Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Nous vous recommandons d'utiliser le compte AWS Organizations de gestion, ses utilisateurs et ses rôles uniquement pour les tâches qui doivent être effectuées par ce compte. Nous vous recommandons également de stocker vos AWS ressources dans d'autres comptes membres de l'organisation et de les garder hors du compte de gestion. Cela est dû au fait que les fonctionnalités de sécurité telles que les politiques de contrôle des services des Organisations (SCPs) ne limitent pas les utilisateurs ou les rôles dans le compte de gestion. Le fait de séparer vos ressources de votre compte de gestion peut également vous aider à comprendre les frais figurant sur vos factures.
Beaucoup de Services AWS ceux qui s'intègrent à Organizations vous permettent de réduire l'utilisation du compte de gestion. Ces services vous permettent d'enregistrer un ou plusieurs comptes membres en tant qu'administrateurs pouvant gérer tous les comptes de l'organisation utilisés dans le service. Ces comptes sont appelés administrateurs délégués pour ce service spécifique. En enregistrant un compte membre en tant qu'administrateur délégué pour un service AWS , vous permettez à ce compte de disposer de certaines autorisations administratives pour ce service, ainsi que d'autorisations pour les actions en lecture seule d'Organizations.
Avant d'enregistrer un compte en tant qu'administrateur délégué pour un service :
Vérifiez que le service prend en charge les administrateurs délégués. Consultez le tableau dans Services AWS que vous pouvez utiliser avec AWS Organizations pour savoir quels services prennent en charge les administrateurs délégués.
Activez l'accès approuvé pour ce service.
Note
Pour savoir comment activer un administrateur délégué pour un service, consultez le tableau dans Services AWS que vous pouvez utiliser avec AWS Organizations et sélectionnez le lien En savoir plus dans la colonne Prend en charge l'administrateur délégué pour ce service.
Autorisations accordées aux comptes d'administrateur délégué
Chaque compte d'administrateur délégué spécifique à un service dispose d'autorisations accordées par ce service. Pour savoir plus, consultez le tableau dans Services AWS que vous pouvez utiliser avec AWS Organizations et sélectionnez le lien En savoir plus dans la colonne Prend en charge l'administrateur délégué pour ce service.
Un compte d'administrateur délégué dispose également des autorisations en lecture seule :
DescribeAccount
DescribeCreateAccountStatus
DescribeEffectivePolicy
DescribeHandshake
DescribeOrganization
DescribeOrganizationalUnit
DescribePolicy
DescribeResourcePolicy
ListAccounts
ListAccountsForParent
ListAWSServiceAccessForOrganization
ListChildren
ListCreateAccountStatus
ListDelegatedAdministrators
ListDelegatedServicesForAccount
ListHandshakesForAccount
ListHandshakesForOrganization
ListOrganizationalUnitsForParent
ListParents
ListPolicies
ListPoliciesForTarget
ListRoots
ListTagsForResource
ListTargetsForPolicy
Ces autorisations vous permettent d'afficher, mais pas de modifier ces éléments de la console :
Structure de l'organisation, tous les comptes et OUs politiques de l'organisation
Membres
Tous les comptes etOUs.
Politiques organisationnelles