Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

# Administrateur délégué pour AWS Organizations
<a name="orgs_delegate_policies"></a>

Nous vous recommandons d'utiliser le compte AWS Organizations de gestion, ses utilisateurs et ses rôles uniquement pour les tâches qui doivent être effectuées par ce compte. Nous vous recommandons également de stocker vos ressources AWS dans d'autres comptes membres de l'organisation et de les garder en dehors du compte de gestion. Cela est dû au fait que les fonctionnalités de sécurité telles que les politiques de contrôle des services des Organisations (SCPs) ne limitent pas les utilisateurs ou les rôles dans le compte de gestion. 

À partir du compte de gestion de l'organisation, vous pouvez déléguer la gestion des politiques pour les organisations à des comptes membres spécifiques afin d'effectuer des actions de politique qui ne sont par défaut disponibles que pour le compte de gestion.

Par exemple, les politiques de délégation basées sur les ressources, voir. [Exemples de politiques basées sur les ressources pour AWS Organizations](security_iam_resource-based-policy-examples.md)

**Topics**
+ [Création d'une politique de délégation basée sur les ressources](orgs-policy-delegate.md)
+ [Mettre à jour une politique de délégation basée sur les ressources](orgs-policy-delegate-update.md)
+ [Afficher une politique de délégation basée sur les ressources](view-delegated-resource-based-policy.md)
+ [Supprimer une politique de délégation basée sur les ressources](delete-delegated-resource-based-policy.md)

# Créez une politique de délégation basée sur les ressources avec AWS Organizations
<a name="orgs-policy-delegate"></a>

À partir du compte de gestion, créez une politique de délégation basée sur les ressources pour votre organisation et ajoutez une déclaration indiquant quels comptes membres peuvent effectuer des actions sur les politiques. Vous pouvez ajouter plusieurs déclarations dans la politique pour indiquer un ensemble d'autorisations différent pour les comptes membres.

**Autorisations minimales**  
Pour créer la politique de délégation basée sur les ressources, vous devez disposer des autorisations nécessaires pour exécuter les actions suivantes :  
`organizations:PutResourcePolicy`
`organizations:DescribeResourcePolicy` 
En outre, vous devez accorder aux rôles et aux utilisateurs du compte administrateur délégué les autorisations IAM correspondant aux actions requises. Sans autorisations IAM, on suppose que le principal appelant ne dispose pas des autorisations requises pour gérer les AWS Organizations politiques.

------
#### [ AWS Management Console ]

Ajoutez des instructions à la politique de délégation basée sur les ressources dans la AWS Management Console à l'aide de l'une des méthodes suivantes : 
+ **Politique JSON** : collez et personnalisez un exemple de politique de délégation basée sur les ressources à utiliser dans votre compte, ou saisissez votre propre document de politique JSON dans l'éditeur JSON.
+ **Éditeur visuel** : créez une nouvelle politique de délégation dans l'éditeur visuel, qui vous guide dans la création d'une politique de délégation sans avoir à écrire de syntaxe JSON.

**Utiliser l'éditeur de stratégie JSON pour créer une politique de délégation**

1. Connectez-vous à la [console AWS Organizations](https://console.aws.amazon.com/organizations/v2). Vous devez vous connecter en tant qu'utilisateur IAM, assumer un rôle IAM ou vous connecter en tant qu'utilisateur racine ([non recommandé](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials)) dans le compte de gestion de l'organisation.

1. Cliquez sur **Paramètres**.

1. Dans la section **Administrateur délégué pour AWS Organizations**, choisissez **Delegate** (Déléguer) pour créer la politique de délégation Organizations.

1. Entrez un document de stratégie JSON. Pour de plus amples informations sur le langage de la stratégie IAM, consultez la référence de [politique JSON IAM](https://docs.aws.amazon.com//IAM/latest/UserGuide/reference_policies.html).

1. Résolvez les [avertissements de sécurité, les erreurs ou les avertissements généraux](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_policy-validator.html) générés durant la validation de la politique, puis sélectionnez **Create policy** (Créer une politique).

**Utiliser l'éditeur visuel pour créer une politique de délégation**

1. Connectez-vous à la [console AWS Organizations](https://console.aws.amazon.com/organizations/v2). Vous devez vous connecter en tant qu'utilisateur IAM, assumer un rôle IAM ou vous connecter en tant qu'utilisateur racine ([non recommandé](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials)) dans le compte de gestion de l'organisation.

1. Cliquez sur **Paramètres**.

1. Dans la section **Administrateur délégué pour AWS Organizations**, choisissez **Delegate** (Déléguer) pour créer la politique de délégation Organizations.

1. Sur la page **Create Delegation policy** (Créer une politique de délégation), choisissez **Add new statement** (Ajouter une nouvelle déclaration).

1. Réglez **l'effet** sur `Allow`.

1. Ajoutez `Principal` pour définir les comptes membres auxquels vous souhaitez déléguer.

1. Dans la liste des **actions**, choisissez les actions que vous souhaitez déléguer. Vous pouvez utiliser les **actions de filtrage** pour affiner les choix.

1. Pour spécifier si le compte de membre délégué peut associer des politiques à la racine de l'organisation ou aux unités organisationnelles (OUs), définissez`Resources`. Vous devez également sélectionner `policy` comme type de ressource. Vous pouvez spécifier des ressources de la manière suivante :
   + Choisissez **Add a resource** (Ajouter une ressource) et créez l'ARN (Amazon Resource Name) en suivant les instructions de la boîte de dialogue.
   + Répertoriez les ressources ARNs manuellement dans l'éditeur. Pour plus d'informations sur la syntaxe de l'ARN, consultez [Amazon Resource Name (ARN)](https://docs.aws.amazon.com/general/latest/gr/aws-arns-and-namespaces.html) dans le Guide de référence AWS général. Pour plus d'informations sur ARNs l'utilisation de l'élément ressource d'une stratégie, voir [Éléments de stratégie IAM JSON : Ressource](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_resource.html).

1. Choisissez **Add a condition** (Ajouter une condition) pour spécifier d'autres conditions, notamment le type de politique que vous souhaitez déléguer. Choisissez la **clé de condition**, la **clé de balise**, le **qualificateur** et l'**opérateur** de la condition, puis saisissez une **Value**. Lorsque vous avez terminé, choisissez **Add condition** (Ajouter une condition). Pour plus d'informations sur l'élément **Condition**, consultez [Éléments de politique JSON IAM : Condition](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) dans la référence de politique JSON IAM.

1. Pour ajouter d'autres blocs d'autorisation, choisissez **Add new statement** (Ajouter une nouvelle déclaration). Pour chaque bloc, répétez les étapes 5 à 9.

1. Résolvez les avertissements de sécurité, les erreurs ou les avertissements généraux générés durant la [validation de la politique](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_policy-validator.html), puis sélectionnez **Create policy** (Créer une politique) pour enregistrer votre travail.

------
#### [ AWS CLI & AWS SDKs ]

**Création d'une politique de délégation**  
Vous pouvez utiliser la commande suivante pour créer une politique de délégation : 
+ AWS CLI: [put-resource-policy](https://docs.aws.amazon.com/cli/latest/reference/organizations/put-resource-policy.html)

  L'exemple suivant crée une politique de délégation.

  ```
  $ aws organizations put-resource-policy --content
  {
      "Version": "2012-10-17",		 	 	 
      "Statement": [
          {
              "Sid": "Fully_manage_backup_policies",
              "Effect": "Allow",
              "Principal": {
                  "AWS": "135791357913"
              },
              "Action": [
                  "organizations:DescribeOrganization",
                  "organizations:ListAccounts",
                  "organizations:CreatePolicy",
                  "organizations:DescribePolicy",
                  "organizations:UpdatePolicy",
                  "organizations:DeletePolicy",
                  "organizations:AttachPolicy",
                  "organizations:DetachPolicy"
              ],
              "Resource": [
                  "arn:aws:organizations::246802468024:root/o-abcdef/r-pqrstu",
                  "arn:aws:organizations::246802468024:ou/o-abcdef/*",
                  "arn:aws:organizations::246802468024:account/o-abcdef/*",
                  "arn:aws:organizations::246802468024:organization/policy/backup_policy/*",
              ],
              "Condition": {
                  "StringLikeIfExists": {
                      "organizations:PolicyType": [
                          "BACKUP_POLICY"
                      ]
                  }
              }
          }
      ]
  }
  ```
+ AWS SDK : [PutResourcePolicy](https://docs.aws.amazon.com/organizations/latest/APIReference/API_PutResourcePolicy.html)

------

**Actions de politique de délégation prises en charge**  
Les actions suivantes sont prises en charge pour la politique de délégation : 
+ `AttachPolicy`
+ `CreatePolicy`
+ `DeletePolicy`
+ `DescribeAccount`
+ `DescribeCreateAccountStatus`
+ `DescribeEffectivePolicy`
+ `DescribeHandshake`
+ `DescribeOrganization`
+ `DescribeOrganizationalUnit`
+ `DescribePolicy`
+ `DescribeResourcePolicy`
+ `DetachPolicy`
+ `DisablePolicyType`
+ `EnablePolicyType`
+ `ListAccounts`
+ `ListAccountsForParent`
+ `ListAWSServiceAccessForOrganization`
+ `ListChildren`
+ `ListCreateAccountStatus`
+ `ListDelegatedAdministrators`
+ `ListDelegatedServicesForAccount`
+ `ListHandshakesForAccount`
+ `ListHandshakesForOrganization`
+ `ListOrganizationalUnitsForParent`
+ `ListParents`
+ `ListPolicies`
+ `ListPoliciesForTarget`
+ `ListRoots`
+ `ListTagsForResource`
+ `ListTargetsForPolicy`
+ `TagResource`
+ `UntagResource`
+ `UpdatePolicy`

**Clés de condition prises en charge**  
Seules les clés de condition prises en charge par AWS Organizations peuvent être utilisées pour la politique de délégation. Pour plus d'informations, consultez la section [Clés de condition pour AWS Organizations](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsorganizations.html#awsorganizations-policy-keys) la *référence d'autorisation de service*.

# Mettez à jour une politique de délégation basée sur les ressources avec AWS Organizations
<a name="orgs-policy-delegate-update"></a>

À partir du compte de gestion, mettez à jour une politique de délégation basée sur les ressources pour votre organisation et ajoutez une déclaration indiquant quels comptes membres peuvent effectuer des actions sur les politiques. Vous pouvez ajouter plusieurs déclarations dans la politique pour indiquer un ensemble d'autorisations différent pour les comptes membres.

**Autorisations minimales**  
Pour mettre à jour la politique de délégation basée sur les ressources, vous devez disposer des autorisations nécessaires pour exécuter les actions suivantes :  
`organizations:PutResourcePolicy`
`organizations:DescribeResourcePolicy` 
En outre, vous devez accorder aux rôles et aux utilisateurs du compte administrateur délégué les autorisations IAM correspondant aux actions requises. Sans autorisations IAM, on suppose que le principal appelant ne dispose pas des autorisations requises pour gérer les AWS Organizations politiques.

------
#### [ AWS Management Console ]

Ajoutez des instructions à la politique de délégation basée sur les ressources dans la AWS Management Console à l'aide de l'une des méthodes suivantes : 
+ **Politique JSON** : collez et personnalisez un exemple de politique de délégation basée sur les ressources à utiliser dans votre compte, ou saisissez votre propre document de politique JSON dans l'éditeur JSON.
+ **Éditeur visuel** : créez une nouvelle politique de délégation dans l'éditeur visuel, qui vous guide dans la création d'une politique de délégation sans avoir à écrire de syntaxe JSON.

**Utiliser l'éditeur de stratégie JSON pour mettre à jour une politique de délégation**

1. Connectez-vous à la [console AWS Organizations](https://console.aws.amazon.com/organizations/v2). Vous devez vous connecter en tant qu'utilisateur IAM, assumer un rôle IAM ou vous connecter en tant qu'utilisateur racine ([non recommandé](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials)) dans le compte de gestion de l'organisation.

1. Cliquez sur **Paramètres**.

1. Dans la AWS Organizations section **Administrateur délégué pour**, choisissez **Modifier** pour mettre à jour la politique de délégation des Organisations.

1. Entrez un document de stratégie JSON. Pour de plus amples informations sur le langage de la stratégie IAM, consultez la référence de [politique JSON IAM](https://docs.aws.amazon.com//IAM/latest/UserGuide/reference_policies.html).

1. Résolvez [les avertissements de sécurité, les erreurs ou les avertissements généraux](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_policy-validator.html) générés lors de la validation des politiques, puis choisissez **Créer une politique**.

**Utiliser l'éditeur visuel pour mettre à jour une politique de délégation**

1. Connectez-vous à la [console AWS Organizations](https://console.aws.amazon.com/organizations/v2). Vous devez vous connecter en tant qu'utilisateur IAM, assumer un rôle IAM ou vous connecter en tant qu'utilisateur racine ([non recommandé](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials)) dans le compte de gestion de l'organisation.

1. Cliquez sur **Paramètres**.

1. Dans la AWS Organizations section **Administrateur délégué pour**, choisissez **Modifier** pour mettre à jour la politique de délégation des Organisations.

1. Sur la page **Create Delegation policy** (Créer une politique de délégation), choisissez **Add new statement** (Ajouter une nouvelle déclaration).

1. Réglez **l'effet** sur `Allow`.

1. Ajoutez `Principal` pour définir les comptes membres auxquels vous souhaitez déléguer.

1. Dans la liste des **actions**, choisissez les actions que vous souhaitez déléguer. Vous pouvez utiliser les **actions de filtrage** pour affiner les choix.

1. Pour spécifier si le compte de membre délégué peut associer des politiques à la racine de l'organisation ou aux unités organisationnelles (OUs), définissez`Resources`. Vous devez également sélectionner `policy` comme type de ressource. Vous pouvez spécifier des ressources de la manière suivante :
   + Choisissez **Add a resource** (Ajouter une ressource) et créez l'ARN (Amazon Resource Name) en suivant les instructions de la boîte de dialogue.
   + Répertoriez les ressources ARNs manuellement dans l'éditeur. Pour plus d'informations sur la syntaxe de l'ARN, consultez [Amazon Resource Name (ARN)](https://docs.aws.amazon.com/general/latest/gr/aws-arns-and-namespaces.html) dans le Guide de référence AWS général. Pour plus d'informations sur ARNs l'utilisation de l'élément ressource d'une stratégie, voir [Éléments de stratégie IAM JSON : Ressource](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_resource.html).

1. Choisissez **Add a condition** (Ajouter une condition) pour spécifier d'autres conditions, notamment le type de politique que vous souhaitez déléguer. Choisissez la **clé de condition**, la **clé de balise**, le **qualificateur** et l'**opérateur** de la condition, puis saisissez une **Value**. Lorsque vous avez terminé, choisissez **Add condition** (Ajouter une condition). Pour plus d'informations sur l'élément **Condition**, consultez [Éléments de politique JSON IAM : Condition](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) dans la référence de politique JSON IAM.

1. Pour ajouter d'autres blocs d'autorisation, choisissez **Add new statement** (Ajouter une nouvelle déclaration). Pour chaque bloc, répétez les étapes 5 à 9.

1. Résolvez les avertissements de sécurité, les erreurs ou les avertissements généraux générés lors de [la validation de la politique](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_policy-validator.html), puis choisissez **Enregistrer la politique**.

------
#### [ AWS CLI & AWS SDKs ]

**Création ou mise à jour d'une politique de délégation**  
Vous pouvez utiliser les commandes suivantes pour mettre à jour une politique de délégation : 
+ AWS CLI: [put-resource-policy](https://docs.aws.amazon.com/cli/latest/reference/organizations/put-resource-policy.html)

  L'exemple suivant crée ou met à jour la politique de délégation.

  ```
  $ aws organizations put-resource-policy --content
  {
      "Version": "2012-10-17",		 	 	 
      "Statement": [
          {
              "Sid": "Fully_manage_backup_policies",
              "Effect": "Allow",
              "Principal": {
                  "AWS": "135791357913"
              },
              "Action": [
                  "organizations:DescribeOrganization",
                  "organizations:ListAccounts",
                  "organizations:CreatePolicy",
                  "organizations:DescribePolicy",
                  "organizations:UpdatePolicy",
                  "organizations:DeletePolicy",
                  "organizations:AttachPolicy",
                  "organizations:DetachPolicy"
              ],
              "Resource": [
                  "arn:aws:organizations::246802468024:root/o-abcdef/r-pqrstu",
                  "arn:aws:organizations::246802468024:ou/o-abcdef/*",
                  "arn:aws:organizations::246802468024:account/o-abcdef/*",
                  "arn:aws:organizations::246802468024:organization/policy/backup_policy/*",
              ],
              "Condition": {
                  "StringLikeIfExists": {
                      "organizations:PolicyType": [
                          "BACKUP_POLICY"
                      ]
                  }
              }
          }
      ]
  }
  ```
+ AWS SDK : [PutResourcePolicy](https://docs.aws.amazon.com/organizations/latest/APIReference/API_PutResourcePolicy.html)

------

**Actions de politique de délégation prises en charge**  
Les actions suivantes sont prises en charge pour la politique de délégation : 
+ `AttachPolicy`
+ `CreatePolicy`
+ `DeletePolicy`
+ `DescribeAccount`
+ `DescribeCreateAccountStatus`
+ `DescribeEffectivePolicy`
+ `DescribeHandshake`
+ `DescribeOrganization`
+ `DescribeOrganizationalUnit`
+ `DescribePolicy`
+ `DescribeResourcePolicy`
+ `DetachPolicy`
+ `DisablePolicyType`
+ `EnablePolicyType`
+ `ListAccounts`
+ `ListAccountsForParent`
+ `ListAWSServiceAccessForOrganization`
+ `ListChildren`
+ `ListCreateAccountStatus`
+ `ListDelegatedAdministrators`
+ `ListDelegatedServicesForAccount`
+ `ListHandshakesForAccount`
+ `ListHandshakesForOrganization`
+ `ListOrganizationalUnitsForParent`
+ `ListParents`
+ `ListPolicies`
+ `ListPoliciesForTarget`
+ `ListRoots`
+ `ListTagsForResource`
+ `ListTargetsForPolicy`
+ `TagResource`
+ `UntagResource`
+ `UpdatePolicy`

**Clés de condition prises en charge**  
Seules les clés de condition prises en charge par AWS Organizations peuvent être utilisées pour la politique de délégation. Pour plus d'informations, consultez la section [Clés de condition pour AWS Organizations](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsorganizations.html#awsorganizations-policy-keys) la *référence d'autorisation de service*.

# Consultez une politique de délégation basée sur les ressources avec AWS Organizations
<a name="view-delegated-resource-based-policy"></a>

À partir du compte de gestion, consultez la politique de délégation basée sur les ressources de votre organisation pour comprendre quels administrateurs délégués ont accès à la gestion de quels types de politiques.

**Autorisations minimales**  
Pour créer ou mettre à jour la politique de délégation basée sur les ressources, vous devez disposer de l'autorisation d'exécuter les actions suivantes : `organizations:DescribeResourcePolicy`. 

------
#### [ AWS Management Console ]

**Pour afficher une politique de délégation**

1. Connectez-vous à la [console AWS Organizations](https://console.aws.amazon.com/organizations/v2). Vous devez vous connecter en tant qu'utilisateur IAM, assumer un rôle IAM ou vous connecter en tant qu'utilisateur racine ([non recommandé](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials)) dans le compte de gestion de l'organisation.

1. Cliquez sur **Paramètres**.

1. Dans la section **Administrateur délégué pour AWS Organizations**, faites défiler la page pour afficher la politique de délégation complète.

------
#### [ AWS CLI & AWS SDKs ]

**Afficher une politique de délégation**  
Vous pouvez utiliser la commande suivante pour supprimer une politique de délégation : 
+ AWS CLI: [describe-resource-policy](https://docs.aws.amazon.com/cli/latest/reference/organizations/describe-resource-policy.html)

  L'exemple suivant extrait la politique.

  ```
  $ aws organizations describe-resource-policy
  ```
+ AWS SDK : [DescribeResourcePolicy](https://docs.aws.amazon.com/organizations/latest/APIReference/API_DescribeResourcePolicy.html)

------

# Supprimer une politique de délégation basée sur les ressources avec AWS Organizations
<a name="delete-delegated-resource-based-policy"></a>

Lorsque vous n'avez plus besoin de déléguer la gestion des politiques dans votre organisation, vous pouvez supprimer la stratégie de délégation basée sur les ressources du compte de gestion de l'organisation.

**Important**  
Si vous supprimez votre politique de délégation basée sur les ressources, vous ne pouvez pas la récupérer.

**Autorisations minimales**  
Pour supprimer la politique de délégation basée sur les ressources, vous devez disposer de l'autorisation d'exécuter les actions suivantes : `organizations:DeleteResourcePolicy`. 

------
#### [ AWS Management Console ]

**Pour supprimer une politique de délégation**

1. Connectez-vous à la [console AWS Organizations](https://console.aws.amazon.com/organizations/v2). Vous devez vous connecter en tant qu'utilisateur IAM, assumer un rôle IAM ou vous connecter en tant qu'utilisateur racine ([non recommandé](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials)) dans le compte de gestion de l'organisation.

1. Cliquez sur **Paramètres**.

1. Dans la section **Administrateur délégué pour AWS Organizations**, choisissez **Supprimer**.

1. Dans la boîte de dialogue de confirmation **Delete Policy** (Supprimer la politique), tapez **delete**. Choisissez **Delete policy (Supprimer la politique)**.

------
#### [ AWS CLI & AWS SDKs ]

**Supprimer une politique de délégation**  
Vous pouvez utiliser la commande suivante pour supprimer une politique de délégation : 
+ AWS CLI: [delete-resource-policy](https://docs.aws.amazon.com/cli/latest/reference/organizations/delete-resource-policy.html)

  L'exemple suivant supprime la politique.

  ```
  $ aws organizations delete-resource-policy
  ```
+ AWS SDK : [DeleteResourcePolicy](https://docs.aws.amazon.com/organizations/latest/APIReference/API_DeleteResourcePolicy.html)

------