本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

管理账户的最佳实践

请遵循以下建议，以帮助保护中管理账户的安全 AWS Organizations。 这些建议假设您还遵循最佳实践，即仅将 root 用户用于真正需要根用户的任务。

限制谁有权访问管理账户

管理账户是所有上述管理任务的关键，例如账户管理、策略、与其他管理任务的集成 AWS 服务、整合账单等。因此，您应限定和限制管理账户的访问权限，仅允许那些需要相关权限以对组织进行更改的管理员用户使用。

检查并跟踪谁有访问权限

为确保您保留对管理账户的访问权限，请定期检查企业内有权访问与其关联的电子邮件地址MFA、密码和电话号码的人员。使您的审查与现有业务流程保持一致。每月或每季度对这些信息进行一次审查，以确认只有正确的人才能访问。确保恢复或重置对根用户凭证的访问权限的过程不依赖于任何特定个人来完成。所有流程都应能解决人员不可用的可能情况。

仅将管理账户用于需要管理账户的任务

我们建议您将管理账户及其用户和角色仅用于必须由该账户执行的任务。存放你所有的东西 AWS 其他资源 AWS 账户 在组织中，将他们拒之门外。将资源保留在其他账户中的一个重要原因是，Organizations 服务控制策略 (SCPs) 无法限制管理账户中的任何用户或角色。将资源与管理账户分离还有助于您了解发票上的费用。

有关必须从管理账户调用的任务列表，请参阅只能从组织的管理账户调用的操作。

避免将工作负载部署到组织的管理账户中

特权操作可以在组织的管理账户中执行，但SCPs不适用于管理账户。因此，管理账户中包含的云资源和数据应仅限必须在管理账户中管理的云资源和数据。

将责任委托给非管理账户以实现去中心化

我们建议尽可能将责任和服务委托给非管理账户。为团队自己的账户提供无需访问管理账户，即可满足组织需求所需的权限。此外，您可以为支持此功能的服务注册多个委派管理员，例如 AWS Service Catalog 用于在整个组织内共享软件，或 AWS CloudFormation StackSets 用于创作和部署堆栈。

有关更多信息，请参阅安全参考架构，整理您的 AWS 使用多个账户的环境，以及AWS 服务 你可以和它一起使用 AWS Organizations有关将成员账户注册为各种账户的委托管理员的建议 AWS 服务的支持。

有关设置委派管理员的更多信息，请参阅为其启用委托管理员账户 AWS Account Management 和 的委派管理员 AWS Organizations