Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
# Administrator yang didelegasikan untuk AWS Organizations
Kami menyarankan Anda menggunakan akun AWS Organizations manajemen dan penggunanya dan perannya hanya untuk tugas-tugas yang harus dilakukan oleh akun itu. Kami juga menyarankan agar Anda menyimpan AWS sumber daya Anda di akun anggota lain di organisasi dan menjauhkannya dari akun manajemen. Ini karena fitur keamanan seperti kebijakan kontrol layanan Organizations (SCPs) tidak membatasi pengguna atau peran dalam akun manajemen.
Dari akun manajemen organisasi, Anda dapat mendelegasikan manajemen kebijakan untuk Organizations ke akun anggota tertentu untuk melakukan tindakan kebijakan yang secara default hanya tersedia untuk akun manajemen.
Misalnya kebijakan delegasi berbasis sumber daya, lihat. [Contoh kebijakan berbasis sumber daya untuk AWS Organizations](security_iam_resource-based-policy-examples.md)
**Topics**
+ [Membuat kebijakan delegasi berbasis sumber daya](orgs-policy-delegate.md)
+ [Memperbarui kebijakan delegasi berbasis sumber daya](orgs-policy-delegate-update.md)
+ [Melihat kebijakan delegasi berbasis sumber daya](view-delegated-resource-based-policy.md)
+ [Menghapus kebijakan delegasi berbasis sumber daya](delete-delegated-resource-based-policy.md)
# Membuat kebijakan delegasi berbasis sumber daya dengan AWS Organizations
Dari akun manajemen, buat kebijakan delegasi berbasis sumber daya untuk organisasi Anda dan tambahkan pernyataan yang menentukan akun anggota mana yang dapat melakukan tindakan pada kebijakan. Anda dapat menambahkan beberapa pernyataan dalam kebijakan untuk menunjukkan kumpulan izin yang berbeda ke akun anggota.
**Izin minimum**
Untuk membuat kebijakan delegasi berbasis sumber daya, Anda memerlukan izin untuk menjalankan tindakan berikut:
`organizations:PutResourcePolicy`
`organizations:DescribeResourcePolicy`
Selain itu, Anda harus memberikan peran dan pengguna di akun administrator yang didelegasikan izin IAM yang sesuai untuk tindakan yang diperlukan. Tanpa izin IAM, diasumsikan bahwa prinsipal panggilan tidak memiliki izin yang diperlukan untuk mengelola kebijakan. AWS Organizations
------
#### [ Konsol Manajemen AWS ]
Tambahkan pernyataan ke kebijakan delegasi berbasis sumber daya dalam Konsol Manajemen AWS menggunakan salah satu metode berikut:
+ **Kebijakan JSON** — Tempelkan dan sesuaikan contoh kebijakan delegasi berbasis sumber daya untuk digunakan di akun Anda, atau ketik dokumen kebijakan JSON Anda sendiri di editor JSON.
+ **Editor visual** - Buat kebijakan delegasi baru di editor visual, yang memandu Anda dalam membuat kebijakan delegasi tanpa harus menulis sintaks JSON.
**Menggunakan editor kebijakan JSON untuk membuat kebijakan delegasi**
1. Masuk ke [konsol AWS Organizations](https://console.aws.amazon.com/organizations/v2). Anda harus masuk sebagai pengguna IAM, mengambil IAM role, atau masuk sebagai pengguna root ([tidak direkomendasikan](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials)) di akun pengelolaan organisasi.
1. Pilih **Pengaturan**.
1. Di AWS Organizations bagian **Administrator yang didelegasikan**, pilih **Delegasi untuk membuat kebijakan delegasi** Organizations.
1. Masukkan dokumen kebijakan JSON. Untuk detail bahasa kebijakan IAM, lihat [Referensi kebijakan JSON IAM](https://docs.aws.amazon.com//IAM/latest/UserGuide/reference_policies.html).
1. Selesaikan [peringatan keamanan, kesalahan, atau peringatan umum](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_policy-validator.html) yang dihasilkan selama validasi kebijakan, lalu pilih **Buat kebijakan** untuk menyimpan pekerjaan Anda.
**Gunakan editor visual untuk membuat kebijakan delegasi**
1. Masuk ke [konsol AWS Organizations](https://console.aws.amazon.com/organizations/v2). Anda harus masuk sebagai pengguna IAM, mengambil IAM role, atau masuk sebagai pengguna root ([tidak direkomendasikan](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials)) di akun pengelolaan organisasi.
1. Pilih **Pengaturan**.
1. Di AWS Organizations bagian **Administrator yang didelegasikan**, pilih **Delegasi untuk membuat kebijakan delegasi** Organizations.
1. Pada halaman **kebijakan Buat Delegasi**, pilih **Tambahkan pernyataan baru**.
1. Atur **Efek** ke`Allow`.
1. Tambahkan `Principal` untuk menentukan akun anggota yang ingin Anda delegasikan.
1. Dari daftar **Tindakan**, pilih tindakan yang ingin Anda delegasikan. Anda dapat menggunakan **tindakan Filter** untuk mempersempit pilihan.
1. Untuk menentukan apakah akun anggota yang didelegasikan dapat melampirkan kebijakan ke root organisasi atau unit organisasi (OUs), tetapkan`Resources`. Anda juga harus memilih `policy` sebagai jenis sumber daya. Anda dapat menentukan sumber daya dengan cara berikut:
+ Pilih **Tambahkan sumber daya** dan buat Nama Sumber Daya Amazon (ARN) dengan mengikuti petunjuk di kotak dialog.
+ Daftar sumber daya ARNs secara manual di editor. Untuk informasi selengkapnya tentang sintaks ARN, lihat [Amazon Resource Name (ARN)](https://docs.aws.amazon.com/general/latest/gr/aws-arns-and-namespaces.html) di Panduan Referensi Umum. AWS Untuk informasi tentang penggunaan ARNs elemen sumber daya kebijakan, lihat [elemen kebijakan IAM JSON:](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_resource.html) Sumber daya.
1. Pilih **Tambahkan kondisi** untuk menentukan kondisi lain, termasuk jenis kebijakan yang ingin Anda delegasikan. Pilih kondisi **kondisi kunci, **Tag key****, **Qualifier**, dan **Operator**, dan kemudian ketik a**Value**. Setelah selesai, pilih **Tambahkan kondisi**. Untuk informasi selengkapnya tentang elemen **Kondisi**, lihat [elemen kebijakan IAM JSON: Kondisi dalam referensi kebijakan](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) IAM JSON.
1. Untuk menambahkan lebih banyak blok izin, pilih **Tambahkan pernyataan baru**. Untuk setiap blok, ulangi langkah 5 hingga 9.
1. Selesaikan peringatan keamanan, kesalahan, atau peringatan umum yang dihasilkan selama [validasi kebijakan](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_policy-validator.html), lalu pilih **Buat kebijakan** untuk menyimpan pekerjaan Anda.
------
#### [ AWS CLI & AWS SDKs ]
**Buat kebijakan delegasi**
Anda dapat menggunakan perintah berikut untuk membuat kebijakan delegasi:
+ AWS CLI: [put-resource-policy](https://docs.aws.amazon.com/cli/latest/reference/organizations/put-resource-policy.html)
Contoh berikut membuat kebijakan delegasi.
```
$ aws organizations put-resource-policy --content
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "Fully_manage_backup_policies",
"Effect": "Allow",
"Principal": {
"AWS": "135791357913"
},
"Action": [
"organizations:DescribeOrganization",
"organizations:ListAccounts",
"organizations:CreatePolicy",
"organizations:DescribePolicy",
"organizations:UpdatePolicy",
"organizations:DeletePolicy",
"organizations:AttachPolicy",
"organizations:DetachPolicy"
],
"Resource": [
"arn:aws:organizations::246802468024:root/o-abcdef/r-pqrstu",
"arn:aws:organizations::246802468024:ou/o-abcdef/*",
"arn:aws:organizations::246802468024:account/o-abcdef/*",
"arn:aws:organizations::246802468024:organization/policy/backup_policy/*",
],
"Condition": {
"StringLikeIfExists": {
"organizations:PolicyType": [
"BACKUP_POLICY"
]
}
}
}
]
}
```
+ AWS SDK: [PutResourcePolicy](https://docs.aws.amazon.com/organizations/latest/APIReference/API_PutResourcePolicy.html)
------
**Tindakan kebijakan delegasi yang didukung**
Tindakan berikut didukung untuk kebijakan delegasi:
+ `AttachPolicy`
+ `CreatePolicy`
+ `DeletePolicy`
+ `DescribeAccount`
+ `DescribeCreateAccountStatus`
+ `DescribeEffectivePolicy`
+ `DescribeHandshake`
+ `DescribeOrganization`
+ `DescribeOrganizationalUnit`
+ `DescribePolicy`
+ `DescribeResourcePolicy`
+ `DetachPolicy`
+ `DisablePolicyType`
+ `EnablePolicyType`
+ `ListAccounts`
+ `ListAccountsForParent`
+ `ListAWSServiceAccessForOrganization`
+ `ListChildren`
+ `ListCreateAccountStatus`
+ `ListDelegatedAdministrators`
+ `ListDelegatedServicesForAccount`
+ `ListHandshakesForAccount`
+ `ListHandshakesForOrganization`
+ `ListOrganizationalUnitsForParent`
+ `ListParents`
+ `ListPolicies`
+ `ListPoliciesForTarget`
+ `ListRoots`
+ `ListTagsForResource`
+ `ListTargetsForPolicy`
+ `TagResource`
+ `UntagResource`
+ `UpdatePolicy`
**Kunci kondisi yang didukung**
Hanya kunci kondisi yang didukung oleh yang AWS Organizations dapat digunakan untuk kebijakan delegasi. Untuk informasi selengkapnya, lihat [Kunci kondisi untuk AWS Organizations](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsorganizations.html#awsorganizations-policy-keys) *Referensi Otorisasi Layanan*.
# Memperbarui kebijakan delegasi berbasis sumber daya dengan AWS Organizations
Dari akun manajemen, perbarui kebijakan delegasi berbasis sumber daya untuk organisasi Anda dan tambahkan pernyataan yang menentukan akun anggota mana yang dapat melakukan tindakan pada kebijakan. Anda dapat menambahkan beberapa pernyataan dalam kebijakan untuk menunjukkan kumpulan izin yang berbeda ke akun anggota.
**Izin minimum**
Untuk memperbarui kebijakan delegasi berbasis sumber daya, Anda memerlukan izin untuk menjalankan tindakan berikut:
`organizations:PutResourcePolicy`
`organizations:DescribeResourcePolicy`
Selain itu, Anda harus memberikan peran dan pengguna di akun administrator yang didelegasikan izin IAM yang sesuai untuk tindakan yang diperlukan. Tanpa izin IAM, diasumsikan bahwa prinsipal panggilan tidak memiliki izin yang diperlukan untuk mengelola kebijakan. AWS Organizations
------
#### [ Konsol Manajemen AWS ]
Tambahkan pernyataan ke kebijakan delegasi berbasis sumber daya dalam Konsol Manajemen AWS menggunakan salah satu metode berikut:
+ **Kebijakan JSON** — Tempelkan dan sesuaikan contoh kebijakan delegasi berbasis sumber daya untuk digunakan di akun Anda, atau ketik dokumen kebijakan JSON Anda sendiri di editor JSON.
+ **Editor visual** - Buat kebijakan delegasi baru di editor visual, yang memandu Anda dalam membuat kebijakan delegasi tanpa harus menulis sintaks JSON.
**Menggunakan editor kebijakan JSON untuk memperbarui kebijakan delegasi**
1. Masuk ke [konsol AWS Organizations](https://console.aws.amazon.com/organizations/v2). Anda harus masuk sebagai pengguna IAM, mengambil IAM role, atau masuk sebagai pengguna root ([tidak direkomendasikan](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials)) di akun pengelolaan organisasi.
1. Pilih **Pengaturan**.
1. Di AWS Organizations bagian **Administrator yang didelegasikan**, pilih **Edit** untuk memperbarui kebijakan delegasi Organizations.
1. Masukkan dokumen kebijakan JSON. Untuk detail bahasa kebijakan IAM, lihat [Referensi kebijakan JSON IAM](https://docs.aws.amazon.com//IAM/latest/UserGuide/reference_policies.html).
1. **Selesaikan [peringatan keamanan, kesalahan, atau peringatan umum](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_policy-validator.html) yang dihasilkan selama validasi kebijakan, lalu pilih Buat kebijakan.**
**Menggunakan editor visual memperbarui kebijakan delegasi**
1. Masuk ke [konsol AWS Organizations](https://console.aws.amazon.com/organizations/v2). Anda harus masuk sebagai pengguna IAM, mengambil IAM role, atau masuk sebagai pengguna root ([tidak direkomendasikan](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials)) di akun pengelolaan organisasi.
1. Pilih **Pengaturan**.
1. Di AWS Organizations bagian **Administrator yang didelegasikan**, pilih **Edit** untuk memperbarui kebijakan delegasi Organizations.
1. Pada halaman **kebijakan Buat Delegasi**, pilih **Tambahkan pernyataan baru**.
1. Atur **Efek** ke`Allow`.
1. Tambahkan `Principal` untuk menentukan akun anggota yang ingin Anda delegasikan.
1. Dari daftar **Tindakan**, pilih tindakan yang ingin Anda delegasikan. Anda dapat menggunakan **tindakan Filter** untuk mempersempit pilihan.
1. Untuk menentukan apakah akun anggota yang didelegasikan dapat melampirkan kebijakan ke root organisasi atau unit organisasi (OUs), tetapkan`Resources`. Anda juga harus memilih `policy` sebagai jenis sumber daya. Anda dapat menentukan sumber daya dengan cara berikut:
+ Pilih **Tambahkan sumber daya** dan buat Nama Sumber Daya Amazon (ARN) dengan mengikuti petunjuk di kotak dialog.
+ Daftar sumber daya ARNs secara manual di editor. Untuk informasi selengkapnya tentang sintaks ARN, lihat [Amazon Resource Name (ARN)](https://docs.aws.amazon.com/general/latest/gr/aws-arns-and-namespaces.html) di Panduan Referensi Umum. AWS Untuk informasi tentang penggunaan ARNs elemen sumber daya kebijakan, lihat [elemen kebijakan IAM JSON:](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_resource.html) Sumber daya.
1. Pilih **Tambahkan kondisi** untuk menentukan kondisi lain, termasuk jenis kebijakan yang ingin Anda delegasikan. Pilih kondisi **kondisi kunci, **Tag key****, **Qualifier**, dan **Operator**, dan kemudian ketik a**Value**. Setelah selesai, pilih **Tambahkan kondisi**. Untuk informasi selengkapnya tentang elemen **Kondisi**, lihat [elemen kebijakan IAM JSON: Kondisi dalam referensi kebijakan](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) IAM JSON.
1. Untuk menambahkan lebih banyak blok izin, pilih **Tambahkan pernyataan baru**. Untuk setiap blok, ulangi langkah 5 hingga 9.
1. **Selesaikan peringatan keamanan, kesalahan, atau peringatan umum yang dihasilkan selama [validasi kebijakan](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_policy-validator.html), lalu pilih Simpan kebijakan.**
------
#### [ AWS CLI & AWS SDKs ]
**Membuat atau memperbarui kebijakan delegasi**
Anda dapat menggunakan perintah berikut untuk membuat atau memperbarui kebijakan delegasi:
+ AWS CLI: [put-resource-policy](https://docs.aws.amazon.com/cli/latest/reference/organizations/put-resource-policy.html)
Contoh berikut membuat atau memperbarui kebijakan delegasi.
```
$ aws organizations put-resource-policy --content
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "Fully_manage_backup_policies",
"Effect": "Allow",
"Principal": {
"AWS": "135791357913"
},
"Action": [
"organizations:DescribeOrganization",
"organizations:ListAccounts",
"organizations:CreatePolicy",
"organizations:DescribePolicy",
"organizations:UpdatePolicy",
"organizations:DeletePolicy",
"organizations:AttachPolicy",
"organizations:DetachPolicy"
],
"Resource": [
"arn:aws:organizations::246802468024:root/o-abcdef/r-pqrstu",
"arn:aws:organizations::246802468024:ou/o-abcdef/*",
"arn:aws:organizations::246802468024:account/o-abcdef/*",
"arn:aws:organizations::246802468024:organization/policy/backup_policy/*",
],
"Condition": {
"StringLikeIfExists": {
"organizations:PolicyType": [
"BACKUP_POLICY"
]
}
}
}
]
}
```
+ AWS SDK: [PutResourcePolicy](https://docs.aws.amazon.com/organizations/latest/APIReference/API_PutResourcePolicy.html)
------
**Tindakan kebijakan delegasi yang didukung**
Tindakan berikut didukung untuk kebijakan delegasi:
+ `AttachPolicy`
+ `CreatePolicy`
+ `DeletePolicy`
+ `DescribeAccount`
+ `DescribeCreateAccountStatus`
+ `DescribeEffectivePolicy`
+ `DescribeHandshake`
+ `DescribeOrganization`
+ `DescribeOrganizationalUnit`
+ `DescribePolicy`
+ `DescribeResourcePolicy`
+ `DetachPolicy`
+ `DisablePolicyType`
+ `EnablePolicyType`
+ `ListAccounts`
+ `ListAccountsForParent`
+ `ListAWSServiceAccessForOrganization`
+ `ListChildren`
+ `ListCreateAccountStatus`
+ `ListDelegatedAdministrators`
+ `ListDelegatedServicesForAccount`
+ `ListHandshakesForAccount`
+ `ListHandshakesForOrganization`
+ `ListOrganizationalUnitsForParent`
+ `ListParents`
+ `ListPolicies`
+ `ListPoliciesForTarget`
+ `ListRoots`
+ `ListTagsForResource`
+ `ListTargetsForPolicy`
+ `TagResource`
+ `UntagResource`
+ `UpdatePolicy`
**Kunci kondisi yang didukung**
Hanya kunci kondisi yang didukung oleh yang AWS Organizations dapat digunakan untuk kebijakan delegasi. Untuk informasi selengkapnya, lihat [Kunci kondisi untuk AWS Organizations](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsorganizations.html#awsorganizations-policy-keys) *Referensi Otorisasi Layanan*.
# Melihat kebijakan delegasi berbasis sumber daya dengan AWS Organizations
Dari akun manajemen, lihat kebijakan delegasi berbasis sumber daya organisasi Anda untuk memahami administrator yang didelegasikan yang memiliki akses untuk mengelola jenis kebijakan mana.
**Izin minimum**
Untuk melihat kebijakan delegasi berbasis sumber daya, Anda memerlukan izin untuk menjalankan tindakan berikut:. `organizations:DescribeResourcePolicy`
------
#### [ Konsol Manajemen AWS ]
**Untuk melihat kebijakan delegasi**
1. Masuk ke [konsol AWS Organizations](https://console.aws.amazon.com/organizations/v2). Anda harus masuk sebagai pengguna IAM, mengambil IAM role, atau masuk sebagai pengguna root ([tidak direkomendasikan](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials)) di akun pengelolaan organisasi.
1. Pilih **Pengaturan**.
1. Di AWS Organizations bagian **Administrator yang didelegasikan**, gulir untuk melihat kebijakan delegasi lengkap.
------
#### [ AWS CLI & AWS SDKs ]
**Melihat kebijakan delegasi**
Anda dapat menggunakan perintah berikut untuk melihat kebijakan delegasi:
+ AWS CLI: [describe-resource-policy](https://docs.aws.amazon.com/cli/latest/reference/organizations/describe-resource-policy.html)
Contoh berikut mengambil kebijakan.
```
$ aws organizations describe-resource-policy
```
+ AWS SDK: [DescribeResourcePolicy](https://docs.aws.amazon.com/organizations/latest/APIReference/API_DescribeResourcePolicy.html)
------
# Menghapus kebijakan delegasi berbasis sumber daya dengan AWS Organizations
Jika Anda tidak perlu lagi mendelegasikan pengelolaan kebijakan di organisasi, Anda dapat menghapus kebijakan delegasi berbasis sumber daya dari akun manajemen organisasi.
**penting**
Jika Anda menghapus kebijakan delegasi berbasis sumber daya, Anda tidak dapat memulihkannya.
**Izin minimum**
Untuk menghapus kebijakan delegasi berbasis sumber daya, Anda memerlukan izin untuk menjalankan tindakan berikut:. `organizations:DeleteResourcePolicy`
------
#### [ Konsol Manajemen AWS ]
**Untuk menghapus kebijakan delegasi**
1. Masuk ke [konsol AWS Organizations](https://console.aws.amazon.com/organizations/v2). Anda harus masuk sebagai pengguna IAM, mengambil IAM role, atau masuk sebagai pengguna root ([tidak direkomendasikan](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials)) di akun pengelolaan organisasi.
1. Pilih **Pengaturan**.
1. Di AWS Organizations bagian **Administrator yang didelegasikan untuk**, pilih **Hapus**.
1. Di kotak dialog **Hapus konfirmasi kebijakan**, ketik**delete**. Kemudian, pilih **Hapus kebijakan**.
------
#### [ AWS CLI & AWS SDKs ]
**Menghapus kebijakan delegasi**
Anda dapat menggunakan perintah berikut untuk menghapus kebijakan delegasi:
+ AWS CLI: [delete-resource-policy](https://docs.aws.amazon.com/cli/latest/reference/organizations/delete-resource-policy.html)
Contoh berikut menghapus kebijakan.
```
$ aws organizations delete-resource-policy
```
+ AWS SDK: [DeleteResourcePolicy](https://docs.aws.amazon.com/organizations/latest/APIReference/API_DeleteResourcePolicy.html)
------