Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Esempi di policy basate sulle risorse per AWS Organizations
I seguenti esempi di codice mostrano come è possibile utilizzare le policy di delega basate sulle risorse. Per ulteriori informazioni, consulta [Amministratore delegato per AWS Organizations](orgs_delegate_policies.md).
**Topics**
+ [Visualizza l'organizzazione OUs, gli account e le politiche](#orgs_delegate_policies_example_view_accts_orgs)
+ [Creare, leggere, aggiornare ed eliminare le politiche](#orgs_delegate_policies_example_crud_policies)
+ [Politiche di etichettatura e rimozione di tag](#orgs_delegate_policies_example_tag_untag_policies)
+ [Allega le politiche a una singola unità organizzativa o account](#orgs_delegate_policies_example_attach_policies)
+ [Autorizzazioni consolidate per gestire le politiche di backup di un'organizzazione](#orgs_delegate_policies_example_consolidate_permissions)
## Esempio: visualizzare l'organizzazione OUs, gli account e le politiche
Prima di delegare la gestione delle politiche, è necessario delegare le autorizzazioni necessarie per navigare nella struttura di un'organizzazione e visualizzare le unità organizzative (OUs), gli account e le politiche ad essi associate.
Questo esempio mostra come è possibile includere queste autorizzazioni nella politica di delega basata sulle risorse per l'account membro,. {{AccountId}}
**Importante**
È consigliabile includere le autorizzazioni solo per le operazioni minime richieste, come mostrato nell'esempio, sebbene sia possibile delegare qualsiasi operazione di sola lettura di Organizations utilizzando questa policy.
Questo esempio di politica di delega concede le autorizzazioni necessarie per completare le azioni in modo programmatico dall'API o. AWS AWS CLI Per utilizzare questa politica di delega, sostituisci il [testo AWS segnaposto](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_getting-started_concepts.html) con le tue informazioni. {{AccountId}} Quindi, segui le indicazioni in [Amministratore delegato per AWS Organizations](orgs_delegate_policies.md).
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "DelegatingNecessaryDescribeListActions",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::{{111122223333}}:root"
},
"Action": [
"organizations:DescribeOrganization",
"organizations:DescribeOrganizationalUnit",
"organizations:DescribeAccount",
"organizations:DescribePolicy",
"organizations:DescribeEffectivePolicy",
"organizations:ListRoots",
"organizations:ListOrganizationalUnitsForParent",
"organizations:ListParents",
"organizations:ListChildren",
"organizations:ListAccounts",
"organizations:ListAccountsForParent",
"organizations:ListPolicies",
"organizations:ListPoliciesForTarget",
"organizations:ListTargetsForPolicy",
"organizations:ListTagsForResource"
],
"Resource": "*"
}
]
}
```
------
## Esempio: creare, leggere, aggiornare ed eliminare le politiche
È possibile creare una politica di delega basata sulle risorse che consenta all'account di gestione di delegare `create` e azioni per qualsiasi tipo di politica. `read` `update` `delete` Questo esempio mostra come è possibile delegare queste azioni per le politiche di controllo del servizio all'account membro,. {{MemberAccountId}} Le due risorse mostrate nell'esempio concedono l'accesso rispettivamente alle politiche di controllo dei servizi gestite dai clienti e AWS gestite dai clienti.
**Importante**
Questa politica consente agli amministratori delegati di eseguire azioni specifiche sulle politiche create da qualsiasi account dell'organizzazione, incluso l'account di gestione.
Non consente agli amministratori delegati di allegare o scollegare le politiche perché non include le autorizzazioni necessarie per eseguire o eseguire azioni. `organizations:AttachPolicy` `organizations:DetachPolicy`
Questo esempio di politica di delega concede le autorizzazioni necessarie per completare le azioni in modo programmatico dall'API o. AWS AWS CLI Sostituisci il testo AWS segnaposto con e con {{MemberAccountId}} le tue informazioni{{ManagementAccountId}}. {{OrganizationId}} Quindi, segui le indicazioni in [Amministratore delegato per AWS Organizations](orgs_delegate_policies.md).
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "DelegatingDescribeListActionsWithoutCondition",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::{{111122223333}}:root"
},
"Action": [
"organizations:DescribeOrganization",
"organizations:DescribeOrganizationalUnit",
"organizations:DescribeAccount",
"organizations:ListRoots",
"organizations:ListOrganizationalUnitsForParent",
"organizations:ListParents",
"organizations:ListChildren",
"organizations:ListAccounts",
"organizations:ListAccountsForParent",
"organizations:ListTagsForResource"
],
"Resource": "*"
},
{
"Sid": "DelegatingPolicyActionsWithCondition",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::{{111122223333}}:root"
},
"Action": [
"organizations:DescribePolicy",
"organizations:DescribeEffectivePolicy",
"organizations:ListPolicies",
"organizations:ListPoliciesForTarget",
"organizations:ListTargetsForPolicy"
],
"Resource": "*",
"Condition": {
"StringLikeIfExists": {
"organizations:PolicyType": "SERVICE_CONTROL_POLICY"
}
}
},
{
"Sid": "DelegatingMinimalActionsForSCPs",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::{{111122223333}}:root"
},
"Action": [
"organizations:CreatePolicy",
"organizations:DescribePolicy",
"organizations:UpdatePolicy",
"organizations:DeletePolicy"
],
"Resource": [
"arn:aws:organizations::{{111122223333}}:policy/o-{{OrganizationId}}/service_control_policy/*",
"arn:aws:organizations::aws:policy/service_control_policy/*"
]
}
]
}
```
------
## Esempio: politiche relative all'etichettatura e all'eliminazione dei tag
Questo esempio mostra come è possibile creare una politica di delega basata sulle risorse che consenta agli amministratori delegati di etichettare o rimuovere i tag dalle politiche di backup. Concede le autorizzazioni necessarie per completare le azioni in modo programmatico dall'API o. AWS AWS CLI
Per utilizzare questa politica di delega, sostituisci il testo AWS segnaposto con e con le {{MemberAccountId}} tue informazioni{{ManagementAccountId}}. {{OrganizationId}} Quindi, segui le indicazioni in [Amministratore delegato per AWS Organizations](orgs_delegate_policies.md).
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "DelegatingNecessaryDescribeListActionsWithoutCondition",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::{{111122223333}}:root"
},
"Action": [
"organizations:DescribeOrganization",
"organizations:DescribeOrganizationalUnit",
"organizations:DescribeAccount",
"organizations:ListRoots",
"organizations:ListOrganizationalUnitsForParent",
"organizations:ListParents",
"organizations:ListChildren",
"organizations:ListAccounts",
"organizations:ListAccountsForParent",
"organizations:ListTagsForResource"
],
"Resource": "*"
},
{
"Sid": "DelegatingNecessaryDescribeListActionsWithCondition",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::{{111122223333}}:root"
},
"Action": [
"organizations:DescribePolicy",
"organizations:DescribeEffectivePolicy",
"organizations:ListPolicies",
"organizations:ListPoliciesForTarget",
"organizations:ListTargetsForPolicy"
],
"Resource": "*",
"Condition": {
"StringLikeIfExists": {
"organizations:PolicyType": "BACKUP_POLICY"
}
}
},
{
"Sid": "DelegatingTaggingBackupPolicies",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::{{111122223333}}:root"
},
"Action": [
"organizations:TagResource",
"organizations:UntagResource"
],
"Resource": "arn:aws:organizations::{{111122223333}}:policy/o-{{OrganizationId}}/backup_policy/*"
}
]
}
```
------
## Esempio: allega le politiche a una singola unità organizzativa o a un account
Questo esempio mostra come è possibile creare una politica di delega basata sulle risorse che consenta agli amministratori delegati di accedere alle politiche `detach` Organizations da un'unità organizzativa (OU) specificata `attach` o da un account specifico. Prima di delegare queste azioni, è necessario delegare le autorizzazioni necessarie per navigare nella struttura di un'organizzazione e visualizzare gli account che la compongono. Per maggiori dettagli, consultare [Esempio: visualizzare l'organizzazione OUs, gli account e le politiche](#orgs_delegate_policies_example_view_accts_orgs).
**Importante**
Sebbene questa politica consenta di allegare o scollegare i criteri dall'unità organizzativa o dall'account specificati, esclude i bambini e gli account minori. OUs OUs
Questa policy consente agli amministratori delegati di eseguire le operazioni specificate sulle policy create da qualsiasi account dell'organizzazione, incluso l'account di gestione.
Questo esempio di politica di delega concede le autorizzazioni necessarie per completare le azioni in modo programmatico dall'API o. AWS AWS CLI Per utilizzare questa politica di delega, sostituisci il testo AWS segnaposto per{{MemberAccountId}}, {{ManagementAccountId}}{{OrganizationId}}, e con le tue informazioni. {{TargetAccountId}} Quindi, segui le indicazioni in [Amministratore delegato per AWS Organizations](orgs_delegate_policies.md).
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "DelegatingNecessaryDescribeListActions",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::{{111122223333}}:root"
},
"Action": [
"organizations:DescribeOrganization",
"organizations:DescribeOrganizationalUnit",
"organizations:DescribeAccount",
"organizations:DescribePolicy",
"organizations:DescribeEffectivePolicy",
"organizations:ListRoots",
"organizations:ListOrganizationalUnitsForParent",
"organizations:ListParents",
"organizations:ListChildren",
"organizations:ListAccounts",
"organizations:ListAccountsForParent",
"organizations:ListPolicies",
"organizations:ListPoliciesForTarget",
"organizations:ListTargetsForPolicy",
"organizations:ListTagsForResource"
],
"Resource": "*"
},
{
"Sid": "AttachDetachPoliciesSpecifiedAccountOU",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::{{111122223333}}:root"
},
"Action": [
"organizations:AttachPolicy",
"organizations:DetachPolicy"
],
"Resource": [
"arn:aws:organizations::{{111122223333}}:ou/o-{{OrganizationId}}/ou-OUId",
"arn:aws:organizations::{{111122223333}}:account/o-{{OrganizationId}}/{{TargetAccountId}}",
"arn:aws:organizations::{{111122223333}}:policy/o-{{OrganizationId}}/backup_policy/*"
]
}
]
}
```
------
Per delegare il collegamento e il distacco delle politiche a qualsiasi unità organizzativa o account delle organizzazioni, sostituisci la risorsa dell'esempio precedente con le seguenti risorse:
```
"Resource": [
"arn:aws:organizations::{{ManagementAccountId}}:ou/o-{{OrganizationId}}/*",
"arn:aws:organizations::{{ManagementAccountId}}:account/o-{{OrganizationId}}/*",
"arn:aws:organizations::{{ManagementAccountId}}:policy/o-{{OrganizationId}}/backup_policy/*"
]
```
## Esempio: autorizzazioni consolidate per gestire le policy di backup di un'organizzazione
Questo esempio mostra come è possibile creare una policy di delega basata sulle risorse che consenta all'account di gestione di delegare le autorizzazioni complete necessarie per gestire le policy di backup all'interno dell'organizzazione, tra cui le operazioni `create`, `read`, `update` e `delete`, così come le operazioni di policy `attach` e `detach`.
**Importante**
Questa policy consente agli amministratori delegati di eseguire le operazioni specificate sulle policy create da qualsiasi account dell'organizzazione, incluso l'account di gestione.
Questo esempio di politica di delega concede le autorizzazioni necessarie per completare le azioni in modo programmatico dall'API o. AWS AWS CLI Per utilizzare questa politica di delega, sostituisci il [testo AWS segnaposto](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_getting-started_concepts.html) per{{MemberAccountId}}, {{ManagementAccountId}}{{OrganizationId}}, e con le tue informazioni. {{RootId}} Quindi, segui le indicazioni in [Amministratore delegato per AWS Organizations](orgs_delegate_policies.md).
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "DelegatingNecessaryDescribeListActions",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::{{111122223333}}:root"
},
"Action": [
"organizations:DescribeOrganization",
"organizations:DescribeOrganizationalUnit",
"organizations:DescribeAccount",
"organizations:ListRoots",
"organizations:ListOrganizationalUnitsForParent",
"organizations:ListParents",
"organizations:ListChildren",
"organizations:ListAccounts",
"organizations:ListAccountsForParent",
"organizations:ListTagsForResource"
],
"Resource": "*"
},
{
"Sid": "DelegatingNecessaryDescribeListActionsForSpecificPolicyType",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::{{111122223333}}:root"
},
"Action": [
"organizations:DescribePolicy",
"organizations:DescribeEffectivePolicy",
"organizations:ListPolicies",
"organizations:ListPoliciesForTarget",
"organizations:ListTargetsForPolicy"
],
"Resource": "*",
"Condition": {
"StringLikeIfExists": {
"organizations:PolicyType": "BACKUP_POLICY"
}
}
},
{
"Sid": "DelegatingAllActionsForBackupPolicies",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::{{111122223333}}:root"
},
"Action": [
"organizations:CreatePolicy",
"organizations:UpdatePolicy",
"organizations:DeletePolicy",
"organizations:AttachPolicy",
"organizations:DetachPolicy",
"organizations:EnablePolicyType",
"organizations:DisablePolicyType"
],
"Resource": [
"arn:aws:organizations::{{111122223333}}:root/o-{{OrganizationId}}/r-{{RootId}}",
"arn:aws:organizations::{{111122223333}}:ou/o-{{OrganizationId}}/*",
"arn:aws:organizations::{{111122223333}}:account/o-{{OrganizationId}}/*",
"arn:aws:organizations::{{111122223333}}:policy/o-{{OrganizationId}}/backup_policy/*"
],
"Condition": {
"StringLikeIfExists": {
"organizations:PolicyType": "BACKUP_POLICY"
}
}
}
]
}
```
------