您必须为主 Amazon Web Services (AWS) 帐户创建主帐户策略,并为所有链接 AWS 帐户创建链接帐户策略。您可以在 AWS 中使用这些策略管理访问权限。
过程
- 在 AWS 控制台中,转到 。
- 在创建策略页面中,单击 JSON 选项卡。
- 在 JSON 文本框中,输入策略
选项 描述 添加主帐户策略 注: 您必须在主 AWS 帐户中添加主帐户策略。{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "iam:ListAccountAliases" ], "Resource": [ "*" ] }, { "Effect": "Allow", "Action": [ "ec2:Describe*" ], "Resource": "*" }, { "Action": [ "logs:Describe*", "logs:Get*", "logs:TestMetricFilter", "logs:FilterLogEvents" ], "Effect": "Allow", "Resource": "*" }, { "Effect": "Allow", "Action": [ "organizations:ListAccounts" ], "Resource": "*" }, { "Effect": "Allow", "Action": "sts:AssumeRole", "Resource": "<Role ARNs>" } ] }添加链接帐户 注: 您必须在主 AWS 帐户中添加的所有链接帐户中添加链接帐户策略。{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "iam:ListAccountAliases" ], "Resource": [ "*" ] }, { "Effect": "Allow", "Action": [ "ec2:Describe*" ], "Resource": "*" }, { "Action": [ "logs:Describe*", "logs:Get*", "logs:TestMetricFilter", "logs:FilterLogEvents" ], "Effect": "Allow", "Resource": "*" } ] } - 单击查看策略。
- 在查看策略部分中,输入策略名称,然后单击创建策略。
下一步做什么
注: 如果在所有链接帐户中创建的角色已包含标准策略权限并信任主帐户,则跳过此步骤。
