使用建立資源型委派政策 AWS Organizations

從管理帳戶，為您的組織建立資源型委派政策，並新增指定哪些成員帳戶可以對政策執行動作的陳述式。您可以在政策中新增多個陳述式，以表示成員帳戶的不同許可集。

最低許可

若要建立以資源為基礎的委派政策，您需要執行下列動作的許可：

organizations:PutResourcePolicy
organizations:DescribeResourcePolicy

此外，您必須授與委派管理員帳戶中的角色和使用者對應的 IAM 許可，以執行必要動作。如果沒有 IAM 許可，則假設呼叫主體沒有管理 AWS Organizations 政策所需的許可。

AWS Management Console

使用以下其中一個方法，在 AWS Management Console 中將陳述式新增至以資源為基礎的委派政策：

JSON 政策 – 貼上並自訂要在帳戶中使用的範例資源型委派政策，或在 JSON 編輯器中輸入您自己的 JSON 政策文件。
視覺化編輯器 – 在視覺化編輯器中建構新的委派政策，此政策會引導您建立委派政策，而不需要撰寫 JSON 語法。

使用 JSON 政策編輯器來建立委派政策

登入 AWS Organizations 主控台。您必須以 IAM 使用者登入、擔任 IAM 角色，或是以組織管理帳戶中的根使用者 (不建議) 身分登入。
選擇設定。
在 AWS Organizations的委派管理員區段中，選擇委派以建立 Organizations 委派政策。
輸入 JSON 政策文件。如需有關 IAM 政策語言的詳細資訊，請參閱 IAM JSON 政策參考。
解決政策驗證期間產生的任何安全性警告、錯誤或一般性警告，然後選擇 Create policy (建立政策) 以儲存工作。

使用視覺化編輯器來建立委派政策

登入 AWS Organizations 主控台。您必須以 IAM 使用者登入、擔任 IAM 角色，或是以組織管理帳戶中的根使用者 (不建議) 身分登入。
選擇設定。
在 AWS Organizations的委派管理員區段中，選擇委派以建立 Organizations 委派政策。
在 Create Delegation policy (建立委派政策) 頁面上，選擇 Add new statement (新增陳述式)。
將 Effect (效果) 設定為 Allow。
新增 Principal 以定義您要委派的成員帳戶。
從 Actions (動作) 清單中，選擇您要委派的動作。您可使用 Filter actions (篩選動作)，以縮減選項。
若要指定委派的成員帳戶是否可將政策連接至組織根目錄或組織單位 (OU)，請設定 Resources。您也必須選取 policy 作為資源類型。您可採用以下方式來指定資源：
- 選擇 Add a resource (新增資源)，並按照對話方塊中的提示建構 Amazon Resource Name (ARN)。
- 在編輯器中手動列出資源 ARN。如需 ARN 語法的詳細資訊，請參閱《 AWS 一般參考指南》中的 Amazon Resource Name (ARN)。如需有關在政策資源元素中使用 ARN 的詳細資訊，請參閱 IAM JSON 政策元素：Resource。
選擇 Add a condition (新增條件) 以指定其他條件，包括您要委派的政策類型。選擇條件的 Condition key (條件索引鍵)、Tag key (標籤索引鍵)、Qualifier (修飾詞) 以及 Operator (運算子)，然後輸入 Value。完成時，請選擇 Add condition (新增條件)。如需有關 Condition (條件) 元素的詳細資訊，請參閱 IAM JSON 政策參考中的 IAM JSON 政策元素：Condition。
若要新增更多許可區塊，請選擇 Add new statement (新增陳述式)。針對每個區塊皆重複步驟 5 到 9。
解決政策驗證期間產生的任何安全性警告、錯誤或一般性警告，然後選擇 Create policy (建立政策) 以儲存工作。

AWS CLI & AWS SDKs

建立委派政策

您可以使用下列命令來建立委派政策：

AWS CLI：put-resource-policy

下列範例會建立委派政策。


$ aws organizations put-resource-policy --content
{
    "Version": "2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "Fully_manage_backup_policies",
            "Effect": "Allow",
            "Principal": {
                "AWS": "135791357913"
            },
            "Action": [
                "organizations:DescribeOrganization",
                "organizations:ListAccounts",
                "organizations:CreatePolicy",
                "organizations:DescribePolicy",
                "organizations:UpdatePolicy",
                "organizations:DeletePolicy",
                "organizations:AttachPolicy",
                "organizations:DetachPolicy"
            ],
            "Resource": [
                "arn:aws:organizations::246802468024:root/o-abcdef/r-pqrstu",
                "arn:aws:organizations::246802468024:ou/o-abcdef/*",
                "arn:aws:organizations::246802468024:account/o-abcdef/*",
                "arn:aws:organizations::246802468024:organization/policy/backup_policy/*",
            ],
            "Condition": {
                "StringLikeIfExists": {
                    "organizations:PolicyType": [
                        "BACKUP_POLICY"
                    ]
                }
            }
        }
    ]
}

AWS 開發套件：PutResourcePolicy

支援的委派政策動作

委派政策支援下列動作：

AttachPolicy
CreatePolicy
DeletePolicy
DescribeAccount
DescribeCreateAccountStatus
DescribeEffectivePolicy
DescribeHandshake
DescribeOrganization
DescribeOrganizationalUnit
DescribePolicy
DescribeResourcePolicy
DetachPolicy
DisablePolicyType
EnablePolicyType
ListAccounts
ListAccountsForParent
ListAWSServiceAccessForOrganization
ListChildren
ListCreateAccountStatus
ListDelegatedAdministrators
ListDelegatedServicesForAccount
ListHandshakesForAccount
ListHandshakesForOrganization
ListOrganizationalUnitsForParent
ListParents
ListPolicies
ListPoliciesForTarget
ListRoots
ListTagsForResource
ListTargetsForPolicy
TagResource
UntagResource
UpdatePolicy

支援的條件金鑰

只有支援的條件金鑰 AWS Organizations 可用於委派政策。如需詳細資訊，請參閱《服務授權參考》中的的條件金鑰 AWS Organizations。

您的瀏覽器已停用或無法使用 Javascript。

您必須啟用 Javascript，才能使用 AWS 文件。請參閱您的瀏覽器說明頁以取得說明。

文件慣用形式

的委派管理員 AWS Organizations

更新以資源為基礎的委派政策

使用 建立資源型委派政策 AWS Organizations