【Amazon Organizations 】策略管理委派给客户账号的操作实现

1. 客户需求

2. 操作步骤

如上图所示👆 需要客户提供其用户的ARN

---

需要提供关联进组织的客户账户的ARN（Amazon Resource Name（ARN）唯一标识 Amazon 资源），导航至IAM，找到对应的用户，填写其ARN。

格式如下：

"arn:aws-cn:iam::xxxxxxxxxxxx:user/xxxxxx"

🔴 值得注意的是：CN区和Global区提供的ARN格式不同。

? 区别如下：

CN区：arn:aws-cn:iam::xxxxxxxxxxxx:user/xxx

Global区：arn:aws:iam::xxxxxxxxxxxx:user/xxx

将 Amazon Organizations 策略的管理委派给成员账户，并指定他们可以执行的策略类型和操作。

---

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "DelegatingNecessaryDescribeListActions",
      "Effect": "Allow",
      "Principal": {
        "AWS": [
          "arn:aws-cn:iam::xxxxxxxxxxxx:user/xxxxxx",
          "arn:aws-cn:iam::xxxxxxxxxxxx:user/xxxxxx"
        ]
      },
      "Action": [
        "organizations:DescribeOrganization",
        "organizations:DescribeOrganizationalUnit",
        "organizations:DescribeAccount",
        "organizations:DescribePolicy",
        "organizations:DescribeEffectivePolicy",
        "organizations:ListRoots",
        "organizations:ListOrganizationalUnitsForParent",
        "organizations:ListParents",
        "organizations:ListChildren",
        "organizations:ListAccounts",
        "organizations:ListAccountsForParent",
        "organizations:ListPolicies",
        "organizations:ListPoliciesForTarget",
        "organizations:ListTargetsForPolicy",
        "organizations:ListTagsForResource",
        "organizations:DescribePolicy",
        "organizations:AttachPolicy",
        "organizations:CreatePolicy",
        "organizations:DeletePolicy",
        "organizations:DetachPolicy",
        "organizations:UpdatePolicy"
      ],
      "Resource": "*"
    }
  ]
}

3. 注意事项

若该组织仅具有支持整合账单功能，则无法创建AWS Organizations的委派。需要启用所有功能才可委派。

点击开始启用所有功能的流程。

点击开始启用所有功能的流程。

已经从仅具有整合账单的功能组织切换成了具有全功能组织。

---

启用 AWS Organizations 中的所有功能的流程。这会将批准请求发送到所有受邀加入您组织的成员账户。您在组织中创建的账户无需批准。

---

注意事项：启用所有功能后，您无法返回仅整合账单功能。

如下图所示，该组织已启用所有功能。

4. 参考链接

🔴AWS Organizations 的委托管理员

🟡示例：查看组织、OU、账户和策略

🟢示例：管理组织备份策略所需的合并权限