Organizations와 연동되는 AWS 서비스의 위임된 관리자
AWS Organizations 관리 계정과 그 사용자 및 역할은 해당 계정으로 수행해야 하는 작업에 대해서만 사용하는 것이 좋습니다. 또한 AWS 리소스를 조직의 다른 멤버 계정에 저장하고 관리 계정에는 저장하지 않는 것이 좋습니다. 이는 Organizations 서비스 제어 정책(SCP)과 같은 보안 기능이 관리 계정의 사용자나 역할을 제한하지 않기 때문입니다. 관리 계정에서 리소스를 분리하면 인보이스의 요금을 파악하는 데도 도움이 될 수 있습니다.
Organizations와 통합되는 많은 AWS 서비스를 통해 관리 계정의 사용을 줄일 수 있습니다. 이러한 서비스를 통해 하나 이상의 멤버 계정을 관리자로 등록하여 서비스에 사용되는 모든 조직 계정을 관리하도록 할 수 있습니다. 이러한 계정을 해당 특정 서비스의 위임된 관리자라고 합니다. 멤버 계정을 AWS 서비스의 위임된 관리자로 등록하면 해당 계정은 해당 서비스에 대한 일부 관리 권한과 Organizations 읽기 전용 작업에 대한 권한을 가질 수 있습니다.
계정을 서비스의 위임된 관리자로 등록하기 전 다음 사항을 수행합니다.
서비스가 위임된 관리자를 지원하는지 확인합니다. 어떤 서비스가 위임된 관리자를 지원하지 알아보려면 AWS Organizations와 함께 사용할 수 있는 AWS 서비스의 표를 참조하십시오.
해당 서비스에 대해 신뢰할 수 있는 액세스를 활성화합니다.
참고
서비스의 위임된 관리자를 활성화하는 방법을 알아보려면, AWS Organizations와 함께 사용할 수 있는 AWS 서비스의 표를 참조하여 해당 서비스에 대한 위임된 관리자 지원 열에서 자세히 알아보기 링크를 선택하십시오.
위임된 관리자 계정에 부여된 권한
각 서비스별 위임 관리자 계정에는 해당 서비스에서 부여하는 권한이 있습니다. 자세한 내용은 AWS Organizations와 함께 사용할 수 있는 AWS 서비스의 표를 참조하여 해당 서비스에 대한 위임된 관리자 지원 열에서 자세히 알아보기 링크를 선택하십시오.
위임된 관리자 계정에는 다음과 같은 읽기 전용 권한도 있습니다.
DescribeAccountDescribeCreateAccountStatusDescribeEffectivePolicyDescribeHandshakeDescribeOrganizationDescribeOrganizationalUnitDescribePolicyDescribeResourcePolicyListAccountsListAccountsForParentListAWSServiceAccessForOrganizationListChildrenListCreateAccountStatusListDelegatedAdministratorsListDelegatedServicesForAccountListHandshakesForAccountListHandshakesForOrganizationListOrganizationalUnitsForParentListParentsListPoliciesListPoliciesForTargetListRootsListTagsForResourceListTargetsForPolicy
이러한 권한을 사용하여 다음 콘솔 항목을 볼 수 있으며 변경할 수는 없습니다.
Organizations 구조, 모든 계정 및 OU, 조직 정책
멤버십
모든 계정 및 OU.
Organizations 정책
