本文主要是介绍【Amazon Organizations 】策略管理委派给客户账号的操作实现,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!
文章目录
- 1. 客户需求
- 2. 操作步骤
- 3. 注意事项
- 4. 参考链接
1. 客户需求
2. 操作步骤
需要提供关联进组织的客户账户的ARN(Amazon Resource Name(ARN)唯一标识 Amazon 资源
),导航至IAM
,找到对应的用户,填写其ARN。
格式如下:
"arn:aws-cn:iam::xxxxxxxxxxxx:user/xxxxxx"
🔴 值得注意的是:CN区和Global区提供的ARN格式不同。
✨ 区别如下:
CN区
:arn:aws-cn:iam::xxxxxxxxxxxx:user/xxx
Global区
:arn:aws:iam::xxxxxxxxxxxx:user/xxx
将 Amazon Organizations 策略的管理委派给成员账户,并指定他们可以执行的策略类型和操作。
{"Version": "2012-10-17","Statement": [{"Sid": "DelegatingNecessaryDescribeListActions","Effect": "Allow","Principal": {"AWS": ["arn:aws-cn:iam::xxxxxxxxxxxx:user/xxxxxx","arn:aws-cn:iam::xxxxxxxxxxxx:user/xxxxxx"]},"Action": ["organizations:DescribeOrganization","organizations:DescribeOrganizationalUnit","organizations:DescribeAccount","organizations:DescribePolicy","organizations:DescribeEffectivePolicy","organizations:ListRoots","organizations:ListOrganizationalUnitsForParent","organizations:ListParents","organizations:ListChildren","organizations:ListAccounts","organizations:ListAccountsForParent","organizations:ListPolicies","organizations:ListPoliciesForTarget","organizations:ListTargetsForPolicy","organizations:ListTagsForResource","organizations:DescribePolicy","organizations:AttachPolicy","organizations:CreatePolicy","organizations:DeletePolicy","organizations:DetachPolicy","organizations:UpdatePolicy"],"Resource": "*"}]
}
3. 注意事项
若该组织仅具有支持整合账单功能
,则无法创建AWS Organizations的委派。需要启用所有功能才可委派。
点击开始启用所有功能的流程
。
点击开始启用所有功能的流程
。
已经从
仅具有整合账单的功能
组织切换成了具有全功能
组织。
启用 AWS Organizations 中的所有功能的流程。这会将批准请求发送到所有受邀加入您组织的成员账户。您在组织中创建的账户无需批准。
注意事项:启用所有功能后,您无法返回仅整合账单功能。
如下图所示,该组织已启用所有功能
。
4. 参考链接
🔴AWS Organizations 的委托管理员
🟡示例:查看组织、OU、账户和策略
🟢示例:管理组织备份策略所需的合并权限
这篇关于【Amazon Organizations 】策略管理委派给客户账号的操作实现的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!