Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich. # Erstellen Sie eine ressourcenbasierte Delegierungsrichtlinie mit AWS Organizations Erstellen Sie vom Verwaltungskonto aus eine ressourcenbasierte Delegierungsrichtlinie für Ihre Organisation und fügen Sie eine Erklärung hinzu, die angibt, welche Mitgliedskonten Aktionen für Richtlinien ausführen können. Sie können der Richtlinie mehrere Anweisungen hinzufügen, um unterschiedliche Berechtigungen für Mitgliedskonten anzugeben. **Mindestberechtigungen** Um die ressourcenbasierte Delegierungsrichtlinie zu erstellen, benötigen Sie Berechtigungen zum Ausführen der folgenden Aktionen: `organizations:PutResourcePolicy` `organizations:DescribeResourcePolicy` Darüber hinaus müssen Sie Rollen und Benutzern im delegierten Administratorkonto die entsprechenden IAM-Berechtigungen für die erforderlichen Aktionen gewähren. Ohne IAM-Berechtigungen wird davon ausgegangen, dass der aufrufende Prinzipal nicht über die erforderlichen Berechtigungen zum Verwalten von Richtlinien verfügt. AWS Organizations ------ #### [ AWS-Managementkonsole ] Verwenden Sie eine der folgenden Methoden, um der ressourcenbasierten Delegierungsrichtlinie in der AWS-Managementkonsole Anweisungen hinzuzufügen: + **JSON-Richtlinie** — Fügen Sie ein Beispiel für eine ressourcenbasierte Delegierungsrichtlinie ein und passen Sie sie an, um sie in Ihrem Konto zu verwenden, oder geben Sie Ihr eigenes JSON-Richtliniendokument in den JSON-Editor ein. + **Visueller Editor** – Erstellen Sie im visuellen Editor eine neue Delegierungsrichtlinie, die Sie beim Erstellen einer Delegierungsrichtlinie unterstützt, ohne JSON-Syntax schreiben zu müssen. **Verwenden Sie den JSON-Richtlinieneditor, um eine Delegierungsrichtlinie zu erstellen** 1. Melden Sie sich bei der [AWS Organizations -Konsole](https://console.aws.amazon.com/organizations/v2) an. Sie müssen sich im Verwaltungskonto der Organisation als IAM-Benutzer anmelden, eine IAM-Rolle annehmen oder als Root-Benutzer anmelden ([nicht empfohlen](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials)). 1. Wählen Sie **Einstellungen** aus. 1. Wählen Sie im Abschnitt **Delegierter Administrator für AWS Organizations** die Option **Delegate** (Delegieren) aus, um die Delegierungsrichtlinie für Organizations zu erstellen. 1. Geben Sie ein JSON-Richtliniendokument ein. Weitere Informationen zur IAM-Richtliniensprache finden Sie in der [IAM-JSON-Richtlinienreferenz](https://docs.aws.amazon.com//IAM/latest/UserGuide/reference_policies.html). 1. Beheben Sie alle Sicherheitswarnungen, Fehler oder allgemeinen Warnungen, die während der [Richtlinienvalidierung](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_policy-validator.html) erzeugt wurden, und wählen Sie dann **Create policy** (Richtlinie erstellen). **Verwenden Sie den visuellen Editor, um eine Delegierungsrichtlinie zu erstellen** 1. Melden Sie sich bei der [AWS Organizations -Konsole](https://console.aws.amazon.com/organizations/v2) an. Sie müssen sich im Verwaltungskonto der Organisation als IAM-Benutzer anmelden, eine IAM-Rolle annehmen oder als Root-Benutzer anmelden ([nicht empfohlen](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials)). 1. Wählen Sie **Einstellungen** aus. 1. Wählen Sie im Abschnitt **Delegierter Administrator für AWS Organizations** die Option **Delegate** (Delegieren) aus, um die Delegierungsrichtlinie für Organizations zu erstellen. 1. Wählen Sie auf der Seite **Create Delegation policy** (Delegierungsrichtlinie erstellen) die Option **Add new statement** (Neue Anweisung hinzufügen) aus. 1. Stellen Sie **Effect** (Effekt) auf `Allow`. 1. Fügen Sie den `Principal` hinzu, um die Mitgliedskonten zu definieren, an die Sie delegieren möchten. 1. Wählen Sie aus der Liste **Actions** (Aktionen) die Aktionen aus, die Sie delegieren möchten. Sie können die Auswahl mithilfe der Option **Filter actions** (Aktionen filtern) eingrenzen. 1. Um anzugeben, ob das delegierte Mitgliedskonto Richtlinien an den Organisationsstamm oder die Organisationseinheiten (OUs) anhängen kann, legen Sie fest`Resources`. Sie müssen auch `policy` als Ressourcentyp auswählen. Sie können Ressourcen auf folgende Weise angeben: + Wählen Sie **Add a resource** (Ressource hinzufügen) und erstellen Sie den Amazon-Ressourcennamen (ARN), indem Sie den Anweisungen im Dialogfeld folgen. + Führen Sie die Ressource ARNs manuell im Editor auf. Weitere Informationen zur ARN-Syntax finden Sie unter [Amazon Resource Name (ARN)](https://docs.aws.amazon.com/general/latest/gr/aws-arns-and-namespaces.html) im AWS General Reference Guide. Informationen zur Verwendung ARNs im Ressourcenelement einer Richtlinie finden Sie unter [IAM-JSON-Richtlinienelemente: Ressource](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_resource.html). 1. Wählen Sie **Add a condition** (Bedingung hinzufügen), um weitere Bedingungen anzugeben, einschließlich des Richtlinientyps, den Sie delegieren möchten. Wählen Sie den **Condition Key** (Bedingungsschlüssel), den **Tag key** (Tag-Schlüssel), den **Qualifier** (Qualifizierer) und den **Operator** (Operator) der Bedingung aus und geben Sie dann einen **Value** (Wert) ein. Wählen Sie danach **Add condition** (Bedingung hinzufügen) aus. Weitere Informationen zum Element **Condition** (Bedingung) finden Sie unter [IAM-JSON-Richtlinienelemente: Bedingung](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) in der IAM-JSON-Richtlinienreferenz. 1. Um mehr Berechtigungsblöcke hinzuzufügen, wählen Sie **Add new statement** (Neue Anweisung hinzufügen). Wiederholen Sie die Schritte 5 bis 9 für jeden Block. 1. Beheben Sie alle Sicherheitswarnungen, Fehler oder allgemeinen Warnungen, die während der [Richtlinienvalidierung](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_policy-validator.html) erzeugt wurden, und wählen Sie dann **Create policy** (Richtlinie erstellen), um Ihre Arbeit zu speichern. ------ #### [ AWS CLI & AWS SDKs ] **Erstellen Sie eine Delegierungsrichtlinie** Sie können den folgenden Befehl verwenden, um eine Delegierungsrichtlinie zu erstellen: + AWS CLI: [put-resource-policy](https://docs.aws.amazon.com/cli/latest/reference/organizations/put-resource-policy.html) Im folgenden Beispiel wird eine Delegierungsrichtlinie erstellt. ``` $ aws organizations put-resource-policy --content { "Version": "2012-10-17", "Statement": [ { "Sid": "Fully_manage_backup_policies", "Effect": "Allow", "Principal": { "AWS": "135791357913" }, "Action": [ "organizations:DescribeOrganization", "organizations:ListAccounts", "organizations:CreatePolicy", "organizations:DescribePolicy", "organizations:UpdatePolicy", "organizations:DeletePolicy", "organizations:AttachPolicy", "organizations:DetachPolicy" ], "Resource": [ "arn:aws:organizations::246802468024:root/o-abcdef/r-pqrstu", "arn:aws:organizations::246802468024:ou/o-abcdef/*", "arn:aws:organizations::246802468024:account/o-abcdef/*", "arn:aws:organizations::246802468024:organization/policy/backup_policy/*", ], "Condition": { "StringLikeIfExists": { "organizations:PolicyType": [ "BACKUP_POLICY" ] } } } ] } ``` + AWS SDK: [PutResourcePolicy](https://docs.aws.amazon.com/organizations/latest/APIReference/API_PutResourcePolicy.html) ------ **Unterstützte Richtlinienaktionen zur Delegierung** Folgende Aktionen werden in der Delegierungsrichtlinie unterstützt: + `AttachPolicy` + `CreatePolicy` + `DeletePolicy` + `DescribeAccount` + `DescribeCreateAccountStatus` + `DescribeEffectivePolicy` + `DescribeHandshake` + `DescribeOrganization` + `DescribeOrganizationalUnit` + `DescribePolicy` + `DescribeResourcePolicy` + `DetachPolicy` + `DisablePolicyType` + `EnablePolicyType` + `ListAccounts` + `ListAccountsForParent` + `ListAWSServiceAccessForOrganization` + `ListChildren` + `ListCreateAccountStatus` + `ListDelegatedAdministrators` + `ListDelegatedServicesForAccount` + `ListHandshakesForAccount` + `ListHandshakesForOrganization` + `ListOrganizationalUnitsForParent` + `ListParents` + `ListPolicies` + `ListPoliciesForTarget` + `ListRoots` + `ListTagsForResource` + `ListTargetsForPolicy` + `TagResource` + `UntagResource` + `UpdatePolicy` **Unterstützte Bedingungsschlüssel** Nur Bedingungsschlüssel, die von unterstützt werden, AWS Organizations können für Delegierungsrichtlinien verwendet werden. Weitere Informationen finden Sie unter [Bedingungsschlüssel für AWS Organizations](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsorganizations.html#awsorganizations-policy-keys) in der *Service Authorization Reference*.