本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
與 Organizations 合作 AWS 服務 的委派管理員
建議您僅將 AWS Organizations 管理帳戶及其使用者和角色用於必須由該帳戶執行的工作。我們也建議您將 AWS 資源儲存在組織中的其他成員帳戶中,並將其保留在管理帳戶之外。這是因為像 Organizations 服務控制原則 (SCPs) 這樣的安全性功能不會限制管理帳戶中的使用者或角色。將資源與管理帳戶分開,也可協助您瞭解發票上的費用。
AWS 服務 許多與 Organizations 整合的功能可讓您減少管理帳戶的使用量。這些服務可讓您將一或多個成員帳戶註冊為管理員,以管理服務中使用的所有組織帳戶。這些帳戶稱為該特定服務的委派管理員。透過將成員帳戶註冊為 AWS 服務的委派管理員,您可以讓該帳戶擁有該服務的某些管理權限,以及 Organizations 唯讀動作的權限。
在您將帳戶註冊為服務的委派管理員之前:
確認該服務支援委派管理員。請參閱 AWS 服務 您可以搭配 使用 AWS Organizations 的表格,瞭解哪些服務支援委派管理員。
為該服務啟用受信任存取。
注意
若要瞭解如何為委派管理員啟用服務,請參閱 AWS 服務 您可以搭配 使用 AWS Organizations 中的表格,並在該服務的支援委派管理員直欄中,選取瞭解更多連結。
授與委派管理員帳戶的權限
每個服務特定的委派管理員帳戶都有該服務授與的權限。若要瞭解更多,請參閱 AWS 服務 您可以搭配 使用 AWS Organizations 中的表格,並在該服務的支援委派管理員直欄中,選取瞭解更多連結。
委派管理員帳戶也具有下列唯讀權限:
DescribeAccountDescribeCreateAccountStatusDescribeEffectivePolicyDescribeHandshakeDescribeOrganizationDescribeOrganizationalUnitDescribePolicyDescribeResourcePolicyListAccountsListAccountsForParentListAWSServiceAccessForOrganizationListChildrenListCreateAccountStatusListDelegatedAdministratorsListDelegatedServicesForAccountListHandshakesForAccountListHandshakesForOrganizationListOrganizationalUnitsForParentListParentsListPoliciesListPoliciesForTargetListRootsListTagsForResourceListTargetsForPolicy
這些權限可讓您檢視 (但不能變更) 這些主控台項目:
組織結構、所有帳戶以OUs及組織政策
成員資格
所有帳戶和OUs.
組織政策
