As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

# Administrador delegado para AWS Organizations
<a name="orgs_delegate_policies"></a>

Recomendamos que você use a conta AWS Organizations de gerenciamento e seus usuários e funções somente para tarefas que devem ser executadas por essa conta. Também recomendamos armazenar todos os seus recursos da  AWS  em outras contas-membro na organização e mantê-las fora da conta de gerenciamento. Isso ocorre porque os recursos de segurança, como as políticas de controle de serviços (SCPs) do Organizations, não restringem usuários ou funções na conta de gerenciamento. 

Na conta de gerenciamento da organização, é possível delegar o gerenciamento de políticas do Organization para contas-membro especificadas para executar ações de políticas que, por padrão, estão disponíveis somente para a conta de gerenciamento.

Para ver exemplos de políticas de delegação baseadas em recursos, consulte [Exemplos de políticas baseadas em recursos para AWS Organizations](security_iam_resource-based-policy-examples.md).

**Topics**
+ [Criar uma política de delegação baseada em recursos](orgs-policy-delegate.md)
+ [Atualizar uma política de delegação baseada em recursos](orgs-policy-delegate-update.md)
+ [Visualizar uma política de delegação baseada em recursos](view-delegated-resource-based-policy.md)
+ [Excluir uma política de delegação baseada em recursos](delete-delegated-resource-based-policy.md)

# Crie uma política de delegação baseada em recursos com AWS Organizations
<a name="orgs-policy-delegate"></a>

Na conta de gerenciamento, crie uma política de delegação baseada em recursos para sua organização e adicione uma instrução que especifique quais contas-membro podem executar ações de acordo com as políticas. É possível adicionar diversas instruções na política para denotar um conjunto diferente de permissões às contas-membro.

**Permissões mínimas**  
Para criar a política de delegação baseada em recursos, você precisa de permissões para executar as seguintes ações:  
`organizations:PutResourcePolicy`
`organizations:DescribeResourcePolicy` 
Além disso, você deve conceder aos perfis e usuários na conta do administrador delegado as permissões do IAM correspondentes para as ações necessárias. Sem as permissões do IAM, presume-se que o responsável pela chamada não tenha as permissões necessárias para gerenciar AWS Organizations políticas.

------
#### [ Console de gerenciamento da AWS ]

Adicione instruções à política de delegação baseada em recursos no Console de gerenciamento da AWS usando um dos métodos a seguir: 
+ **Política JSON**: cole e personalize um exemplo de política de delegação baseada em recursos para usar em sua conta ou digite seu próprio documento de política JSON no editor JSON.
+ **Editor visual**: crie uma nova política de delegação no editor visual, que orienta você na criação de uma política de delegação sem a necessidade de escrever uma sintaxe JSON.

**Usar o editor de políticas JSON para criar uma política de delegação**

1. Faça login no [console do AWS Organizations](https://console.aws.amazon.com/organizations/v2). Você deve fazer login como um usuário do IAM, assumir uma função do IAM ou fazer login como usuário-raiz ([não recomendado](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials)) na conta de gerenciamento da organização.

1. Escolha **Configurações**.

1. Na seção **Administrador delegado para o  AWS Organizations**, escolha **Delegar** para criar a política de delegação do Organizations.

1. Insira um documento de política JSON. Para obter detalhes sobre a linguagem da política do IAM, consulte a referência de [política JSON do IAM](https://docs.aws.amazon.com//IAM/latest/UserGuide/reference_policies.html).

1. Resolva quaisquer [avisos de segurança, erros ou avisos gerais](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_policy-validator.html) gerados durante a validação da política e, em seguida, escolha **Create policy** (Criar política) para salvar seu trabalho.

**Usar o editor visual para criar uma política de delegação**

1. Faça login no [console do AWS Organizations](https://console.aws.amazon.com/organizations/v2). Você deve fazer login como um usuário do IAM, assumir uma função do IAM ou fazer login como usuário-raiz ([não recomendado](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials)) na conta de gerenciamento da organização.

1. Escolha **Configurações**.

1. Na seção **Administrador delegado para o  AWS Organizations**, escolha **Delegar** para criar a política de delegação do Organizations.

1. Na página **Create Delegation policy** (Criar política de delegação), escolha **Add new statement** (Adicionar nova instrução).

1. Defina **Effect** (Efeito) como `Allow`.

1. Adicione `Principal` para definir as contas-membro às quais você deseja delegar.

1. Na lista de **Actions** (Ações), escolha as ações que deseja delegar. É possível usar **Filter actions** (Filtrar ações) para restringir as opções.

1. Para especificar se a conta do membro delegado pode anexar políticas à raiz da organização ou às unidades organizacionais (OUs), `Resources` defina. Você também deve selecionar `policy` como um tipo de recurso. É possível especificar recursos das seguintes maneiras:
   + Escolha **Add a resource** (Adicionar um recurso) e crie o nome do recurso da Amazon (ARN) seguindo as instruções na caixa de diálogo.
   + Liste o recurso ARNs manualmente no editor. Para obter mais informações sobre a sintaxe do ARN, consulte [Amazon Resource Name (ARN)](https://docs.aws.amazon.com/general/latest/gr/aws-arns-and-namespaces.html) no Guia de referência geral. AWS Para obter informações sobre o uso ARNs no elemento de recurso de uma política, consulte [Elementos de política JSON do IAM: Recurso](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_resource.html).

1. Escolha **Add a condition** (Adicionar uma condição) para especificar outras condições, incluindo o tipo de política que você deseja delegar. Escolha a **Condition key** (Chave de condição), a **Tag key** (Chave de etiqueta), o **Qualifier** (Qualificador) e o **Operator** (Operador) para a condição e, em seguida, digite um **Value**. Ao terminar, selecione **Add condition** (Adicionar condição). Para obter mais informações sobre o elemento **Condition** (Condição), consulte [Elementos de política JSON do IAM: Condition](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) na referência de política JSON do IAM.

1. Para adicionar mais blocos de permissão, escolha **Add new statement** (Adicionar nova instrução). Para cada bloco, repita as etapas de 5 a 9.

1. Resolva quaisquer avisos de segurança, erros ou avisos gerais gerados durante a [validação da política](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_policy-validator.html) e, em seguida, escolha **Create policy** (Criar política) para salvar seu trabalho.

------
#### [ AWS CLI & AWS SDKs ]

**Criar uma política de delegação**  
É possível usar o comando a seguir para criar uma política de delegação: 
+ AWS CLI: [put-resource-policy](https://docs.aws.amazon.com/cli/latest/reference/organizations/put-resource-policy.html)

  O exemplo a seguir cria uma política de delegação.

  ```
  $ aws organizations put-resource-policy --content
  {
      "Version": "2012-10-17",		 	 	 
      "Statement": [
          {
              "Sid": "Fully_manage_backup_policies",
              "Effect": "Allow",
              "Principal": {
                  "AWS": "135791357913"
              },
              "Action": [
                  "organizations:DescribeOrganization",
                  "organizations:ListAccounts",
                  "organizations:CreatePolicy",
                  "organizations:DescribePolicy",
                  "organizations:UpdatePolicy",
                  "organizations:DeletePolicy",
                  "organizations:AttachPolicy",
                  "organizations:DetachPolicy"
              ],
              "Resource": [
                  "arn:aws:organizations::246802468024:root/o-abcdef/r-pqrstu",
                  "arn:aws:organizations::246802468024:ou/o-abcdef/*",
                  "arn:aws:organizations::246802468024:account/o-abcdef/*",
                  "arn:aws:organizations::246802468024:organization/policy/backup_policy/*",
              ],
              "Condition": {
                  "StringLikeIfExists": {
                      "organizations:PolicyType": [
                          "BACKUP_POLICY"
                      ]
                  }
              }
          }
      ]
  }
  ```
+ AWS SDK: [PutResourcePolicy](https://docs.aws.amazon.com/organizations/latest/APIReference/API_PutResourcePolicy.html)

------

**Ações de política de delegação com suporte**  
Para a política de delegação, há suporte para as ações a seguir: 
+ `AttachPolicy`
+ `CreatePolicy`
+ `DeletePolicy`
+ `DescribeAccount`
+ `DescribeCreateAccountStatus`
+ `DescribeEffectivePolicy`
+ `DescribeHandshake`
+ `DescribeOrganization`
+ `DescribeOrganizationalUnit`
+ `DescribePolicy`
+ `DescribeResourcePolicy`
+ `DetachPolicy`
+ `DisablePolicyType`
+ `EnablePolicyType`
+ `ListAccounts`
+ `ListAccountsForParent`
+ `ListAWSServiceAccessForOrganization`
+ `ListChildren`
+ `ListCreateAccountStatus`
+ `ListDelegatedAdministrators`
+ `ListDelegatedServicesForAccount`
+ `ListHandshakesForAccount`
+ `ListHandshakesForOrganization`
+ `ListOrganizationalUnitsForParent`
+ `ListParents`
+ `ListPolicies`
+ `ListPoliciesForTarget`
+ `ListRoots`
+ `ListTagsForResource`
+ `ListTargetsForPolicy`
+ `TagResource`
+ `UntagResource`
+ `UpdatePolicy`

**Chaves de condição compatíveis**  
Somente as chaves de condição suportadas pelo AWS Organizations podem ser usadas para a política de delegação. Para obter mais informações, consulte [Chaves de condição do AWS Organizations](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsorganizations.html#awsorganizations-policy-keys) na *Referência de autorização do serviço*.

# Atualize uma política de delegação baseada em recursos com AWS Organizations
<a name="orgs-policy-delegate-update"></a>

Na conta de gerenciamento, atualize uma política de delegação baseada em recursos para sua organização e adicione uma instrução que especifique quais contas-membro podem executar ações de acordo com as políticas. É possível adicionar diversas instruções na política para denotar um conjunto diferente de permissões às contas-membro.

**Permissões mínimas**  
Para atualizar a política de delegação baseada em recursos, você precisa de permissões para executar as seguintes ações:  
`organizations:PutResourcePolicy`
`organizations:DescribeResourcePolicy` 
Além disso, você deve conceder aos perfis e usuários na conta do administrador delegado as permissões do IAM correspondentes para as ações necessárias. Sem as permissões do IAM, presume-se que o responsável pela chamada não tenha as permissões necessárias para gerenciar AWS Organizations políticas.

------
#### [ Console de gerenciamento da AWS ]

Adicione instruções à política de delegação baseada em recursos no Console de gerenciamento da AWS usando um dos métodos a seguir: 
+ **Política JSON**: cole e personalize um exemplo de política de delegação baseada em recursos para usar em sua conta ou digite seu próprio documento de política JSON no editor JSON.
+ **Editor visual**: crie uma nova política de delegação no editor visual, que orienta você na criação de uma política de delegação sem a necessidade de escrever uma sintaxe JSON.

**Usar o editor de políticas JSON para atualizar uma política de delegação**

1. Faça login no [console do AWS Organizations](https://console.aws.amazon.com/organizations/v2). Você deve fazer login como um usuário do IAM, assumir uma função do IAM ou fazer login como usuário-raiz ([não recomendado](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials)) na conta de gerenciamento da organização.

1. Escolha **Configurações**.

1. Na seção **Administrador delegado do  AWS Organizations**, escolha **Editar** para atualizar a política de delegação do Organizations.

1. Insira um documento de política JSON. Para obter detalhes sobre a linguagem da política do IAM, consulte a referência de [política JSON do IAM](https://docs.aws.amazon.com//IAM/latest/UserGuide/reference_policies.html).

1. Resolva quaisquer [avisos de segurança, erros ou avisos gerais](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_policy-validator.html) gerados durante a validação de política e, depois, escolha **Criar política**.

**Usar o editor visual para atualizar uma política de delegação**

1. Faça login no [console do AWS Organizations](https://console.aws.amazon.com/organizations/v2). Você deve fazer login como um usuário do IAM, assumir uma função do IAM ou fazer login como usuário-raiz ([não recomendado](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials)) na conta de gerenciamento da organização.

1. Escolha **Configurações**.

1. Na seção **Administrador delegado do  AWS Organizations**, escolha **Editar** para atualizar a política de delegação do Organizations.

1. Na página **Create Delegation policy** (Criar política de delegação), escolha **Add new statement** (Adicionar nova instrução).

1. Defina **Effect** (Efeito) como `Allow`.

1. Adicione `Principal` para definir as contas-membro às quais você deseja delegar.

1. Na lista de **Actions** (Ações), escolha as ações que deseja delegar. É possível usar **Filter actions** (Filtrar ações) para restringir as opções.

1. Para especificar se a conta do membro delegado pode anexar políticas à raiz da organização ou às unidades organizacionais (OUs), `Resources` defina. Você também deve selecionar `policy` como um tipo de recurso. É possível especificar recursos das seguintes maneiras:
   + Escolha **Add a resource** (Adicionar um recurso) e crie o nome do recurso da Amazon (ARN) seguindo as instruções na caixa de diálogo.
   + Liste o recurso ARNs manualmente no editor. Para obter mais informações sobre a sintaxe do ARN, consulte [Amazon Resource Name (ARN)](https://docs.aws.amazon.com/general/latest/gr/aws-arns-and-namespaces.html) no Guia de referência geral. AWS Para obter informações sobre o uso ARNs no elemento de recurso de uma política, consulte [Elementos de política JSON do IAM: Recurso](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_resource.html).

1. Escolha **Add a condition** (Adicionar uma condição) para especificar outras condições, incluindo o tipo de política que você deseja delegar. Escolha a **Condition key** (Chave de condição), a **Tag key** (Chave de etiqueta), o **Qualifier** (Qualificador) e o **Operator** (Operador) para a condição e, em seguida, digite um **Value**. Ao terminar, selecione **Add condition** (Adicionar condição). Para obter mais informações sobre o elemento **Condition** (Condição), consulte [Elementos de política JSON do IAM: Condition](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) na referência de política JSON do IAM.

1. Para adicionar mais blocos de permissão, escolha **Add new statement** (Adicionar nova instrução). Para cada bloco, repita as etapas de 5 a 9.

1. Resolva quaisquer avisos de segurança, erros ou avisos gerais gerados durante a [validação de política](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_policy-validator.html) e, depois, escolha **Salvar política**.

------
#### [ AWS CLI & AWS SDKs ]

**Criar ou atualizar uma política de delegação**  
É possível usar o comando a seguir para criar ou atualizar uma política de delegação: 
+ AWS CLI: [put-resource-policy](https://docs.aws.amazon.com/cli/latest/reference/organizations/put-resource-policy.html)

  O exemplo a seguir cria ou atualiza uma política de delegação.

  ```
  $ aws organizations put-resource-policy --content
  {
      "Version": "2012-10-17",		 	 	 
      "Statement": [
          {
              "Sid": "Fully_manage_backup_policies",
              "Effect": "Allow",
              "Principal": {
                  "AWS": "135791357913"
              },
              "Action": [
                  "organizations:DescribeOrganization",
                  "organizations:ListAccounts",
                  "organizations:CreatePolicy",
                  "organizations:DescribePolicy",
                  "organizations:UpdatePolicy",
                  "organizations:DeletePolicy",
                  "organizations:AttachPolicy",
                  "organizations:DetachPolicy"
              ],
              "Resource": [
                  "arn:aws:organizations::246802468024:root/o-abcdef/r-pqrstu",
                  "arn:aws:organizations::246802468024:ou/o-abcdef/*",
                  "arn:aws:organizations::246802468024:account/o-abcdef/*",
                  "arn:aws:organizations::246802468024:organization/policy/backup_policy/*",
              ],
              "Condition": {
                  "StringLikeIfExists": {
                      "organizations:PolicyType": [
                          "BACKUP_POLICY"
                      ]
                  }
              }
          }
      ]
  }
  ```
+ AWS SDK: [PutResourcePolicy](https://docs.aws.amazon.com/organizations/latest/APIReference/API_PutResourcePolicy.html)

------

**Ações de política de delegação com suporte**  
Para a política de delegação, há suporte para as ações a seguir: 
+ `AttachPolicy`
+ `CreatePolicy`
+ `DeletePolicy`
+ `DescribeAccount`
+ `DescribeCreateAccountStatus`
+ `DescribeEffectivePolicy`
+ `DescribeHandshake`
+ `DescribeOrganization`
+ `DescribeOrganizationalUnit`
+ `DescribePolicy`
+ `DescribeResourcePolicy`
+ `DetachPolicy`
+ `DisablePolicyType`
+ `EnablePolicyType`
+ `ListAccounts`
+ `ListAccountsForParent`
+ `ListAWSServiceAccessForOrganization`
+ `ListChildren`
+ `ListCreateAccountStatus`
+ `ListDelegatedAdministrators`
+ `ListDelegatedServicesForAccount`
+ `ListHandshakesForAccount`
+ `ListHandshakesForOrganization`
+ `ListOrganizationalUnitsForParent`
+ `ListParents`
+ `ListPolicies`
+ `ListPoliciesForTarget`
+ `ListRoots`
+ `ListTagsForResource`
+ `ListTargetsForPolicy`
+ `TagResource`
+ `UntagResource`
+ `UpdatePolicy`

**Chaves de condição compatíveis**  
Somente as chaves de condição suportadas pelo AWS Organizations podem ser usadas para a política de delegação. Para obter mais informações, consulte [Chaves de condição do AWS Organizations](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsorganizations.html#awsorganizations-policy-keys) na *Referência de autorização do serviço*.

# Veja uma política de delegação baseada em recursos com AWS Organizations
<a name="view-delegated-resource-based-policy"></a>

Na conta de gerenciamento, visualize a política de delegação baseada em recursos da sua organização para entender quais administradores delegados têm acesso para gerenciar quais tipos de política.

**Permissões mínimas**  
Para visualizar a política de delegação baseada em recursos, você precisa de permissões para executar a seguinte ação: `organizations:DescribeResourcePolicy`. 

------
#### [ Console de gerenciamento da AWS ]

**Visualizar uma política de delegação**

1. Faça login no [console do AWS Organizations](https://console.aws.amazon.com/organizations/v2). Você deve fazer login como um usuário do IAM, assumir uma função do IAM ou fazer login como usuário-raiz ([não recomendado](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials)) na conta de gerenciamento da organização.

1. Escolha **Configurações**.

1. Na seção **Administrador delegado para o  AWS Organizations**, role para visualizar a política de delegação completa.

------
#### [ AWS CLI & AWS SDKs ]

**Visualizar uma política de delegação**  
Você pode usar o comando a seguir para visualizar uma política de delegação: 
+ AWS CLI: [describe-resource-policy](https://docs.aws.amazon.com/cli/latest/reference/organizations/describe-resource-policy.html)

  O exemplo a seguir recupera a política.

  ```
  $ aws organizations describe-resource-policy
  ```
+ AWS SDK: [DescribeResourcePolicy](https://docs.aws.amazon.com/organizations/latest/APIReference/API_DescribeResourcePolicy.html)

------

# Exclua uma política de delegação baseada em recursos com AWS Organizations
<a name="delete-delegated-resource-based-policy"></a>

Quando não precisar mais delegar o gerenciamento de políticas em sua organização, você poderá excluir a política de delegação baseada em recursos da conta de gerenciamento da organização.

**Importante**  
Se você excluir sua política de delegação baseada em recursos, não será possível recuperá-la.

**Permissões mínimas**  
Para excluir a política de delegação baseada em recursos, você precisa de permissões para executar a seguinte ação: `organizations:DeleteResourcePolicy`. 

------
#### [ Console de gerenciamento da AWS ]

**Excluir uma política de delegação**

1. Faça login no [console do AWS Organizations](https://console.aws.amazon.com/organizations/v2). Você deve fazer login como um usuário do IAM, assumir uma função do IAM ou fazer login como usuário-raiz ([não recomendado](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials)) na conta de gerenciamento da organização.

1. Escolha **Configurações**.

1. Na seção **Administrador delegado para o  AWS Organizations**, escolha **Excluir**.

1. Na caixa de diálogo de confirmação para **Delete policy** (Excluir política), digite **delete**. Em seguida, escolha **Delete policy** (Excluir política).

------
#### [ AWS CLI & AWS SDKs ]

**Excluir uma política de delegação**  
É possível usar o comando a seguir para excluir uma política de delegação: 
+ AWS CLI: [delete-resource-policy](https://docs.aws.amazon.com/cli/latest/reference/organizations/delete-resource-policy.html)

  O exemplo a seguir exclui a política.

  ```
  $ aws organizations delete-resource-policy
  ```
+ AWS SDK: [DeleteResourcePolicy](https://docs.aws.amazon.com/organizations/latest/APIReference/API_DeleteResourcePolicy.html)

------