本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
委托管理员与 Org AWS 服务 anizations 合作
我们建议您仅将 AWS Organizations 管理账户及其用户和角色用于必须由该账户执行的任务。我们还建议您将 AWS 资源存储在组织中的其他成员账户中,并防止这些资源进入管理账户。这是因为诸如 Organizations 服务控制策略 (SCPs) 之类的安全功能不会限制管理账户中的用户或角色。将资源与管理账户分离还可帮助您了解发票上的费用。
许多 AWS 服务 与 Organizations 集成的功能使您能够减少管理帐户的使用量。这些服务允许您将一个或多个成员账户注册为管理员,用来管理该服务中使用的所有组织账户。这些账户被称为该特定服务的委托管理员。通过将成员账户注册为 AWS 服务的委托管理员,您可以使该账户拥有该服务的某些管理权限以及 Organizations 只读操作权限。
在将账户注册为服务的委托管理员之前:
确认该服务支持委托管理员。请参阅 AWS 服务 你可以和它一起使用 AWS Organizations 中的表格,了解哪些服务支持委托管理员。
为该服务启用可信访问。
注意
要了解如何为某个服务启用委托管理员,请参阅 AWS 服务 你可以和它一起使用 AWS Organizations 中的表格,然后在该服务的支持委托管理员列中选择了解详情链接。
授予委托管理员账户的权限
每个特定服务的委托管理员账户都具有该服务授予的权限。要了解更多信息,请参阅 AWS 服务 你可以和它一起使用 AWS Organizations 中的表格,然后在该服务的支持委托管理员列中选择了解详情链接。
委托管理员账户还具有以下只读权限:
DescribeAccountDescribeCreateAccountStatusDescribeEffectivePolicyDescribeHandshakeDescribeOrganizationDescribeOrganizationalUnitDescribePolicyDescribeResourcePolicyListAccountsListAccountsForParentListAWSServiceAccessForOrganizationListChildrenListCreateAccountStatusListDelegatedAdministratorsListDelegatedServicesForAccountListHandshakesForAccountListHandshakesForOrganizationListOrganizationalUnitsForParentListParentsListPoliciesListPoliciesForTargetListRootsListTagsForResourceListTargetsForPolicy
借助这些权限,您可以查看但不能更改下列控制台项目:
组织结构、所有账户和OUs组织政策
成员资格
所有账户和OUs.
组织策略
