本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

管理帳戶的最佳實務

請遵循這些推薦，協助保護 AWS Organizations中管理帳戶的安全。這些推薦假設，您同時遵守僅將根使用者用於那些真正需要它的任務的最佳實務。

限制有權存取管理帳戶的使用者

管理帳戶是所有上述管理任務的關鍵，例如帳戶管理，策略 AWS 服務，與其他集成，合併帳單等。因此，您應該限制管理帳戶的存取權，並將此存取權侷限在需要權限來對組織進行變更的管理員使用者。

審查並追蹤誰擁有存取權

為了確保您維持對管理帳戶的存取權，請定期檢查您企業內有權存取與管理帳戶相關聯的電子郵件地址MFA、密碼和電話號碼的人員。將您的審查與現有的商業程序保持一致。為了確保只有正確的使用者才能存取，請新增此資訊的每月或每季審查。請確定，復原或重設根使用者憑證存取權的程序不依賴於任何特定個人來完成。所有程序都應解決人們無法使用的預期。

管理帳戶僅用於需要管理帳戶的任務

我們建議您僅將該管理帳戶及其使用者和角色用於必須僅由該帳戶執行的任務。將所有資 AWS 源儲存在組織中的其他資源，並讓它們不 AWS 帳戶 在管理帳戶之外。將資源保留在其他帳號中的一個重要原因是，Organizations 服務控制策略 (SCPs) 無法限制管理帳戶中的任何使用者或角色。將資源與管理帳戶分開，也會協助您瞭解發票上的費用。

避免將工作負載部署到組織的管理帳戶

授權作業可在組織的管理帳戶內執行，而且SCPs不適用於管理帳戶。這就是為什麼您應該將管理帳戶中包含的雲端資源和資料限制為只能在管理帳戶中管理的資源和資料。

委派管理帳戶以外的職責來進行去集中化

如果可能的話，我們建議在管理帳戶之外委派職責和服務。為您的團隊提供自己帳戶中的權限，以便管理組織的需求，而無需存取管理帳戶。此外，您可以為支援此功能的服務 (例如在整個組織中共 AWS Service Catalog 用軟體) 註冊多個委派管理員，或 AWS CloudFormation StackSets 用於編寫和部署堆疊。

如需詳細資訊，請參閱安全性參考架構、使用多個帳戶組織您的 AWS 環境，以及有AWS 服務 你可以使用 AWS Organizations關將成員帳戶註冊為各種委派系統管理員的建議 AWS 服務。如需設定委派管理員的詳細資訊，請參閱為 AWS Account Management啟用委派的管理員帳戶和 委派的管理員 AWS Organizations。