciones**, elija las acciones que quiera delegar. Puede utilizar **Filtrar acciones** para limitar las opciones. 1. Para especificar si la cuenta del miembro delegado puede adjuntar políticas a la raíz de la organización o a las unidades organizativas (OUs), defina. `Resources` También debe seleccionar `policy` como tipo de recurso. Puede especificar recursos de las siguientes maneras: + Seleccione **Add a resource** (Agregar un recurso) y cree el Nombre de recurso de Amazon (ARN) siguiendo las instrucciones del cuadro de diálogo. + Enumere el recurso ARNs manualmente en el editor. Para obtener más información sobre la sintaxis del ARN, consulte [Amazon Resource Name (ARN)](https://docs.aws.amazon.com/general/latest/gr/aws-arns-and-namespaces.html) en la AWS Guía de referencia general. Para obtener información sobre el uso ARNs del elemento de recurso de una política, consulte [Elementos de la política JSON de IAM:](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_resource.html) recurso. 1. Elija **Add a condition** (Agregar una condición) para especificar otras condiciones, incluido el tipo de política que desea delegar. Elija la **Condition key** (Clave de condición), **Tag key** (Clave de etiqueta) **Qualifier** (Calificador) y **Operator** (Operador) de la condición y, a continuación, escriba un **Value**. Cuando haya terminado elija **Add condition** (Añadir condición). Para obtener más información sobre el elemento **Condición**, consulte [Elementos de política JSON de IAM: Condition](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html). 1. Para añadir más bloques de permisos, elija **Add new statement** (Añadir nueva declaración). Para cada bloque, repita los pasos 5 a 9. 1. Resuelva las [advertencias de seguridad, errores o advertencias generales](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_policy-validator.html) generadas durante la validación de la política y luego elija **Guardar política**. ------ #### [ AWS CLI & AWS SDKs ] **Creación o actualización de una política de delegación** Puede utilizar el siguiente comando para crear o actualizar una política de delegación: + AWS CLI: [put-resource-policy](https://docs.aws.amazon.com/cli/latest/reference/organizations/put-resource-policy.html) En el siguiente ejemplo se crea o actualiza la política de delegación. ``` $ aws organizations put-resource-policy --content { "Version": "2012-10-17", "Statement": [ { "Sid": "Fully_manage_backup_policies", "Effect": "Allow", "Principal": { "AWS": "135791357913" }, "Action": [ "organizations:DescribeOrganization", "organizations:ListAccounts", "organizations:CreatePolicy", "organizations:DescribePolicy", "organizations:UpdatePolicy", "organizations:DeletePolicy", "organizations:AttachPolicy", "organizations:DetachPolicy" ], "Resource": [ "arn:aws:organizations::246802468024:root/o-abcdef/r-pqrstu", "arn:aws:organizations::246802468024:ou/o-abcdef/*", "arn:aws:organizations::246802468024:account/o-abcdef/*", "arn:aws:organizations::246802468024:organization/policy/backup_policy/*", ], "Condition": { "StringLikeIfExists": { "organizations:PolicyType": [ "BACKUP_POLICY" ] } } } ] } ``` + AWS SDK: [PutResourcePolicy](https://docs.aws.amazon.com/organizations/latest/APIReference/API_PutResourcePolicy.html) ------ **Acciones de política de delegación admitidas** Se admiten las siguientes acciones para políticas de delegación: + `AttachPolicy` + `CreatePolicy` + `DeletePolicy` + `DescribeAccount` + `DescribeCreateAccountStatus` + `DescribeEffectivePolicy` + `DescribeHandshake` + `DescribeOrganization` + `DescribeOrganizationalUnit` + `DescribePolicy` + `DescribeResourcePolicy` + `DetachPolicy` + `DisablePolicyType` + `EnablePolicyType` + `ListAccounts` + `ListAccountsForParent` + `ListAWSServiceAccessForOrganization` + `ListChildren` + `ListCreateAccountStatus` + `ListDelegatedAdministrators` + `ListDelegatedServicesForAccount` + `ListHandshakesForAccount` + `ListHandshakesForOrganization` + `ListOrganizationalUnitsForParent` + `ListParents` + `ListPolicies` + `ListPoliciesForTarget` + `ListRoots` + `ListTagsForResource` + `ListTargetsForPolicy` + `TagResource` + `UntagResource` + `UpdatePolicy` **Claves de condición admitidas** Solo las claves de condición compatibles se AWS Organizations pueden usar para la política de delegación. Para obtener más información, consulte [Condition keys for AWS Organizations](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsorganizations.html#awsorganizations-policy-keys) en la *Referencia de autorizaciones de servicio*.