何时使用 AWS Organizations

AWS Organizations 是一个 AWS 你可以用它来管理你的 AWS 账户 作为一个群体。这提供了诸如整合账单之类的功能，即您的所有账户账单都归为一组，由一个付款人处理。您还可以使用基于策略的控制来集中管理组织的安全。有关 AWS Organizations，请参阅 AWS Organizations 用户指南。

可信访问权限

当你使用时 AWS Organizations 要将您的账户作为一个群组进行管理，则该组织的大多数管理任务只能由该组织的管理帐户执行。默认情况下，这仅包括与管理组织本身相关的操作。您可以将此附加功能扩展到其他 AWS 通过启用 Organizations 与该服务之间的可信访问来提供服务。可信访问权限向指定对象授予权限 AWS 服务，用于访问有关组织及其所含帐户的信息。当您为账户管理启用可信访问时，账户管理服务会授予组织及其管理账户访问该组织所有成员账户的元数据（例如主要或备用联系信息）的权限。

有关更多信息，请参阅 为启用可信访问权限 AWS 账户管理。

委派管理员

启用可信访问权限后，您还可以选择将您的一个成员账户指定为委托管理员账户 AWS 账户管理。这样，委托的管理员账户就可以为组织中的成员账户执行账户管理元数据管理任务，而以前只有管理账户才能执行的任务。委派的管理员账户只能访问账户管理服务的管理任务。委派的管理员账户不像管理账户那样拥有对组织的所有管理权限。

有关更多信息，请参阅 为其启用委托管理员账户 AWS 账户管理。

服务控制策略

当你的 AWS 账户 是组织的一部分，该组织由以下人员管理 AWS Organizations，则组织管理员可以应用服务控制策略 (SCPs)，该策略可以限制成员账户中的委托人可以执行的操作。SCP从不授予权限；相反，它是一个过滤器，用于限制成员账户可以使用的权限。成员账户中的用户或角色（委托人）只能执行那些与适用于SCPs该账户的允许的操作和附加到委托人的IAM权限策略交叉的操作。例如，您可以使用SCPs防止账户中的任何委托人修改自己账户的备用联系人。

例如SCPs，这适用于 AWS 账户，请参阅 使用限制访问权限 AWS Organizations 服务控制策略。