の委任管理者 AWS Organizations

AWS Organizations 管理アカウントとそのユーザーとロールは、そのアカウントで実行する必要があるタスクにのみ使用することをお勧めします。また、すべての  AWS  リソースを組織内の他のメンバーアカウントに保存し、管理アカウントからは切り離すことをおすすめします。これは、Organizations のサービスコントロールポリシー (SCP) などのセキュリティ機能は、管理アカウントのユーザーやロールに制限を加えることができないためです。

組織の管理アカウントから、ポリシー管理を Organizations の指定のメンバーアカウントに委任して、デフォルトでは管理アカウントのみが使用できるポリシーアクションを実行できます。

リソースベースの委任ポリシーの例については、「のリソースベースのポリシーの例 AWS Organizations」を参照してください。