As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá. # Atualize uma política de delegação baseada em recursos com AWS Organizations Na conta de gerenciamento, atualize uma política de delegação baseada em recursos para sua organização e adicione uma instrução que especifique quais contas-membro podem executar ações de acordo com as políticas. É possível adicionar diversas instruções na política para denotar um conjunto diferente de permissões às contas-membro. **Permissões mínimas** Para atualizar a política de delegação baseada em recursos, você precisa de permissões para executar as seguintes ações: `organizations:PutResourcePolicy` `organizations:DescribeResourcePolicy` Além disso, você deve conceder aos perfis e usuários na conta do administrador delegado as permissões do IAM correspondentes para as ações necessárias. Sem as permissões do IAM, presume-se que o responsável pela chamada não tenha as permissões necessárias para gerenciar AWS Organizations políticas. ------ #### [ Console de gerenciamento da AWS ] Adicione instruções à política de delegação baseada em recursos no Console de gerenciamento da AWS usando um dos métodos a seguir: + **Política JSON**: cole e personalize um exemplo de política de delegação baseada em recursos para usar em sua conta ou digite seu próprio documento de política JSON no editor JSON. + **Editor visual**: crie uma nova política de delegação no editor visual, que orienta você na criação de uma política de delegação sem a necessidade de escrever uma sintaxe JSON. **Usar o editor de políticas JSON para atualizar uma política de delegação** 1. Faça login no [console do AWS Organizations](https://console.aws.amazon.com/organizations/v2). Você deve fazer login como um usuário do IAM, assumir uma função do IAM ou fazer login como usuário-raiz ([não recomendado](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials)) na conta de gerenciamento da organização. 1. Escolha **Configurações**. 1. Na seção **Administrador delegado do  AWS Organizations**, escolha **Editar** para atualizar a política de delegação do Organizations. 1. Insira um documento de política JSON. Para obter detalhes sobre a linguagem da política do IAM, consulte a referência de [política JSON do IAM](https://docs.aws.amazon.com//IAM/latest/UserGuide/reference_policies.html). 1. Resolva quaisquer [avisos de segurança, erros ou avisos gerais](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_policy-validator.html) gerados durante a validação de política e, depois, escolha **Criar política**. **Usar o editor visual para atualizar uma política de delegação** 1. Faça login no [console do AWS Organizations](https://console.aws.amazon.com/organizations/v2). Você deve fazer login como um usuário do IAM, assumir uma função do IAM ou fazer login como usuário-raiz ([não recomendado](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials)) na conta de gerenciamento da organização. 1. Escolha **Configurações**. 1. Na seção **Administrador delegado do  AWS Organizations**, escolha **Editar** para atualizar a política de delegação do Organizations. 1. Na página **Create Delegation policy** (Criar política de delegação), escolha **Add new statement** (Adicionar nova instrução). 1. Defina **Effect** (Efeito) como `Allow`. 1. Adicione `Principal` para definir as contas-membro às quais você deseja delegar. 1. Na lista de **Actions** (Ações), escolha as ações que deseja delegar. É possível usar **Filter actions** (Filtrar ações) para restringir as opções. 1. Para especificar se a conta do membro delegado pode anexar políticas à raiz da organização ou às unidades organizacionais (OUs), `Resources` defina. Você também deve selecionar `policy` como um tipo de recurso. É possível especificar recursos das seguintes maneiras: + Escolha **Add a resource** (Adicionar um recurso) e crie o nome do recurso da Amazon (ARN) seguindo as instruções na caixa de diálogo. + Liste o recurso ARNs manualmente no editor. Para obter mais informações sobre a sintaxe do ARN, consulte [Amazon Resource Name (ARN)](https://docs.aws.amazon.com/general/latest/gr/aws-arns-and-namespaces.html) no Guia de referência geral. AWS Para obter informações sobre o uso ARNs no elemento de recurso de uma política, consulte [Elementos de política JSON do IAM: Recurso](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_resource.html). 1. Escolha **Add a condition** (Adicionar uma condição) para especificar outras condições, incluindo o tipo de política que você deseja delegar. Escolha a **Condition key** (Chave de condição), a **Tag key** (Chave de etiqueta), o **Qualifier** (Qualificador) e o **Operator** (Operador) para a condição e, em seguida, digite um **Value**. Ao terminar, selecione **Add condition** (Adicionar condição). Para obter mais informações sobre o elemento **Condition** (Condição), consulte [Elementos de política JSON do IAM: Condition](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) na referência de política JSON do IAM. 1. Para adicionar mais blocos de permissão, escolha **Add new statement** (Adicionar nova instrução). Para cada bloco, repita as etapas de 5 a 9. 1. Resolva quaisquer avisos de segurança, erros ou avisos gerais gerados durante a [validação de política](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_policy-validator.html) e, depois, escolha **Salvar política**. ------ #### [ AWS CLI & AWS SDKs ] **Criar ou atualizar uma política de delegação** É possível usar o comando a seguir para criar ou atualizar uma política de delegação: + AWS CLI: [put-resource-policy](https://docs.aws.amazon.com/cli/latest/reference/organizations/put-resource-policy.html) O exemplo a seguir cria ou atualiza uma política de delegação. ``` $ aws organizations put-resource-policy --content { "Version": "2012-10-17", "Statement": [ { "Sid": "Fully_manage_backup_policies", "Effect": "Allow", "Principal": { "AWS": "{{135791357913}}" }, "Action": [ "organizations:DescribeOrganization", "organizations:ListAccounts", "organizations:CreatePolicy", "organizations:DescribePolicy", "organizations:UpdatePolicy", "organizations:DeletePolicy", "organizations:AttachPolicy", "organizations:DetachPolicy" ], "Resource": [ "arn:aws:organizations::{{246802468024}}:root/o-{{abcdef}}/r-{{pqrstu}}", "arn:aws:organizations::{{246802468024}}:ou/o-{{abcdef}}/*", "arn:aws:organizations::{{246802468024}}:account/o-{{abcdef}}/*", "arn:aws:organizations::{{246802468024}}:organization/policy/backup_policy/*", ], "Condition": { "StringLikeIfExists": { "organizations:PolicyType": [ "BACKUP_POLICY" ] } } } ] } ``` + AWS SDK: [PutResourcePolicy](https://docs.aws.amazon.com/organizations/latest/APIReference/API_PutResourcePolicy.html) ------ **Ações de política de delegação com suporte** Para a política de delegação, há suporte para as ações a seguir: + `AttachPolicy` + `CreatePolicy` + `DeletePolicy` + `DescribeAccount` + `DescribeCreateAccountStatus` + `DescribeEffectivePolicy` + `DescribeHandshake` + `DescribeOrganization` + `DescribeOrganizationalUnit` + `DescribePolicy` + `DescribeResourcePolicy` + `DetachPolicy` + `DisablePolicyType` + `EnablePolicyType` + `ListAccounts` + `ListAccountsForParent` + `ListAWSServiceAccessForOrganization` + `ListChildren` + `ListCreateAccountStatus` + `ListDelegatedAdministrators` + `ListDelegatedServicesForAccount` + `ListHandshakesForAccount` + `ListHandshakesForOrganization` + `ListOrganizationalUnitsForParent` + `ListParents` + `ListPolicies` + `ListPoliciesForTarget` + `ListRoots` + `ListTagsForResource` + `ListTargetsForPolicy` + `TagResource` + `UntagResource` + `UpdatePolicy` **Chaves de condição compatíveis** Somente as chaves de condição suportadas pelo AWS Organizations podem ser usadas para a política de delegação. Para obter mais informações, consulte [Chaves de condição do AWS Organizations](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsorganizations.html#awsorganizations-policy-keys) na *Referência de autorização do serviço*.