AWS Organizations 的動作、資源和條件索引鍵

AWS Organizations （服務字首：organizations) 提供下列服務特定的資源、動作和條件內容索引鍵，可用於 IAM 許可政策。

參考資料：

了解如何設定此服務。
檢視可供此服務使用的 API 操作清單。
了解如何使用 IAM 許可政策來保護此服務及其資源。

主題

AWS Organizations 定義的動作
AWS Organizations 定義的資源類型
AWS Organizations 的條件索引鍵

AWS Organizations 定義的動作

您可在 IAM 政策陳述式的 Action 元素中指定以下動作。使用政策來授予在 AWS中執行操作的許可。在政策中使用動作時，通常會允許或拒絕存取相同名稱的 API 操作或 CLI 命令。不過，在某些情況下，單一動作可控制對多個操作的存取。或者，某些操作需要多種不同的動作。

動作資料表的存取層級欄說明動作的分類方式（列出、讀取、許可管理或標記）。此分類可協助您了解在政策中使用某動作時，該動作授予您的存取層級。如需存取層級的詳細資訊，請參閱政策摘要中的存取層級。

「動作」資料表的資源類型欄會指出每個動作是否支援資源層級的許可。如果此欄沒有值，您必須在政策陳述式的 Resource 元素中指定政策適用的所有資源 ("*")。如果資料欄包含資源類型，則您可以在具有該動作的陳述式中指定該類型的 ARN。如果動作具有一或多個必要資源，呼叫者必須具有對這些資源使用動作的許可。表格中的必要資源會以星號 (*) 表示。如果您使用 IAM 政策中的 Resource 元素限制資源存取，則每種必要的資源類型必須要有 ARN 或模式。某些動作支援多種資源類型。如果資源類型是選用 (未顯示為必要)，則您可以選擇使用其中一種選用資源類型。

「動作」資料表的條件索引鍵欄包含您可以在政策陳述式的 Condition 元素中指定的索引鍵。如需有關與服務資源相關聯之條件索引鍵的詳細資訊，請參閱「資源類型」資料表的條件索引鍵欄。

動作資料表的相依動作欄會顯示成功呼叫動作所需的其他許可。除了動作本身的許可之外，還可能需要這些許可。當動作指定相依動作時，這些相依性可能適用於針對該動作定義的其他資源，而不只是資料表中列出的第一個資源。

注意

資源條件索引鍵會列在資源類型資料表中。您可以在「動作」資料表的資源類型 (*必填) 欄中找到適用於動作的資源類型連結。「資源類型」資料表中的資源類型包括條件索引鍵欄，其中包含套用至「動作」資料表中動作的資源條件索引鍵。

如需下表各欄的詳細資訊，請參閱動作資料表。

動作	描述	存取層級	資源類型 (*必填項目)	條件索引鍵	相依動作
AcceptHandshake	准許傳送回應給交握的發送者，以同意交握請求所建議的動作	寫入	handshake*		iam:CreateServiceLinkedRole
AttachPolicy	准許將政策連接到根、組織單位或個別帳戶	寫入	policy*
			account
			organizationalunit
			root
				organizations:PolicyType
CancelHandshake	准許取消交握	寫入	handshake*
CloseAccount	准許關閉現在 AWS 帳戶屬於 Organizations 一部分的，無論是在組織內建立，或受邀加入組織	寫入	account*
CreateAccount	准許建立 AWS 帳戶，該會自動成為具有發出請求之登入資料的組織成員	寫入		aws:RequestTag/${TagKey} aws:TagKeys aws:ResourceTag/${TagKey}
CreateGovCloudAccount	准許建立 an AWS GovCloud (US) 帳戶	寫入		aws:RequestTag/${TagKey} aws:TagKeys aws:ResourceTag/${TagKey}
CreateOrganization	准許建立組織。呼叫 CreateOrganization 操作的帳戶 (具有憑證)，將自動成為新組織的管理帳戶	寫入			iam:CreateServiceLinkedRole
CreateOrganizationalUnit	准許在根或父系 OU 內建立組織單位 (OU)	寫入	organizationalunit
			root
				aws:RequestTag/${TagKey} aws:TagKeys
CreatePolicy	准許建立您可以連接到根目錄、組織單位 (OU) 或個人的政策 AWS 帳戶	寫入		organizations:PolicyType aws:RequestTag/${TagKey} aws:TagKeys aws:ResourceTag/${TagKey}
DeclineHandshake	准許拒絕交握請求。這會將交握狀態設為 DECLINED，並實際地停用請求	寫入	handshake*
DeleteOrganization	准許刪除組織	寫入
DeleteOrganizationalUnit	准許從根或另一個 OU 刪除組織單位	寫入	organizationalunit*
DeletePolicy	准許從您的組織刪除政策	寫入	policy*
DeletePolicy	准許從您的組織刪除政策	寫入		organizations:PolicyType
DeleteResourcePolicy	准許從您的組織刪除資源政策	寫入
DeregisterDelegatedAdministrator	准許將指定成員取消註冊 AWS 帳戶為 ServicePrincipal 所指定 AWS 服務的委派管理員	寫入	account*
DeregisterDelegatedAdministrator	准許將指定成員取消註冊 AWS 帳戶為 ServicePrincipal 所指定 AWS 服務的委派管理員	寫入		organizations:ServicePrincipal
DescribeAccount	准許擷取特定帳戶的 Organizations 相關詳細資訊	閱讀	account*
DescribeCreateAccountStatus	准許擷取提出建立帳戶的非同步請求的目前狀態	閱讀
DescribeEffectivePolicy	准許擷取帳戶的有效政策	閱讀	account*
DescribeEffectivePolicy	准許擷取帳戶的有效政策	閱讀		organizations:PolicyType
DescribeHandshake	准許擷取先前請求交握的詳細資訊	閱讀	handshake*
DescribeOrganization	准許擷取呼叫登入資料所屬組織的詳細資訊	閱讀
DescribeOrganizationalUnit	准許擷取組織單位 (OU) 的詳細資訊	閱讀	organizationalunit*
DescribePolicy	准許擷取政策的詳細資訊	閱讀	policy*
DescribePolicy	准許擷取政策的詳細資訊	閱讀		organizations:PolicyType
DescribeResourcePolicy	准許擷取資源政策的相關資訊	閱讀
DetachPolicy	准許將政策從目標根、組織單位或帳戶分離	寫入	policy*
			account
			organizationalunit
			root
				organizations:PolicyType
DisableAWSServiceAccess	准許停用 AWS 服務 (ServicePrincipal 指定的服務）與 AWS Organizations 的整合	寫入		organizations:ServicePrincipal
DisablePolicyType	准許在根停用組織政策類型	寫入	root*
DisablePolicyType	准許在根停用組織政策類型	寫入		organizations:PolicyType
EnableAWSServiceAccess	准許啟用 AWS 服務 (ServicePrincipal 指定的服務）與 AWS Organizations 的整合	寫入		organizations:ServicePrincipal
EnableAllFeatures	准許開始啟用組織中的所有功能，從僅支援合併帳單功能升級	寫入
EnablePolicyType	准許在根啟用政策類型	寫入	root*
EnablePolicyType	准許在根啟用政策類型	寫入		organizations:PolicyType
InviteAccountToOrganization	准許傳送邀請給另一個 AWS 帳戶，要求其以成員帳戶的形式加入您的組織	寫入	account
InviteAccountToOrganization	准許傳送邀請給另一個 AWS 帳戶，要求其以成員帳戶的形式加入您的組織	寫入		aws:RequestTag/${TagKey} aws:TagKeys
LeaveOrganization	准許從父系組織移除成員帳戶	寫入
ListAWSServiceAccessForOrganization	准許擷取您啟用與組織整合 AWS 的服務清單	清單
ListAccounts	准許列出組織中的所有帳戶	清單
ListAccountsForParent	准許列出組織中由根或組織單位 (OU) 包含的帳戶	清單	organizationalunit
ListAccountsForParent	准許列出組織中由根或組織單位 (OU) 包含的帳戶	清單	root
ListAccountsWithInvalidEffectivePolicy	准許列出具有指定政策類型無效有效政策的帳戶	清單		organizations:PolicyType
ListChildren	准許列出父系 OU 或根包含的所有 OU 或帳戶	清單	organizationalunit
ListChildren	准許列出父系 OU 或根包含的所有 OU 或帳戶	清單	root
ListCreateAccountStatus	准許列出組織目前正在追蹤的非同步帳戶建立請求	清單
ListDelegatedAdministrators	准許列出在此組織中指定為委派管理員 AWS 的帳戶	清單		organizations:ServicePrincipal
ListDelegatedServicesForAccount	准許列出指定帳戶為此組織中委派管理員 AWS 的服務	清單	account*
ListEffectivePolicyValidationErrors	准許列出特定帳戶和政策類型的有效政策中找到的驗證錯誤	清單	account*
ListEffectivePolicyValidationErrors	准許列出特定帳戶和政策類型的有效政策中找到的驗證錯誤	清單		organizations:PolicyType
ListHandshakesForAccount	准許列出與帳戶相關聯的所有交握	清單
ListHandshakesForOrganization	准許列出與組織相關聯的交握	清單
ListOrganizationalUnitsForParent	准許列出父組織單位或根目錄中的所有組織單位 (OUs)	清單	organizationalunit
ListOrganizationalUnitsForParent	准許列出父組織單位或根目錄中的所有組織單位 (OUs)	清單	root
ListParents	准許列出作為子系 OU 或帳戶的直屬父系的根或組織單位 (OU)	清單	account
ListParents	准許列出作為子系 OU 或帳戶的直屬父系的根或組織單位 (OU)	清單	organizationalunit
ListPolicies	准許列出組織中的所有政策	清單		organizations:PolicyType
ListPoliciesForTarget	准許列出直接連接到根、組織單位 (OU) 或帳戶的所有政策	清單	account
			organizationalunit
			root
				organizations:PolicyType
ListRoots	准許列出組織中定義的所有根	清單
ListTagsForResource	准許列出特定資源的所有標籤	清單	account
			organizationalunit
			policy
			resourcepolicy
			root
				organizations:PolicyType
ListTargetsForPolicy	准許列出政策連接的所有根、OU 和帳戶	清單	policy*
ListTargetsForPolicy	准許列出政策連接的所有根、OU 和帳戶	清單		organizations:PolicyType
MoveAccount	准許將帳戶從目前的根或 OU 移到另一個父系根或 OU	寫入	account*
			organizationalunit*
			root*
PutResourcePolicy	准許建立或更新資源政策	寫入	resourcepolicy*
PutResourcePolicy	准許建立或更新資源政策	寫入		aws:RequestTag/${TagKey} aws:TagKeys
RegisterDelegatedAdministrator	准許註冊指定的成員帳戶，以管理 ServicePrincipal 所指定 AWS 服務的 Organizations 功能	寫入	account*
RegisterDelegatedAdministrator		寫入		organizations:ServicePrincipal
RemoveAccountFromOrganization	准許從組織中移除指定的帳戶	寫入	account*
TagResource	准許將一或多個標籤新增到指定的資源	標記	account
			organizationalunit
			policy	organizations:PolicyType
			resourcepolicy
			root
				aws:TagKeys aws:RequestTag/${TagKey} organizations:PolicyType
UntagResource	准許從指定的資源移除一或多個標籤	標記	account
			organizationalunit
			policy
			resourcepolicy
			root
				aws:TagKeys organizations:PolicyType
UpdateOrganizationalUnit	准許重新命名組織單位 (OU)	寫入	organizationalunit*
UpdatePolicy	准許以新的名稱、描述或內容來更新現有政策	寫入	policy*
UpdatePolicy	准許以新的名稱、描述或內容來更新現有政策	寫入		organizations:PolicyType

AWS Organizations 定義的資源類型

此服務會定義下列資源類型，並可用在 IAM 許可政策陳述式的 Resource 元素中。動作表格中的每個動作都代表可使用該動作指定的資源類型。資源類型也能定義您可以在政策中包含哪些條件索引鍵。這些索引鍵都會顯示在「資源類型」資料表的最後一欄。如需下表各欄的詳細資訊，請參閱資源類型資料表。

資源類型	ARN	條件索引鍵
account	`arn:${Partition}:organizations::${Account}:account/o-${OrganizationId}/${AccountId}`	aws:ResourceTag/${TagKey}
handshake	`arn:${Partition}:organizations::${Account}:handshake/o-${OrganizationId}/${HandshakeType}/h-${HandshakeId}`
organization	`arn:${Partition}:organizations::${Account}:organization/o-${OrganizationId}`
organizationalunit	`arn:${Partition}:organizations::${Account}:ou/o-${OrganizationId}/ou-${OrganizationalUnitId}`	aws:ResourceTag/${TagKey}
policy	`arn:${Partition}:organizations::${Account}:policy/o-${OrganizationId}/${PolicyType}/p-${PolicyId}`	aws:ResourceTag/${TagKey}
resourcepolicy	`arn:${Partition}:organizations::${Account}:resourcepolicy/o-${OrganizationId}/rp-${ResourcePolicyId}`	aws:ResourceTag/${TagKey}
awspolicy	`arn:${Partition}:organizations::aws:policy/${PolicyType}/p-${PolicyId}`
root	`arn:${Partition}:organizations::${Account}:root/o-${OrganizationId}/r-${RootId}`	aws:ResourceTag/${TagKey}

AWS Organizations 的條件索引鍵

AWS Organizations 定義了下列條件索引鍵，可用於 IAM 政策的 Condition元素。您可以使用這些索引鍵來縮小套用政策陳述式的條件。如需下表各欄的詳細資訊，請參閱條件索引鍵表。

若要檢視所有服務可用的全域條件索引鍵，請參閱AWS 全域條件內容索引鍵。

條件索引鍵	描述	類型
aws:RequestTag/${TagKey}	依要求中傳遞的標籤來篩選存取權	字串
aws:ResourceTag/${TagKey}	依與資源關聯的標籤來篩選存取權	字串
aws:TagKeys	依要求中傳遞的標籤索引鍵來篩選存取權	ArrayOfString
organizations:PolicyType	依指定的政策類型篩選存取權	String
organizations:ServicePrincipal	依指定的服務主體名稱篩選存取權	String

您的瀏覽器已停用或無法使用 Javascript。

您必須啟用 Javascript，才能使用 AWS 文件。請參閱您的瀏覽器說明頁以取得說明。

文件慣用形式

AWS OpsWorks 組態管理

AWS Outpost