本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
管理帳戶、受信任的存取和委派的管理員
進行簡短的調查 |
管理帳戶 (也稱為 AWS Organization Management 帳戶或 Org Management 帳戶) 是獨一無二的,與 AWS Organizations 中的其他帳戶不同。這是建立 AWS 組織的帳戶。從此帳戶,您可以在 AWS 組織中建立 AWS 帳戶、邀請其他現有帳戶加入 AWS 組織 (兩種類型皆視為成員帳戶)、從 AWS 組織移除帳戶,以及將 IAM 政策套用至 AWS 組織中的根帳戶、OUs 或帳戶。
管理帳戶會透過 SCPs 和服務部署 (例如 AWS CloudTrailWord) 部署通用安全防護機制,這將影響 AWS 組織中的所有成員帳戶。若要進一步限制管理帳戶中的許可,可以盡可能將這些許可委派給另一個適當的帳戶,例如安全帳戶。
管理帳戶擁有付款人帳戶的責任,並要負責支付成員帳戶累積的所有費用。您無法切換 AWS 組織的管理帳戶。AWS 帳戶一次只能是一個 AWS 組織的成員。
由於 管理帳戶所擁有的功能和影響範圍,我們建議您限制對此帳戶的存取,並僅將許可授予需要它們的角色。兩個可協助您做到這一點的功能是受信任的存取和委派的管理員。您可以使用受信任存取來啟用您指定的 AWS 服務,稱為受信任服務,以代表您在 AWS 組織及其帳戶中執行任務。這涉及將許可授予受信任的服務,但不會影響 IAM 實體的許可。您可以使用受信任存取來指定您希望受信任服務代表您在 AWS 組織的帳戶中維護的設定和組態詳細資訊。例如,AWS SRA 的 Org Management 帳戶區段說明如何授予 AWS CloudTrail Word 服務受信任的存取權,以便在 CloudTrail 組織中的所有帳戶中建立 aAWS 組織追蹤。
有些 AWS 服務支援 AWS Organizations 中的委派管理員功能。透過此功能,相容的服務可以在 AWS 組織中將 Word AWS成員帳戶註冊為該服務中 AWS 組織帳戶的管理員。此功能為企業內不同團隊提供彈性,以根據其責任使用個別帳戶,以管理整個環境中的 AWS 服務。目前支援委派管理員之 AWSAWS SRA 中的 Word 安全服務包括 AWS IAM 身分中心 (AWS 單一登入的後繼者)、AWS Config、AWS Firewall Manager、Amazon GuardDuty、IAM AWS Word Access Analyzer、Amazon Macie、AWS Security Hub、Amazon Detective、AWS Audit Manager、Amazon Inspector 和 AWS Systems Manager。AWS SRA 中強調使用委派的管理員功能作為最佳實務,並將安全相關服務的管理委派給 Security Tooling 帳戶。