管理账户、可信访问权限和委派管理员

管理账户（也称为 AWS 组织管理账户或组织管理账户）是独一无二的，与 AWS Organizations 中的所有其他账户不同。创建 AWS 组织的是该账户。通过此账户，您可以在 AWS 组织中创建 AWS 账户、邀请其他现有账户加入 AWS 组织（两种类型均被视为成员账户）、从 AWS 组织中删除账户以及将 IAM 策略应用于 AWS 组织内的根账户或账户。 OUs 

管理账户通过部署通用安全防护栏 SCPs 和服务部署（例如 AWS CloudTrail），这将影响 AWS 组织中的所有成员账户。为了进一步限制管理账户中的权限，可以尽可能将这些权限委托给其他相应的账户，例如安全账户。 

管理账户具有付款人账户的责任，并负责支付成员账户产生的所有费用。您无法切换 AWS 组织的管理账户。一个 AWS 账户一次只能成为一个 AWS 组织的成员。  

由于管理账户的功能和影响范围，我们建议您限制对该账户的访问权限，并仅向需要权限的角色授予权限。可帮助您实现此目的的两个功能是可信访问权限和委派管理员。您可以使用可信访问权限使您指定的 AWS 服务（称为可信服务）代表您在您的 AWS 组织及其账户中执行任务。这涉及向可信服务授予权限，但不会以其他方式影响 IAM 实体的权限。您可以使用可信访问权限来指定您希望可信服务代表您在 AWS 组织的账户中维护的设置和配置细节。例如，AWS SRA 的组织管理账户部分说明了如何授予 AWS CloudTrail 服务可信访问权限，以便在您的 AWS CloudTrail 组织的所有账户中创建组织跟踪。

某些 AWS 服务支持 AWS Organizations 中的委托管理员功能。 使用此功能，兼容的服务可以将 AWS 组织中的 AWS 成员账户注册为该服务中 AWS 组织账户的管理员。此功能使企业内的不同团队能够灵活地使用适合其职责的不同账户来管理整个环境中的 AWS 服务。AWS SRA 中目前支持委托管理员的 AWS 安全服务包括 AWS IAM 身份中心（AWS Single Sign-On 的继任者）、AWS Config、AWS Firewall Manager、亚马逊、AWS IAM Access Analyzer、Amazon Macie GuardDuty、AWS Security Hub、Amazon Detective、AWS Audit Manager、Amazon Inspector 和 AWS Systems Manager。AWS SRA 强调使用委派管理员功能作为最佳实践，我们将安全相关服务的管理委托给安全工具账户。