【Amazon Organizations 】策略管理委派给客户账号的操作实现

本文主要是介绍【Amazon Organizations 】策略管理委派给客户账号的操作实现，希望对大家解决编程问题提供一定的参考价值，需要的开发者们随着小编来一起学习吧！

1. 客户需求

2. 操作步骤

如上图所示👆 需要客户提供其用户的ARN

---

需要提供关联进组织的客户账户的ARN（Amazon Resource Name（ARN）唯一标识 Amazon 资源），导航至IAM，找到对应的用户，填写其ARN。

格式如下：

"arn:aws-cn:iam::xxxxxxxxxxxx:user/xxxxxx"

🔴 值得注意的是：CN区和Global区提供的ARN格式不同。

✨ 区别如下：

CN区：arn:aws-cn:iam::xxxxxxxxxxxx:user/xxx

Global区：arn:aws:iam::xxxxxxxxxxxx:user/xxx

将 Amazon Organizations 策略的管理委派给成员账户，并指定他们可以执行的策略类型和操作。

---

{"Version": "2012-10-17","Statement": [{"Sid": "DelegatingNecessaryDescribeListActions","Effect": "Allow","Principal": {"AWS": ["arn:aws-cn:iam::xxxxxxxxxxxx:user/xxxxxx","arn:aws-cn:iam::xxxxxxxxxxxx:user/xxxxxx"]},"Action": ["organizations:DescribeOrganization","organizations:DescribeOrganizationalUnit","organizations:DescribeAccount","organizations:DescribePolicy","organizations:DescribeEffectivePolicy","organizations:ListRoots","organizations:ListOrganizationalUnitsForParent","organizations:ListParents","organizations:ListChildren","organizations:ListAccounts","organizations:ListAccountsForParent","organizations:ListPolicies","organizations:ListPoliciesForTarget","organizations:ListTargetsForPolicy","organizations:ListTagsForResource","organizations:DescribePolicy","organizations:AttachPolicy","organizations:CreatePolicy","organizations:DeletePolicy","organizations:DetachPolicy","organizations:UpdatePolicy"],"Resource": "*"}]
}

3. 注意事项

若该组织仅具有支持整合账单功能，则无法创建AWS Organizations的委派。需要启用所有功能才可委派。

点击开始启用所有功能的流程。

点击开始启用所有功能的流程。

已经从仅具有整合账单的功能组织切换成了具有全功能组织。

---

启用 AWS Organizations 中的所有功能的流程。这会将批准请求发送到所有受邀加入您组织的成员账户。您在组织中创建的账户无需批准。

---

注意事项：启用所有功能后，您无法返回仅整合账单功能。

如下图所示，该组织已启用所有功能。

4. 参考链接

🔴AWS Organizations 的委托管理员

🟡示例：查看组织、OU、账户和策略

🟢示例：管理组织备份策略所需的合并权限

这篇关于【Amazon Organizations 】策略管理委派给客户账号的操作实现的文章就介绍到这儿，希望我们推荐的文章对编程师们有所帮助！

---