本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。 # 使用以下命令更新基于资源的授权策略 AWS Organizations 在管理账户中,为您的组织更新基于资源的委派策略,并添加一条指定哪些成员账户可以对策略执行操作的语句。您可以在策略中添加多个语句来表示成员账户的不同权限集。 **最小权限** 要更新基于资源的委派策略,您需要有运行以下操作的权限: `organizations:PutResourcePolicy` `organizations:DescribeResourcePolicy` 此外,您必须向委托管理员账户中的角色和用户授予相应的 IAM 权限,以执行所需操作。如果没有 IAM 权限,则假设调用方委托人没有管理 AWS Organizations 策略所需的权限。 ------ #### [ AWS 管理控制台 ] 使用下列方法之一在 AWS 管理控制台 中向基于资源的委托策略中添加语句: + **JSON 策略** – 粘贴和自定义基于资源的委派策略示例,以便在您的账户中使用,或者在 JSON 编辑器中键入您自己的 JSON 策略文档。 + **可视化编辑器**:在可视化编辑器中构建新的委托策略,其可指导您创建委托策略,而无需编写 JSON 语法。 **使用 JSON 策略编辑器更新委派策略** 1. 登录 [AWS Organizations 控制台](https://console.aws.amazon.com/organizations/v2)。您必须以 IAM 用户的身份登录,担任 IAM 角色;或在组织的管理账户中以根用户的身份登录([不推荐](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials))。 1. 选择**设置**。 1. 在 ** AWS Organizations的委派管理员**部分中,选择**编辑**以更新 Organizations 委派策略。 1. 输入 JSON 策略文档。有关 IAM 策略语言的详细信息,请参阅 [IAM JSON 策略](https://docs.aws.amazon.com//IAM/latest/UserGuide/reference_policies.html)参考。 1. 解决在策略验证过程中生成的任何[安全警告、错误或常规警告](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_policy-validator.html),然后选择**创建策略**。 **使用可视化编辑器更新委派策略** 1. 登录 [AWS Organizations 控制台](https://console.aws.amazon.com/organizations/v2)。您必须以 IAM 用户的身份登录,担任 IAM 角色;或在组织的管理账户中以根用户的身份登录([不推荐](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials))。 1. 选择**设置**。 1. 在 ** AWS Organizations的委派管理员**部分中,选择**编辑**以更新 Organizations 委派策略。 1. 在 **Create Delegation policy**(创建委托策略)页面上,选择 **Add new statement**(添加新语句)。 1. 将 **Effect** 设置为 `Allow`。 1. 添加 `Principal` 以定义要委托的成员账户。 1. 从 **Actions**(操作)列表中选择要委托的操作。您可使用 **Filter actions**(筛选操作)缩小所选内容的范围。 1. 要指定委托成员账户是否可以将策略附加到组织根目录或组织单位 (OUs),请设置`Resources`。您还必须选择 `policy` 作为资源类型。您可以通过以下方式指定资源: + 选择 **Add a resource**(添加资源),并按照对话框中的提示构建 Amazon 资源名称(ARN)。 + 在编辑器中 ARNs 手动列出资源。有关 ARN 语法的更多信息,请参阅《通用参考指南》中的 [Amazon 资源名称 (ARN)](https://docs.aws.amazon.com/general/latest/gr/aws-arns-and-namespaces.html)。 AWS 有关在策略的资源元素 ARNs 中使用的信息,请参阅 [IAM JSON 策略元素:资源](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_resource.html)。 1. 选择 **Add a condition**(添加条件)以指定其他条件,包括要委托的策略类型。选择条件的 **Condition key**(条件键)、**Tag key**(标签键)、**Qualifier**(限定词)和 **Operator**(运算符),然后键入 **Value**。完成后,选择 **Add condition**(添加条件)。有关 **Condition** 元素的更多信息,请参阅 IAM JSON 策略参考中的 [IAM JSON 策略元素:Condition](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html)。 1. 要添加更多权限块,请选择 **Add new statement**(添加新语句)。对于每个块,重复步骤 5 到步骤 9。 1. 解决在[策略验证](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_policy-validator.html)过程中生成的任何安全警告、错误或常规警告,然后选择**保存策略**。 ------ #### [ AWS CLI & AWS SDKs ] **创建或更新委托策略** 可以使用以下命令创建或更新委托策略: + AWS CLI: [put-resource-policy](https://docs.aws.amazon.com/cli/latest/reference/organizations/put-resource-policy.html) 以下为创建或更新委托策略的示例。 ``` $ aws organizations put-resource-policy --content { "Version": "2012-10-17", "Statement": [ { "Sid": "Fully_manage_backup_policies", "Effect": "Allow", "Principal": { "AWS": "135791357913" }, "Action": [ "organizations:DescribeOrganization", "organizations:ListAccounts", "organizations:CreatePolicy", "organizations:DescribePolicy", "organizations:UpdatePolicy", "organizations:DeletePolicy", "organizations:AttachPolicy", "organizations:DetachPolicy" ], "Resource": [ "arn:aws:organizations::246802468024:root/o-abcdef/r-pqrstu", "arn:aws:organizations::246802468024:ou/o-abcdef/*", "arn:aws:organizations::246802468024:account/o-abcdef/*", "arn:aws:organizations::246802468024:organization/policy/backup_policy/*", ], "Condition": { "StringLikeIfExists": { "organizations:PolicyType": [ "BACKUP_POLICY" ] } } } ] } ``` + AWS 软件开发工具包:[PutResourcePolicy](https://docs.aws.amazon.com/organizations/latest/APIReference/API_PutResourcePolicy.html) ------ **支持的委托策略操作** 委托策略支持以下操作: + `AttachPolicy` + `CreatePolicy` + `DeletePolicy` + `DescribeAccount` + `DescribeCreateAccountStatus` + `DescribeEffectivePolicy` + `DescribeHandshake` + `DescribeOrganization` + `DescribeOrganizationalUnit` + `DescribePolicy` + `DescribeResourcePolicy` + `DetachPolicy` + `DisablePolicyType` + `EnablePolicyType` + `ListAccounts` + `ListAccountsForParent` + `ListAWSServiceAccessForOrganization` + `ListChildren` + `ListCreateAccountStatus` + `ListDelegatedAdministrators` + `ListDelegatedServicesForAccount` + `ListHandshakesForAccount` + `ListHandshakesForOrganization` + `ListOrganizationalUnitsForParent` + `ListParents` + `ListPolicies` + `ListPoliciesForTarget` + `ListRoots` + `ListTagsForResource` + `ListTargetsForPolicy` + `TagResource` + `UntagResource` + `UpdatePolicy` **支持的条件键** 只有支持的条件键 AWS Organizations 才能用于委托策略。有关更多信息,请参阅《服务授权参考》中的 [Condition keys for AWS Organizations](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsorganizations.html#awsorganizations-policy-keys)**。