本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# AWS 的托管策略 AWS Organizations
本节列出了为 AWS管理组织而提供的托管策略。您无法修改或删除 AWS 托管策略,但可以根据需要将其附加到组织中的实体或将其分离到组织中的实体。
## AWS Organizations 用于 AWS Identity and Access Management (IAM) 的托管策略
IAM 托管式策略由 AWS提供和维护。托管式策略为常见任务提供权限,您可以通过将托管式策略附加到相应的 IAM 用户或角色对象来为其分配权限。您不必自己编写政策,当根据需要 AWS 更新政策以支持新服务时,您会自动立即从更新中受益。
您可以在 IAM 控制台的 [Policies (策略)](https://console.aws.amazon.com/iam/home?#/policies) 页面中查看 AWS 托管式策略的列表。使用 **Filter policies (筛选策略)** 下拉菜单,选择 **AWS managed (亚马逊云科技托管)**。
您可以使用以下托管式策略向组织中的用户授予权限。
### AWS 托管策略:AWSOrganizationsFullAccess
提供创建和完全管理组织所需的所有权限。
查看策略:[https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSOrganizationsFullAccess.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSOrganizationsFullAccess.html)。
### AWS 托管策略:AWSOrganizationsReadOnlyAccess
提供对组织信息的只读访问权限。它不允许用户进行任何更改。
查看策略:[https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSOrganizationsReadOnlyAccess.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSOrganizationsReadOnlyAccess.html)。
### AWS 托管策略:DeclarativePoliciesEC2Report
[AWSServiceRoleForDeclarativePoliciesEC2报告](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_integrate_services.html#ec2-report-policy)服务相关角色使用此策略来描述成员账户的账户属性状态。
查看政策:[DeclarativePoliciesEC2报告](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/DeclarativePoliciesEC2Report.html)。
## 对组织托 AWS 管政策的更新
下表详细说明了自该服务开始跟踪这些更改以来对 AWS 托管策略的更新。如需此页面更改的自动提示,请订阅[文档历史记录](document-history.md)页面上的 RSS 源。
****
| 更改 | 描述 | 日期 |
| --- | --- | --- |
| [AWSOrganizationsFullAccess](https://console.aws.amazon.com/iam/home?#/policies/arn:aws:iam::aws:policy/AWSOrganizationsFullAccess$jsonEditor)— 更新为允许通过 Organizations 控制台查看或修改账户名所需的账户 API 权限。 | 添加了 `account:GetAccountInformation` 操作,以启用访问权限来查看组织中任何账户的账户名称,还添加了 `account:PutAccountName` 操作,以启用访问权限来修改组织中的任何账户名称。 | 2025 年 4 月 22 日 |
| [DeclarativePoliciesEC2报告](https://console.aws.amazon.com//iam/home?#/policies/arn:aws:iam::aws:policy/DeclarativePoliciesEC2Report$jsonEditor)-新的托管策略 | 添加了 `DeclarativePoliciesEC2Report` 策略,以启用 `AWSServiceRoleForDeclarativePoliciesEC2Report` 服务关联角色的功能。 | 2024 年 11 月 22 日 |
| [AWSOrganizationsReadOnlyAccess](https://console.aws.amazon.com//iam/home?#/policies/arn:aws:iam::aws:policy/AWSOrganizationsReadOnlyAccess$jsonEditor)— 更新为允许查看根用户电子邮件地址所需的账户 API 权限 。 | 添加了 `account:GetPrimaryEmail` 操作,以启用访问权限来查看组织中任何成员账户的根用户电子邮件地址,还添加了 `account:GetRegionOptStatus` 操作,以启用访问权限来查看组织中任何成员账户的已启用区域。 | 2024 年 6 月 6 日 |
| [AWSOrganizationsFullAccess](https://console.aws.amazon.com/iam/home?#/policies/arn:aws:iam::aws:policy/AWSOrganizationsFullAccess$jsonEditor)— 更新为包括描述政策声明的`Sid`元素。 | 为 `AWSOrganizationsFullAccess` 托管式策略增加了 `Sid` 元素。 | 2024 年 2 月 6 日 |
| [AWSOrganizationsReadOnlyAccess](https://console.aws.amazon.com//iam/home?#/policies/arn:aws:iam::aws:policy/AWSOrganizationsReadOnlyAccess$jsonEditor)— 更新为包括描述政策声明的`Sid`元素。 | 为 `AWSOrganizationsReadOnlyAccess` 托管式策略增加了 `Sid` 元素。 | 2024 年 2 月 6 日 |
| [AWSOrganizationsFullAccess](https://console.aws.amazon.com/iam/home?#/policies/arn:aws:iam::aws:policy/AWSOrganizationsFullAccess$jsonEditor)— 更新为允许 AWS 区域 通过 Organizations 控制台启用或禁用所需的账户 API 权限。 | 向策略中添加了 `account:ListRegions`、`account:EnableRegion` 和 `account:DisableRegion` 操作,以启用写入权限来启用或禁用账户的区域。 | 2022 年 12 月 22 日 |
| [AWSOrganizationsReadOnlyAccess](https://console.aws.amazon.com//iam/home?#/policies/arn:aws:iam::aws:policy/AWSOrganizationsReadOnlyAccess$jsonEditor)— 更新为允许 AWS 区域 通过 Organizations 控制台发布所需的账户 API 权限。 | 向策略中添加了 `account:ListRegions` 操作,以启用访问权限来查看账户区域。 | 2022 年 12 月 22 日 |
| [AWSOrganizationsFullAccess](https://console.aws.amazon.com/iam/home?#/policies/arn:aws:iam::aws:policy/AWSOrganizationsFullAccess$jsonEditor)— 更新为允许通过 Organizations 控制台添加或编辑账户联系人所需的账户 API 权限。 | 向策略中添加了 `account:GetContactInformation` 和 `account:PutContactInformation` 操作,以启用写入权限来修改账户联系人。 | 2022 年 10 月 21 日 |
| [AWSOrganizationsReadOnlyAccess](https://console.aws.amazon.com//iam/home?#/policies/arn:aws:iam::aws:policy/AWSOrganizationsReadOnlyAccess$jsonEditor)— 更新为允许通过 Organizations 控制台查看账户联系人所需的账户 API 权限。 | 向策略中添加了 `account:GetContactInformation` 操作,以启用访问权限来查看账户联系人。 | 2022 年 10 月 21 日 |
| [AWSOrganizationsFullAccess](https://console.aws.amazon.com/iam/home?#/policies/arn:aws:iam::aws:policy/AWSOrganizationsFullAccess$jsonEditor)— 更新为允许创建组织。 | 向策略中添加了 `CreateServiceLinkedRole` 权限,以启用创建组织所需的服务关联角色的创建权限。权限仅限于创建一个角色,该角色只能由 `organizations.amazonaws.com` 服务使用。 | 2022 年 8 月 24 日 |
| [AWSOrganizationsFullAccess](https://console.aws.amazon.com/iam/home?#/policies/arn:aws:iam::aws:policy/AWSOrganizationsFullAccess$jsonEditor)— 更新为允许通过Organizations控制台添加、编辑或删除账户备用联系人所需的账户 API 权限。 | 向策略中添加了 `account:GetAlternateContact`、`account:DeleteAlternateContact`、`account:PutAlternateContact` 操作,以启用写入权限来修改账户备用联系人。 | 2022 年 2 月 7 日 |
| [AWSOrganizationsReadOnlyAccess](https://console.aws.amazon.com//iam/home?#/policies/arn:aws:iam::aws:policy/AWSOrganizationsReadOnlyAccess$jsonEditor)— 更新为允许通过 Organizations 控制台查看账户备用联系人所需的账户 API 权限。 | 向策略中添加了 `account:GetAlternateContact` 操作,以启用访问权限来查看账户备用联系人。 | 2022 年 2 月 7 日 |
## AWS 托管授权策略
[授权策略](orgs_manage_policies_authorization_policies.md)与 IAM 权限策略类似,但是 IAM 的一项功能, AWS Organizations 而不是 IAM。您可以使用授权策略来集中配置和管理成员账户中主体和资源的访问权限。
您可以在 Organizations 控制台的 [Policies (策略)](https://console.aws.amazon.com/organizations/?#/policies) 页面上查看组织中的策略列表。
****
| 策略名称 | 说明 | 进行筛选 |
| --- | --- | --- |
| [完整AWSAccess](https://console.aws.amazon.com/organizations/v2/home/policies/service-control-policy/p-FullAWSAccess) | 允许访问所有操作。 | arn: aws: 组织:: aws:-Full policy/service\$1control\$1policy/p AWSAccess |
| [RCPFullAWSAccess](https://console.aws.amazon.com/organizations/v2/home/policies/resource-control-policy/p-RCPFullAWSAccess) | 允许访问所有资源。 | arn: aws: 组织:: aws:-policy/resource\$1control\$1policy/p RCPFull AWSAccess |