与 Organizations 配合使用的 AWS 服务委派管理员
我们建议您将 AWS Organizations 管理账户及其用户和角色仅用于必须由该账户执行的任务。此外,我们还建议您将所有的 AWS 资源存储在组织的其他成员账户中,而非保存在管理账户中。这是因为,Organizations 服务控制策略(SCP)等安全功能不会限制管理账户中的用户或角色。将资源与管理账户分离还可帮助您了解发票上的费用。
许多与 Organizations 集成的 AWS 服务可帮助您减少对管理账户的使用。这些服务允许您将一个或多个成员账户注册为管理员,用来管理该服务中使用的所有组织账户。这些账户被称为该特定服务的委托管理员。通过将成员账户注册为 AWS 服务的委托管理员,您可以使该账户拥有该服务的某些管理权限以及 Organizations 只读操作权限。
在将账户注册为服务的委托管理员之前:
确认该服务支持委托管理员。请参阅 可与 AWS Organizations 结合使用的 AWS 服务 中的表格,了解哪些服务支持委托管理员。
为该服务启用可信访问。
注意
要了解如何为某个服务启用委托管理员,请参阅 可与 AWS Organizations 结合使用的 AWS 服务 中的表格,然后在该服务的支持委托管理员列中选择了解详情链接。
授予委托管理员账户的权限
每个特定服务的委托管理员账户都具有该服务授予的权限。要了解更多信息,请参阅 可与 AWS Organizations 结合使用的 AWS 服务 中的表格,然后在该服务的支持委托管理员列中选择了解详情链接。
委托管理员账户还具有以下只读权限:
DescribeAccountDescribeCreateAccountStatusDescribeEffectivePolicyDescribeHandshakeDescribeOrganizationDescribeOrganizationalUnitDescribePolicyDescribeResourcePolicyListAccountsListAccountsForParentListAWSServiceAccessForOrganizationListChildrenListCreateAccountStatusListDelegatedAdministratorsListDelegatedServicesForAccountListHandshakesForAccountListHandshakesForOrganizationListOrganizationalUnitsForParentListParentsListPoliciesListPoliciesForTargetListRootsListTagsForResourceListTargetsForPolicy
借助这些权限,您可以查看但不能更改下列控制台项目:
组织结构、所有账户和 OU 以及组织策略
成员资格
所有账户和 OU。
组织策略
