Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
# Ejemplos de políticas basadas en recursos para AWS Organizations
Los siguientes ejemplos de código muestran cómo se pueden utilizar las políticas de delegación basadas en recursos. Para obtener más información, consulte [Administrador delegado para AWS Organizations](orgs_delegate_policies.md).
**Topics**
+ [Ver la organización OUs, las cuentas y las políticas](#orgs_delegate_policies_example_view_accts_orgs)
+ [Crear, leer, actualizar y eliminar políticas](#orgs_delegate_policies_example_crud_policies)
+ [Etiquetar y desetiquetar políticas](#orgs_delegate_policies_example_tag_untag_policies)
+ [Vincular políticas a una sola unidad organizativa o cuenta](#orgs_delegate_policies_example_attach_policies)
+ [Permisos consolidados para administrar las políticas de copia de seguridad de una organización](#orgs_delegate_policies_example_consolidate_permissions)
## Ejemplo: ver la organización OUs, las cuentas y las políticas
Antes de delegar la administración de las políticas, debes delegar los permisos para navegar por la estructura de una organización y ver las unidades organizativas (OUs), las cuentas y las políticas asociadas a ellas.
En este ejemplo se muestra cómo puede incluir estos permisos en su política de delegación basada en los recursos para la cuenta del miembro,. *AccountId*
**importante**
Es aconsejable que incluya permisos solo para las acciones mínimas requeridas como se muestra en el ejemplo, aunque es posible delegar cualquier acción de solo lectura de Organizaciones utilizando esta política.
Este ejemplo de política de delegación otorga los permisos necesarios para completar las acciones mediante programación desde la API o. AWS AWS CLI Para utilizar esta política de delegación, sustituya el [texto del AWS marcador](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_getting-started_concepts.html) de posición por su *AccountId* propia información. A continuación, siga las instrucciones indicadas en [Administrador delegado para AWS Organizations](orgs_delegate_policies.md).
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "DelegatingNecessaryDescribeListActions",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:root"
},
"Action": [
"organizations:DescribeOrganization",
"organizations:DescribeOrganizationalUnit",
"organizations:DescribeAccount",
"organizations:DescribePolicy",
"organizations:DescribeEffectivePolicy",
"organizations:ListRoots",
"organizations:ListOrganizationalUnitsForParent",
"organizations:ListParents",
"organizations:ListChildren",
"organizations:ListAccounts",
"organizations:ListAccountsForParent",
"organizations:ListPolicies",
"organizations:ListPoliciesForTarget",
"organizations:ListTargetsForPolicy",
"organizations:ListTagsForResource"
],
"Resource": "*"
}
]
}
```
------
## Ejemplo: Crear, leer, actualizar y eliminar políticas
Puede crear una política de delegación basada en recursos que permita a la cuenta de administración delegar acciones `create`, `read`, `update` y `delete` para cualquier tipo de política. En este ejemplo se muestra cómo puede delegar estas acciones para las políticas de control de servicios en la cuenta del miembro,*MemberAccountId*. Los dos recursos que se muestran en el ejemplo permiten el acceso a las políticas de control de servicios AWS gestionados y gestionados por el cliente, respectivamente.
**importante**
Esta política permite que los administradores delegados lleven a cabo las acciones especificadas en las políticas creadas por cualquier cuenta de la organización, incluida la cuenta de administración.
No permite a los administradores delegados vincular ni desvincular políticas porque no incluye los permisos necesarios para llevar a cabo las acciones `organizations:AttachPolicy` y `organizations:DetachPolicy`.
En este ejemplo, la política de delegación otorga los permisos necesarios para completar las acciones mediante programación desde la AWS API o. AWS CLI Sustituya el texto AWS del marcador de posición por *MemberAccountId**ManagementAccountId*, y por su *OrganizationId* propia información. A continuación, siga las instrucciones indicadas en [Administrador delegado para AWS Organizations](orgs_delegate_policies.md).
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "DelegatingDescribeListActionsWithoutCondition",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:root"
},
"Action": [
"organizations:DescribeOrganization",
"organizations:DescribeOrganizationalUnit",
"organizations:DescribeAccount",
"organizations:ListRoots",
"organizations:ListOrganizationalUnitsForParent",
"organizations:ListParents",
"organizations:ListChildren",
"organizations:ListAccounts",
"organizations:ListAccountsForParent",
"organizations:ListTagsForResource"
],
"Resource": "*"
},
{
"Sid": "DelegatingPolicyActionsWithCondition",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:root"
},
"Action": [
"organizations:DescribePolicy",
"organizations:DescribeEffectivePolicy",
"organizations:ListPolicies",
"organizations:ListPoliciesForTarget",
"organizations:ListTargetsForPolicy"
],
"Resource": "*",
"Condition": {
"StringLikeIfExists": {
"organizations:PolicyType": "SERVICE_CONTROL_POLICY"
}
}
},
{
"Sid": "DelegatingMinimalActionsForSCPs",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:root"
},
"Action": [
"organizations:CreatePolicy",
"organizations:DescribePolicy",
"organizations:UpdatePolicy",
"organizations:DeletePolicy"
],
"Resource": [
"arn:aws:organizations::111122223333:policy/o-OrganizationId/service_control_policy/*",
"arn:aws:organizations::aws:policy/service_control_policy/*"
]
}
]
}
```
------
## Ejemplo: Etiquetar y desetiquetar políticas
En este ejemplo se muestra cómo podría crear una política de delegación basada en recursos que permita a los administradores delegados etiquetar o desetiquetar las políticas de copia de seguridad. Otorga los permisos necesarios para completar las acciones mediante programación desde la AWS API o. AWS CLI
Para utilizar esta política de delegación, sustituya el texto del AWS marcador de posición por *MemberAccountId* y por su propia *OrganizationId* información. *ManagementAccountId* A continuación, siga las instrucciones indicadas en [Administrador delegado para AWS Organizations](orgs_delegate_policies.md).
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "DelegatingNecessaryDescribeListActionsWithoutCondition",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:root"
},
"Action": [
"organizations:DescribeOrganization",
"organizations:DescribeOrganizationalUnit",
"organizations:DescribeAccount",
"organizations:ListRoots",
"organizations:ListOrganizationalUnitsForParent",
"organizations:ListParents",
"organizations:ListChildren",
"organizations:ListAccounts",
"organizations:ListAccountsForParent",
"organizations:ListTagsForResource"
],
"Resource": "*"
},
{
"Sid": "DelegatingNecessaryDescribeListActionsWithCondition",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:root"
},
"Action": [
"organizations:DescribePolicy",
"organizations:DescribeEffectivePolicy",
"organizations:ListPolicies",
"organizations:ListPoliciesForTarget",
"organizations:ListTargetsForPolicy"
],
"Resource": "*",
"Condition": {
"StringLikeIfExists": {
"organizations:PolicyType": "BACKUP_POLICY"
}
}
},
{
"Sid": "DelegatingTaggingBackupPolicies",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:root"
},
"Action": [
"organizations:TagResource",
"organizations:UntagResource"
],
"Resource": "arn:aws:organizations::111122223333:policy/o-OrganizationId/backup_policy/*"
}
]
}
```
------
## Ejemplo: Vincular políticas a una sola unidad organizativa o cuenta
En este ejemplo, se muestra cómo se puede crear una política de delegación basada en recursos que permita a los administradores delegados `attach` o `detach` las políticas de Organizations de una unidad organizativa (OU) o cuenta específicas. Antes de delegar estas acciones, debe delegar los permisos para navegar por la estructura de una organización y ver las cuentas que contiene. Para obtener más información, consulte [Ejemplo: ver la organización OUs, las cuentas y las políticas](#orgs_delegate_policies_example_view_accts_orgs)
**importante**
Si bien esta política permite adjuntar o separar políticas de la unidad organizativa o cuenta especificada, no incluye ni a los hijos ni a las cuentas OUs subordinadas a menores. OUs
Esta política permite que los administradores delegados realicen las acciones especificadas en las políticas creadas por cualquier cuenta de la organización, incluida la cuenta de administración.
Este ejemplo de política de delegación otorga los permisos necesarios para completar las acciones mediante programación desde la API o. AWS AWS CLI Para usar esta política de delegación, sustituya el texto del AWS marcador de posición por *MemberAccountId* *ManagementAccountId**OrganizationId*, y por su propia *TargetAccountId* información. A continuación, siga las instrucciones indicadas en [Administrador delegado para AWS Organizations](orgs_delegate_policies.md).
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "DelegatingNecessaryDescribeListActions",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:root"
},
"Action": [
"organizations:DescribeOrganization",
"organizations:DescribeOrganizationalUnit",
"organizations:DescribeAccount",
"organizations:DescribePolicy",
"organizations:DescribeEffectivePolicy",
"organizations:ListRoots",
"organizations:ListOrganizationalUnitsForParent",
"organizations:ListParents",
"organizations:ListChildren",
"organizations:ListAccounts",
"organizations:ListAccountsForParent",
"organizations:ListPolicies",
"organizations:ListPoliciesForTarget",
"organizations:ListTargetsForPolicy",
"organizations:ListTagsForResource"
],
"Resource": "*"
},
{
"Sid": "AttachDetachPoliciesSpecifiedAccountOU",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:root"
},
"Action": [
"organizations:AttachPolicy",
"organizations:DetachPolicy"
],
"Resource": [
"arn:aws:organizations::111122223333:ou/o-OrganizationId/ou-OUId",
"arn:aws:organizations::111122223333:account/o-OrganizationId/TargetAccountId",
"arn:aws:organizations::111122223333:policy/o-OrganizationId/backup_policy/*"
]
}
]
}
```
------
Para delegar la vinculación y desvinculación de políticas de cualquier OU o cuenta de la organización, sustituya el recurso del ejemplo anterior por los siguientes recursos:
```
"Resource": [
"arn:aws:organizations::ManagementAccountId:ou/o-OrganizationId/*",
"arn:aws:organizations::ManagementAccountId:account/o-OrganizationId/*",
"arn:aws:organizations::ManagementAccountId:policy/o-OrganizationId/backup_policy/*"
]
```
## Ejemplo: Permisos consolidados para administrar las políticas de copia de seguridad de una organización
En este ejemplo se muestra cómo se puede crear una política de delegación basada en recursos que permita a la cuenta de administración delegar todos los permisos necesarios para administrar las políticas de copia de seguridad dentro de la organización, incluidas `create`, `read`, `update` y acciones `delete`, así como acciones de `attach` y `detach` política.
**importante**
Esta política permite que los administradores delegados realicen las acciones especificadas en las políticas creadas por cualquier cuenta de la organización, incluida la cuenta de administración.
Este ejemplo de política de delegación otorga los permisos necesarios para completar las acciones mediante programación desde la AWS API o. AWS CLI Para usar esta política de delegación, sustituya el [texto del AWS marcador](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_getting-started_concepts.html) de posición por *MemberAccountId* *ManagementAccountId**OrganizationId*, y por su propia *RootId* información. A continuación, siga las instrucciones indicadas en [Administrador delegado para AWS Organizations](orgs_delegate_policies.md).
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "DelegatingNecessaryDescribeListActions",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:root"
},
"Action": [
"organizations:DescribeOrganization",
"organizations:DescribeOrganizationalUnit",
"organizations:DescribeAccount",
"organizations:ListRoots",
"organizations:ListOrganizationalUnitsForParent",
"organizations:ListParents",
"organizations:ListChildren",
"organizations:ListAccounts",
"organizations:ListAccountsForParent",
"organizations:ListTagsForResource"
],
"Resource": "*"
},
{
"Sid": "DelegatingNecessaryDescribeListActionsForSpecificPolicyType",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:root"
},
"Action": [
"organizations:DescribePolicy",
"organizations:DescribeEffectivePolicy",
"organizations:ListPolicies",
"organizations:ListPoliciesForTarget",
"organizations:ListTargetsForPolicy"
],
"Resource": "*",
"Condition": {
"StringLikeIfExists": {
"organizations:PolicyType": "BACKUP_POLICY"
}
}
},
{
"Sid": "DelegatingAllActionsForBackupPolicies",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:root"
},
"Action": [
"organizations:CreatePolicy",
"organizations:UpdatePolicy",
"organizations:DeletePolicy",
"organizations:AttachPolicy",
"organizations:DetachPolicy",
"organizations:EnablePolicyType",
"organizations:DisablePolicyType"
],
"Resource": [
"arn:aws:organizations::111122223333:root/o-OrganizationId/r-RootId",
"arn:aws:organizations::111122223333:ou/o-OrganizationId/*",
"arn:aws:organizations::111122223333:account/o-OrganizationId/*",
"arn:aws:organizations::111122223333:policy/o-OrganizationId/backup_policy/*"
],
"Condition": {
"StringLikeIfExists": {
"organizations:PolicyType": "BACKUP_POLICY"
}
}
}
]
}
```
------