使用時機 AWS Organizations

AWS Organizations 是一項 AWS 服務，可用來以群組 AWS 帳戶 身分管理 。這提供合併帳單等功能，其中您帳戶的所有帳單都會分組在一起，並由單一付款人處理。您也可以使用政策型控制項，集中管理組織的安全性。如需詳細資訊 AWS Organizations，請參閱 AWS Organizations 使用者指南。

受信任的存取權

當您使用 AWS Organizations 以群組形式管理帳戶時，組織的大多數管理任務只能由組織的管理帳戶執行。根據預設，這只包含與管理組織本身相關的操作。您可以透過啟用 Organizations 和該 AWS 服務之間的信任存取，將此額外功能擴展到其他 服務。信任的存取會授予指定 AWS 服務的許可，以存取組織及其包含的帳戶的相關資訊。當您啟用 Account Management 的信任存取時，Account Management 服務會授予 Organizations 及其管理帳戶許可，以存取所有組織成員帳戶的中繼資料，例如主要或替代聯絡資訊。

如需詳細資訊，請參閱為 AWS 帳戶管理啟用受信任存取。

委派管理員

啟用受信任存取後，您也可以選擇將其中一個成員帳戶指定為 AWS 帳戶管理的委派管理員帳戶。這可讓委派的管理員帳戶為您組織中的成員帳戶執行先前只有管理帳戶可以執行的相同帳戶管理中繼資料管理任務。委派的管理員帳戶只能存取帳戶管理服務的管理任務。委派的管理員帳戶沒有管理帳戶擁有組織的所有管理存取權。

如需詳細資訊，請參閱為 AWS 帳戶管理啟用委派的管理員帳戶。

服務控制政策

當您的 AWS 帳戶 是 管理的組織的一部分時 AWS Organizations，組織的管理員可以套用服務控制政策 (SCPs)，以限制成員帳戶中的主體可以執行的動作。SCP 永遠不會授予許可；而是會限制成員帳戶可使用之許可的篩選條件。成員帳戶中的使用者或角色 (委託人) 只能執行與套用至帳戶的 SCPs 和連接至委託人的 IAM 許可政策相交的操作。例如，您可以使用 SCPs 來防止帳戶中的任何主體修改其帳戶的替代聯絡人。

如需適用於 SCPs AWS 帳戶，請參閱 使用 AWS Organizations 服務控制政策限制存取。