本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

管理帳戶的最佳實務

請遵循這些推薦，協助保護 AWS Organizations中管理帳戶的安全。這些推薦假設，您同時遵守僅將根使用者用於那些真正需要它的任務的最佳實務。

限制有權存取管理帳戶的使用者

管理帳戶是所有上述管理任務的關鍵，例如帳戶管理、政策、與其他 AWS 服務的整合、合併帳單等。因此，您應該限制管理帳戶的存取權，並將此存取權侷限在需要權限來對組織進行變更的管理員使用者。

審查並追蹤誰擁有存取權

為確保您仍擁有管理帳戶的存取權，請定期檢閱您企業內有權存取與其關聯之電子郵件地址、密碼、MFA 和電話號碼的人員。將您的審查與現有的商業程序保持一致。為了確保只有正確的使用者才能存取，請新增此資訊的每月或每季審查。請確定，復原或重設根使用者憑證存取權的程序不依賴於任何特定個人來完成。所有程序都應解決人們無法使用的預期。

管理帳戶僅用於需要管理帳戶的任務

我們建議您僅將該管理帳戶及其使用者和角色用於必須僅由該帳戶執行的任務。將您的所有 AWS 資源存放在組織中的其他 AWS 帳戶 中，並將其保留在管理帳戶中。將資源保存在其他帳戶的一個重要原因是，因為 Organizations 服務控制政策 (SCP) 無法限制管理帳戶中的任何使用者或角色。將資源與管理帳戶分開，也會協助您瞭解發票上的費用。

如需必須從管理帳戶呼叫的任務清單，請參閱只能從組織的管理帳戶呼叫的操作。

避免將工作負載部署到組織的管理帳戶

獲得授權的作業可以在組織的管理帳戶內執行，SCP 不適用於管理帳戶。這就是為什麼您應該將管理帳戶中包含的雲端資源和資料限制為只能在管理帳戶中管理的資源和資料。

委派管理帳戶以外的職責來進行去集中化

如果可能的話，我們建議在管理帳戶之外委派職責和服務。為您的團隊提供自己帳戶中的權限，以便管理組織的需求，而無需存取管理帳戶。此外，您可以為支援此功能的服務註冊多個委派管理員，例如用於跨組織 AWS Service Catalog 共用軟體，或用於撰寫和部署堆疊的 AWS CloudFormation StackSets。

如需詳細資訊，請參閱安全參考架構、使用多個帳戶組織您的 AWS 環境，以及將成員帳戶註冊為各種 AWS 服務的委派管理員AWS 服務 您可以搭配 使用 AWS Organizations的建議。

如需設定委派管理員的詳細資訊，請參閱為 AWS Account Management啟用委派的管理員帳戶和 的委派管理員 AWS Organizations。