Conceder permissões para atualizar atributos da conta

Noções básicas dos modos de operação da API

As operações de API que funcionam com os atributos de uma Conta da AWS sempre funcionam em um dos dois seguintes modos de operação:

Contexto autônomo: esse modo é usado quando um usuário ou perfil de uma conta acessa ou altera um atributo da mesma conta. O modo de contexto autônomo é usado automaticamente quando você não inclui o parâmetro AccountId ao chamar uma das operações da AWS CLI de Gerenciamento de Contas ou do AWS SDK.
Contexto de organizações: esse modo é usado quando um usuário ou perfil de uma conta de uma organização acessa ou altera um atributo de uma conta-membro diferente da mesma organização. O modo de contexto de organizações é usado automaticamente quando você inclui o parâmetro AccountId ao chamar uma das operações da AWS CLI de Gerenciamento de Contas ou do AWS SDK. Você só pode chamar as operações nesse modo na conta de gerenciamento da organização ou na conta do administrador delegado para o Gerenciamento de Contas.

As operações da AWS CLI e do AWS SDK podem funcionar no contexto autônomo ou de organizações.

Se você não incluir o parâmetro AccountId, a operação será executada no contexto autônomo e aplicará automaticamente a solicitação à conta que você usou para fazer a solicitação. Isso é válido independentemente de a conta ser ou não membro de uma organização.
Se você incluir o parâmetro AccountId, a operação será executada no contexto de organizações e funcionará na conta especificada do Organizations.
- Se a conta que estiver chamando a operação for a conta de gerenciamento ou a conta do administrador delegado para o serviço de Gerenciamento de Contas, você poderá especificar qualquer conta-membro dessa organização no parâmetro AccountId para atualizar a conta especificada.
- A única conta de uma organização que pode chamar uma das operações de contato alternativo e especificar seu próprio número de conta no parâmetro AccountId é a conta especificada como a conta do administrador delegado para o serviço de Gerenciamento de Contas. Qualquer outra conta, incluindo a conta de gerenciamento, recebe uma exceção AccessDenied.
Se você executar uma operação no modo autônomo, deverá ter permissão para executar a operação com uma política do IAM que inclua um elemento Resource de qualquer "*" para permitir todos os recursos ou um ARN que use a sintaxe para uma conta independente.
Se você executar uma operação no modo de organizações, deverá ter permissão para executar a operação com uma política do IAM que inclua um elemento Resource de qualquer "*" para permitir todos os recursos ou um ARN que use a sintaxe para uma conta-membro de uma organização.

Conceder permissões para atualizar atributos da conta

Como na maioria das operações da AWS, você concede permissões para adicionar, atualizar ou excluir atributos de Contas da AWS usando políticas de permissão do IAM. Ao anexar uma política de permissão do IAM a uma entidade principal do IAM (um usuário ou um perfil), você especifica quais ações essa entidade principal pode executar em quais recursos e sob quais condições.

A seguir são mostradas algumas considerações específicas do Gerenciamento de Contas para a criação de uma política de permissões.

Formato do nome do recurso da Amazon para Contas da AWS

O nome do recurso da Amazon (ARN) de uma Conta da AWS que você pode incluir no elemento resource de uma declaração de política é construído de forma diferente com base no fato de a conta à qual você deseja fazer referência ser uma conta autônoma ou uma conta que está em uma organização. Consulte a seção anterior em Noções básicas dos modos de operação da API.
- Um ARN de conta para uma conta autônoma:
```
arn:aws:account::{AccountId}:account
```
  Você deve usar esse formato quando executar uma operação de atributos de conta no modo autônomo, não incluindo o parâmetro AccountID.
- Um ARN de conta para uma conta-membro em uma organização:
```
arn:aws:account::{ManagementAccountId}:account/o-{OrganizationId}/{AccountId}
```
  Você deve usar esse formato quando executar uma operação de atributos de conta em organizações, incluindo o parâmetro AccountID.

Chaves de contexto para políticas do IAM

O serviço de Gerenciamento de Contas também fornece várias chaves de condição específicas do serviço de Gerenciamento de Contas que fornecem controle refinado sobre as permissões que você concede.

`account:AccountResourceOrgPaths`

A chave de contexto account:AccountResourceOrgPaths permite que você especifique um caminho através da hierarquia da organização para uma unidade organizacional (UO) específica. Somente as contas-membro contidas nessa UO correspondem à condição. O exemplo de trecho a seguir restringe a política para ser aplicada somente a contas que estejam em qualquer uma das duas UOs especificadas.

Como account:AccountResourceOrgPaths é um tipo de string multivalor, você deve usar os operadores de string de vários valores ForAnyValue ou ForAllValues. Além disso, observe que o prefixo da chave de condição é account, mesmo que você esteja fazendo referência a caminhos para UOs de uma organização.


"Condition": {
    "ForAnyValue:StringLike": {
        "account:AccountResourceOrgPaths": [
            "o-aa111bb222/r-a1b2/ou-a1b2-f6g7h111/*", 
            "o-aa111bb222/r-a1b2/ou-a1b2-f6g7h222/*"
        ]
    }
}

`account:AccountResourceOrgTags`

A chave de contexto account:AccountResourceOrgTags permite que você faça referência às tags que podem ser anexadas a uma conta em uma organização. Uma tag é um par de strings de chave/valor que pode ser usado para categorizar e rotular os recursos da conta. Para obter mais informações sobre marcação, consulte Tag Editor no AWS Resource Groups User Guide. Para obter informações sobre o uso de tags como parte de uma estratégia de controle de acesso baseado em atributos, consulte What is ABAC for AWS no Guia do usuário do IAM. O exemplo de trecho seguir restringe a política para ser aplicada somente a contas de uma organização que tenham a tag com a chave project e um valor de blue ou red.

Como account:AccountResourceOrgTags é um tipo de string multivalor, você deve usar os operadores de string de vários valores ForAnyValue ou ForAllValues. Além disso, observe que o prefixo da chave de condição é account, mesmo que você esteja fazendo referência às tags de uma conta-membro da organização.


"Condition": {
    "ForAnyValue:StringLike": {
        "account:AccountResourceOrgTags/project": [
            "blue", 
            "red"
        ]
    }
}

nota

Você pode anexar tags a apenas uma conta de uma organização. Você não pode anexar tags a uma Conta da AWS autônoma.

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Quando utilizar AWS Control Tower

Configurar a conta